Wurde Ihr WLAN kompromittiert? Windows Patchday informiert über aktuelle kritische Sicherheitslücken!

von

Lesezeit: Minuten ( Wörter)

Mit dem monatlichen Windows Patchday schließt Microsoft wieder zahlreiche IT-Sicherheitslücken in seinem Betriebssystem Windows 10. Daran ist nichts Ungewöhnliches. Jedoch stuft Microsoft drei der insgesamt 66 Sicherheitslücken als kritisch ein. Berichten zufolge nutzen Hacker einige der IT-Sicherheitslücken bereits aus. Betroffen ist vor allem die Sicherheit von mobilen Geräten wie Laptops in öffentlichen WLANs. Deshalb ist schnelles Handeln wichtig, um die WLAN Sicherheit zu gewährleisten.

Windows Patchday September 2021: Die kritischen IT-Sicherheitslücken

Die größte Gefahr geht laut Microsoft von der IT-Sicherheitslücke CVE-2021-40444 aus. Bei dieser ist bestätigt, dass aktuell Cyberangriffe über die Schwachstelle laufen. Betroffen sind die Betriebssysteme Windows 7, 8, 10 sowie Windows Server ab der Version 2004.

Die beschriebene Sicherheitslücke betrifft ActiveX-Elemente in Office-Dokumenten. Cyberkriminelle versenden aktuell Office-Dokumente mit manipulierten ActiveX-Steuerelementen. Es reicht aus, das kompromittierte Dokumente zu öffnen, um das ActiveX-Steuerelement auszuführen. Die Lücke erlaubt es, die ActiveX-Steuerelement auszuführen, ohne den Nutzer zu fragen. In dem ActiveX-Element ist ein Remotecode versteckt, der dann automatisch mit den Rechten des angemeldeten Nutzers ausgeführt wird.

Die zweite der drei kritischen IT-Sicherheitslücke, die Microsoft mit dem Windows Patchday September schließt, ist CVE-2021-36965. Diese Lücke betrifft die WLAN Sicherheit. Auch hier geht es um Schadcode, den Angreifer unbemerkt per WLAN Remote auf einen Rechner einschleusen. Betroffen sind die Systeme, auf denen die Betriebssysteme Windows 10 oder Windows Server 2019 laufen. Vor allem sind Laptops mit Windows 10 im Fokus, denn diese sind eher in kabellosen Netzwerken aktiv als andere Systeme oder Server. Es geht bei dieser Lücke um die Sicherheit von öffentlichen, unsicheren und unbekannten WLAN-Verbindungen. Unter bestimmten Voraussetzungen ist es ohne das Update vom aktuellen Windows Patchday möglich, dass Angreifer eine solche WLAN-Verbindung nutzen, um remote Schadcode auf einem System auszuführen. In diesem Fall ist sogar ein Zugriff auf Systemebene mit vollen Administratorrechten möglich. Der Angreifer muss sich im selben WLAN-Netzwerk befinden, um die Sicherheitslücke auszunutzen.

CVE-2021-38647 ist die Bezeichnung der dritten Lücke, die Microsoft mit dem Windows Patchday im September adressiert. Auch hier geht es um die Gefahr, dass dritte Personen einen Remotecode auf dem System ausführen. Die Sicherheitslücke selbst befindet sich in der Azure Open Management Infrastructure. Die Azure Open Management Infrastructure lauscht über den Port 5986 und empfängt so HTTP/S-Befehle. Über diesen Port ist es möglich, dass Angreifer einen Remotecode via HTTPS einschleusen und auf dem Zielsystem ausführen. Betroffen sind potenziell alle Systeme, auf denen die Azure OMI genutzt wird.

Informationen zu den Sicherheitspatches

Microsoft hat zu den einzelnen IT-Sicherheitslücken im Rahmen des Windows Patchdays detaillierte Informationen veröffentlicht.

Jetzt keinen Blogbeitrag mehr verpassen!

  • 12x im Jahr aktuelle News aus der IT Security Welt
  • 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
  • 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense

Zu CVE-2021-40444 gibt der Konzern beispielsweise bekannt, dass es neben dem Patch auch weitere Optionen gibt, die Sicherheitslücke zu umgehen. Dies ist hilfreich, wenn noch Systeme mit Versionen des Microsoft-Betriebssystems im Einsatz sind, die keine Updates mehr erhalten. Auf Windows 7 trifft dies beispielsweise zu. Eine Option ist die Deaktivierung von ActiveX-Steuerelementen. Dies ist auf verschiedenen Wegen möglich. Zum einen direkt über das lokale Microsoft Office. Zum anderen per Gruppenrichtlinien. Dies ist besonders interessant für Firmennetzwerke. Eine Deaktivierung ist sinnvoll und bietet sich an, wenn die Mitarbeitenden ActiveX-Steuerelemente für die tägliche Arbeit nicht benötigen. Durch die Unterbindung über die Gruppenrichtlinien wird die Installation neuer ActiveX-Steuerelemente im gesamten Netzwerkbereich verhindert.

Die IT-Sicherheitslücke CVE-2021-38647 in der Azure Open Management Infrastructure wurde unter Mithilfe des Internetunternehmens Wiz.io entdeckt. Microsoft schätzt die Ausnutzbarkeit dieser Lücke zwar als unwahrscheinlich ein, stuft diese jedoch dennoch als kritisch ein. Auch ist die notwendige Vorgehensweise zur Ausnutzung der Lücke nicht öffentlich bekannt.

Ähnlich sieht die Situation bei der Sicherheitslücke CVE-2021-36965. Auch hier bewertet Microsoft die Ausnutzbarkeit des Exploits als unwahrscheinlich. Aufgrund der potenziell hohen Gefahr, die von der Remote-Code-Ausführung ausgeht und der Beeinträchtigung der WLAN Sicherheit, gehört CVE-2021-36965 dennoch zu den kritischen Sicherheitslücken.

Diese Gefahren gehen von den Microsoft IT-Sicherheitslücken aus

Die Auswirkungen und Gefahren dieser IT-Sicherheitslücken fallen ganz unterschiedlich aus. Ein besonders hohes Gefahrenpotenzial hat die Sicherheitslücke CVE-2021-40444. Manipulierte Office-Dokumente gelangen auf unterschiedlichsten Wegen auf einen Computer. Beliebt ist der Versand via E-Mail, wobei die Cyberkriminellen als Absender vertrauenswürdige Organisationen imitieren. So ist ein mit einem bösartigen ActiveX-Steuerelement präpariertes Dokument beispielsweise als Rechnung getarnt. Diese bösartigen ActiveX-Steuerelemente beinhalten unterschiedlichste Funktionen. Angreifer nutzen ActiveX-Steuerelemente beispielsweise, um direkt Schaden am Rechner zu verursachen. So ist es möglich, Dateien zu löschen. Eine weitere Möglichkeit ist, über ActiveX-Steuerelemente weitere Schadsoftware nachzuladen. Dies ist besonders gefährlich, denn auf diesem Weg ist es möglich, die Kontrolle über einen Computer zu übernehmen oder Ransomware auf das System zu transferieren.

Die Sicherheitslücke CVE-2021-36965 betrifft zwar nur Systeme, die in öffentlichen WLAN-Netzwerken aktiv sind, dies kommt bei mobilen Geräten jedoch durchaus häufiger vor. Die Lücke betrifft den Windows AutoConfig-Dienst. Über diesen ist es möglich, innerhalb eines WLANs Schadcode einzuschleusen und auszuführen. Laut Microsoft wird die Lücke aktuell von Kriminellen nicht ausgenutzt. Um die WLAN Sicherheit zu gewährleisten, ist es jedoch dringen empfohlen, den Patch zu installieren. Dies gilt insbesondere für mobile Geräte, die häufig in öffentlichen WLANs aktiv sind. Die Alternative ist, bedrohte Systeme nicht mehr in öffentlichen drahtlosen Netzwerken einzusetzen. So lässt sich die Bedrohung der WLAN Sicherheit umgehen. Diese Lösung bietet sich beispielsweise für ältere Laptops mit Windows 7 an. Für diese steht der aktuelle Sicherheitspatch nicht zur Verfügung, da Microsoft den Support für Windows 7 bereits Mitte Januar des Jahres 2020 einstellte.

Zur Sicherheitslücke CVE-2021-38647 merkt Microsoft an, dass die Angriffskomplexität niedrig ist. Dies bedeutet, dass die Angriffsmethode reproduzierbar ist und mit wiederholten Erfolgen bei anfälligen Systemen zu rechnen ist. Für die Attacke benötigen die Angreifer keine speziellen Zugangsberechtigungen. Von dieser Sicherheitslücke gehen ebenfalls zahlreiche Gefahren aus. Es ist möglich, einen beliebigen Schadcode auf das System einzuschleusen. Auf diesem Weg laden Kriminelle weitere Schadsoftware nach, installieren Keylogger oder fügen dem System direkte Schäden zu. Ein lokaler Zugriff ist nicht notwendig, sodass Angriffe auch über das Internet möglich sind.

Ein besonders hohes Gefahrenpotenzial hat die Sicherheitslücke CVE-2021-40444.

Weitere Sicherheitslücken, die Microsoft mit dem Windows Patchday im September 2021 schließt

Neben den drei als kritisch eingestuften Sicherheitslücken hat Microsoft 63 weitere Lücken am Patchday adressiert. Eine weitere wird vom Softwarekonzern als mittelschwer eingestuft, alle weiteren fallen in die Kategorien hoch bis niedrig.

Zu den von Microsoft als hoch eingestuften Sicherheitslücken zählt unter anderem CVE-2021-36968. Hierbei handelt es sich um eine Schwäche im DNS. Über Attacken haben Angreifer die Möglichkeit, sich Nutzerrechte auf dem System zu verschaffen und so den Computer zu übernehmen. Jedoch führt der Angriffsvektor nur über einen direkten Zugriff auf den Rechner via Tastatur oder Maus und alternativ mit einem Remote-Zugriff per SSH. Jedoch ist es möglich, Computernutzer zu einer solchen SSH-Verbindung aufzufordern, was Angriffe über das Internet potenziell möglich macht. Laut Microsoft ist die Angriffsmethodik bekannt, die Ausnutzung ist jedoch unwahrscheinlich.

Weiterhin widmete sich Microsoft im September der Lücke CVE-2021-36958. Diese Sicherheitslücke ist bereits seit dem Juli 2021 bekannt. Es handelt sich um einen Exploit im Printer-Spooler-Service von Windows. Über diesen haben Angreifer die Möglichkeit, Schadcode auf einem Rechner zu injecten und auf Systemebene mit vollen Rechten auszuführen. Wird ein Domain-Server attackiert, ist es möglich, alle Rechner im Netzwerk mit Malware zu infizieren.

Somit bedroht die Lücke, die auch als PrintNightmare bezeichnet wird, nicht nur die WLAN Sicherheit, sondern komplette Netzwerke. Betroffen sind alle Windows-Betriebssystem ab der Version 7 SP1 bis Server 2019. Obwohl die Sicherheitslücke seit Anfang Juli bekannt ist, gab es bis zum Windows Patchday im September kein Update. Dies hat Microsoft nun nachgeholt. Bis jetzt haben sich Administratoren nur mit einem Workaround abgesichert. Es blieb nichts anderes übrig, als den Print-Spooler-Service vollständig zu deaktivieren. Dementsprechend standen auch die Funktionen des Dienstes nicht zur Verfügung.

Die Hintergründe des Windows Patchdays

Monatlich schließt der US-Softwareriese Microsoft Sicherheitslücken in seinen Windows-Betriebssystemen. Der Windows Patchday ist seit 2003 Tradition bei Microsoft. Dieser feste Termin, der immer auf den zweiten Dienstag eines Monats fällt, wurde eingeführt, um Administratoren eine Routine für das Einspielen von Updates zu geben. Der Sinn dahinter ist, dass Administratoren den exakten Tag kennen, wann die Sicherheitspatches von Microsoft erscheinen. Mit der Veröffentlichung der Patches haben auch Kriminelle einen besseren Zugriff auf die Informationen rund um die Sicherheitslücken. Dies erhöht die Gefahr, dass Cyberkriminelle die Lücken in der WLAN Sicherheit wie bei CVE-2021-36965 aktiv ausnutzen. Durch einen einheitlichen Termin für den Windows Patchday haben IT-Administratoren die Möglichkeit, sich diesen Tag für das Installieren von Sicherheitspatches zu reservieren und so die Bedrohungen für die WLAN Sicherheit und andere Bereiche unverzüglich zu minimieren.

Fazit

Der September 2021 zeigt, dass die Sicherheitslage von Betriebssystemen dynamisch ist. Mit über 60 gepatchten Sicherheitslücken fällt der Windows Patchday zwar vergleichsweise umfangreich aus, ungewöhnlich ist die Situation hingegen nicht. Jeden Monat entdeckt Microsoft Sicherheitslücken im Betriebssystem, die teilweise die WLAN Sicherheit und andere kritische Punkte bedrohen. Häufig ist Microsoft auf die Hilfe von dritten Parteien angewiesen und erhält entsprechende Hinweise zu IT-Sicherheitslücken auf diesem Weg, so auch vor dem Patchday im September.

Im Ergebnis zeigt sich, dass Betriebssysteme dermaßen komplex sind, dass immer eine unbekannte Anzahl an Lücken vorhanden sind. Außerdem entdecken Hacker stets neue Wege, um unbemerkt in Betriebssysteme wie Windows einzudringen. Für Unternehmen bedeutet das, dass es fahrlässig ist, sich ausschließlich auf die Sicherheit der Betriebssysteme zu verlassen. Es bedarf weiterer Sicherheitstechniken, um das eigene Netzwerk vor Cyberangriffen zu schützen. Mit den richtigen Mitteln ist es möglich, Hacker am Eindringen in die eigenen Systeme zu hindern oder umgehend zu erkennen, wenn Angreifer unbemerkte Aktionen im Netzwerk durchführen.

Wie stellen Sie Anomalieerkennung sicher? Kontaktieren Sie uns - wir beraten Sie gerne!

Durch Klicken auf die Schaltfläche "Absenden" bestätigen Sie, unsere Richtlinien zum Datenschutz gelesen zu haben. Sie geben Ihr Einverständnis zur Verwendung Ihrer personenbezogenen Daten zu dem von Ihnen angegebenen Zweck der Kontaktaufnahme durch die Allgeier secion, Zweigniederlassung der Allgeier CyRis GmbH.

* Pflichtfeld

Zurück