Alert!

Patchday: Microsoft stopft kritische Lücken in Exchange Server

Für unter anderem Hyper-V, Office und Windows stehen wichtige Sicherheitsupdates zum Download bereit. Einige Lücken gelten als kritisch.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 7 Beiträge
Von
  • Dennis Schirrmacher

Am letzten Patchday dieses Jahres hat Microsoft insgesamt 58 Sicherheitslücken geschlossen. Wer Windows und andere Software von Microsoft nutzt, sollte sicherstellen, dass Windows Update die Sicherheitspatches für unter anderem Azure DevOps, Azure SDK, Azure Sphere, ChakraCore, Edge, Exchange Server, Visual Studio und Windows installiert hat. In der Standardeinstellung geschieht das automatisch.

Neun Lücken sind mit dem Bedrohungsgrad "kritisch" eingestuft. Diese Schwachstellen betreffen Chakra Scripting Engine von Edge, Dynamics for Finance Operations, Exchange, Hyper-V und SharePoint.

Nutzen die Angreifer die Lücken aus, könnten sie beispielsweise aus einer VM ausbrechen (CVE-2020-17095) und Schadcode im Host-System ausführen. Für eine erfolgreiche Attacke muss ein Angreifer in der Lage sein, eine von ihm erstellte Applikation im Gast-System starten zu können. Anschließend kommt es Microsoft zufolge zu Fehlern bei der Verarbeitung von vSMB-Paket-Daten und im Host-System könnte Schadcode landen.

Microsoft Exchange ist über drei kritische Schwachstellen angreifbar. Auf eine Lücke (CVE-202017132) sind drei unabhängig voneinander arbeitende Sicherheitsforscher gestoßen. Viele Infos verrät Microsoft in der Warnmeldung nicht. Dort steht nur, dass ein Angreifer authentifiziert sein muss. Aufgrund der Einstufung kann man aber davon ausgehen, dass Exchange Server nach erfolgreichen Attacken vollständig kompromittiert sind.

Auch die Lücken in SharePoint könnten Schadcode auf Systeme lassen. Dafür muss das Opfer aber mitspielen. Damit Attacken auf Dynamics 365 klappen, muss ein Angreifer authentifiziert sein.

Der Großteil der verbleibenden Lücken ist als "wichtig" eingestuft. Hier könnten Angreifer zum Beispiel auf eigentlich abgeschottete Dateien in Windows-Fehlerberichten zugreifen oder sich über die Backup Engine höhere Nutzerrechte verschaffen.

Weitere Infos zu allen Sicherheitslücken und Updates finden sich im Security Update Guide. Darüber hinaus hat Microsoft noch einen Sicherheitshinweis über eine DNS-Spoofing-Schwäche in Windows Server 2008 bis 2019 veröffentlicht.

(des)