Microsoft hat ein umfangreiches Patch Tuesday-Update für Mai veröffentlicht. Es beinhaltet nicht weniger als 66 einzigartige CVEs (Common Vulnerabilities and Exposures), die in diesem Monat gelöst wurden. Mit dabei sind zwei Zero-Day-Schwachstellen sowie zwei Offenlegungen. Die Updates in diesem Monat betreffen in erster Linie Microsoft Windows, den Internet Explorer, Edge, Office, das .Net Framework, den Exchange Server und den Host Compute Service Shim.
CVE-2018-8120 ist eine Sicherheitslücke in älteren Windows-Betriebssystemen (Windows 7, Server 2008, Server 2008 R2), die zufällig über Exploits entdeckt wurde. Diese Schwachstelle ermöglicht es einem Angreifer, der an einem System angemeldet ist, eine speziell gestaltete Datei auszuführen, um privilegierten Zugriff auf das System zu erhalten. Gelingt ihm das, hätte der Angreifer volle Rechte, um Programme zu installieren oder zu entfernen, Benutzer hinzuzufügen, Daten anzuzeigen, zu ändern oder zu löschen. Es handelt sich hierbei um eine Verwundbarkeit, bei der ein Bedrohungsakteur seine Privilegien erhöht, um vollen Zugriff auf ein System zu erhalten. Um zu verhindern, dass ein Angreifer quasi durch die Hintertür ein System übernimmt, ist das Prinzip der „geringsten Rechte“ sehr empfehlenswert. Es erschwert seine Möglichkeiten, sich ungehindert in einer Umgebung zu bewegen. Das Beispiel der CVE-2018-8120 zeigt allerdings auch, dass andere Sicherheitskontrollen wie Patching und Anwendungskontrolle erforderlich sind, um sich effektiv gegen einen Angreifer zur Wehr zu setzen.
Microsoft hat zum Patch Tuesday im Mai auch einen Fix für den ebenfalls „auf freier Wildbahn“ entdeckten Double Kill Exploit geliefert. CVE-2018-8174 behebt eine Sicherheitslücke in der Windows VBScript Engine, die es einem Angreifer erlauben könnte, den Speicher so zu beschädigen, dass er beliebigen Code im Kontext des aktuellen Benutzers ausführt. Diese Schwachstelle lässt sich auf mehreren Wegen ausnutzen: beispielsweise durch eine webbasierte, eingebettete ActiveX-Anwendung oder über speziell gestaltete Office-Dokumente, die die IE-Rendering-Engine verwenden. Kompromittierte Webseiten, die vom Benutzer bereitgestellte Inhalte oder Anzeigen akzeptieren oder hosten, können hierzu ebenfalls zum Einsatz kommen. Sollte der Angreifer keinen privilegierten Zugriff auf das System erhalten, ist ein zweistufiger Angriff denkbar – beispielsweise über eine Schwachstelle wie die CVE-2018-8120, die ihm höhere Rechte verschafft.
Öffentliche Bekanntmachungen von Microsoft
Zum Patch Tuesday im Mai hat das Unternehmen aus Redmond zudem auf zwei Schwachstellen öffentlich hingewiesen. Eine solche Bekanntmachung wird immer dann nötig, wenn klar ist, dass in der Öffentlichkeit ausreichend viele Informationen darüber zur Verfügung stehen, wie eine bestimmte Schwachstelle funktioniert. Ein Bedrohungsakteur nutzt in diesem Moment einen zeitlichen Vorteil bei der Entwicklung eines Exploits, noch bevor Unternehmen die Möglichkeit haben, ein Update aufzuspielen.
CVE-2018-8141 ist eine so genannte „Information Disclosure“-Schwachstelle im Windows-Kernel, aus der heraus ein Angreifer zusätzliche Informationen erhält, um das System weiter zu gefährden. CVE-2018-8170 ist wiederum eine Sicherheitslücke im Windows Image, die sich für eine unerlaubte Erweiterung von Benutzerrechten eignet. In beiden Fällen müsste es ein Angreifer schaffen, sich am System anzumelden oder einen lokal authentifizierten Zugriff auf das System zu erhalten.
Sicherheitslücken in Office
Neben den beiden Zero-Day-Schwachstellen, die Microsoft in seinen Betriebssystem-Updates behoben hat, wurden auch eine Reihe kritischer Schwachstellen in Microsoft Office gelöst. Für die IT-Abteilungen heißt dies, sowohl das Betriebssystem als auch Office vorrangig zu behandeln. Im Exchange-Server konnten im Mai mehrere Schwachstellen identifiziert und behoben werden. Die meisten davon wurden nur als „gering“ oder „wichtig“ eingestuft. Eine ist allerdings kritisch und benötigt eine gewisse Aufmerksamkeit: CVE-2018-8154 ist eine Sicherheitslücke, die es einem Angreifer ermöglichen könnte, beliebigen Code im Kontext des Systembenutzers auszuführen.
Auf Seiten der Dritthersteller kommt eine Meldung von Adobe. Das Unternehmen hat ein Update für den Adobe Flash Player veröffentlicht. Es löst zwar nur ein CVE, das allerdings als kritisch eingestuft wird. Der Flash Player ist immer noch ein hochrangiges Angriffsziel auf Endbenutzersystemen. Wir empfehlen, dieses Update in jedem Fall aufzuspielen.
Live-Webinar zum Patch Tuesday im Mai
Wie jeden Monat stellt Ivanti eine detaillierte Analyse der Updates auf seine Patch-Tuesday-Webseite. Im Rahmen eines LIVE-Webinars am 9. Mai um 17.00 Uhr können sich IT- und Security-Verantwortliche daneben zu den Details der Updates informieren.