Microsoft
soll am Patchday im Mai 55 Sicherheitsprobleme aus der Welt geschafft
haben. Unter anderem stehen Sicherheitspatches für Hyper-V,
Internet Explorer, Office, SharePointServer und Windows zum Download
bereit. Mit dem Bedrohungsgrad "kritisch" werden 4 von
den 55 Sicherheitslücken eingestuft. Die Schwachstelle (CVE-2021-31166)
im HTTP Protocol Stack (http-sys) gilt dabei als besonders gefährlich.
Diese Schwachstelle soll Windows 10 2004, 20H2 und Windows Server
20H2 bedrohen.
Angreifer könnten ohne Anmeldung aus der Ferne Schadcode mit
Kernel-Rechten ausführen, schreibt Microsoft in einer Warnmeldung.
Die Angreifer müssten dafür lediglich präparierte
Pakete an verwundbare Systeme schicken. Funktioniert ein solcher
Angriff, könnte sich Malware wurmartig verbreiten. Ein Trojaner
könnte so von einem Server zum nächsten Springen und so
ganze Netzwerke infizieren.
Der Hyper-V ist von der kritischen Lücke (CVE-2021-28476)
betroffen. Angreifer könnten nach einer erfolgreichen Attacke
den Host abstürzen lassen (DoS). Die dritte kritische Lücke
(CVE-2021-26419) betrifft den Internet-Explorer. Dafür müssen
Angreifer Nutzer auf eine präparierte Webseite locken. Im Anschluss
könnte es zur Ausführung von Schadcode kommen. Im OLE-Protokoll
befindet sich die vierte kritische Lücke (CVE-2021-31194) und
diese bedroht verschiedene Windows-Versionen. Derzeit ist zu möglichen
Angriffsszenarien und Auswirkungen nichts bekannt.
Microsoft zufolge sind die drei Schwachstellen (CVE-2021-31200,
CVE-2021-31204, CVE-2021-31207) öffentlich bekannt, es soll
aber noch keine Attacken geben. Die Einstufung für die Lücken
in .NET
Core und Visual Studio ist mit "wichtig" angegeben.
In Exchange Server ist die Lücke mit "moderat" eingestuft.
Angreifer könnten sich höhere Rechte aneignen oder sogar
eigenen Code ausführen.
Microsoft listet in seinem Security Update Guide weitere Informationen
zu den Sicherheitsproblemen auf.
(hv, hannover)
(siehe auch: Heise-News-Ticker)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|