Juli-Patchday: Kritische Löcher in Windows-DNS-Server

Patchday Software
Anzeige

Beitrag teilen

Insgesamt hat Microsoft im Juli 123 einzigartige Schwachstellen behoben, von denen 18 als kritisch eingestuft wurden. Darunter ist auch CVE-2020-1463, die bereits ausgenutzt wurde.

Eine Premiere: Microsoft hat Servicing Stack Updates (SSUs) für alle Windows-Versionen in den Juli Patch Tuesday aufgenommen und behebt so eine kritische Schwachstelle: Bei CVE-2020-1346 handelt es sich um eine „Elevation of Privilege“-Lücke im Windows Modules Installer. Sie könnte es einem Angreifer ermöglichen, höhere Privilegien auf einem System zu erlangen. In diesem Fall müsste der Angreifer Code auf dem Zielsystem ausführen. Diese Schwachstelle betrifft alle Windows-Betriebssysteme, einschließlich Windows 7, Server 2008 und 2008 R2.

Anzeige

Wurmanfällige Sicherheitslücke

Wie erwähnt, weist der Windows DNS Server eine extrem kritische Sicherheitslücke (CVE-2020-1350) auf, die durchaus „wurmfähig“ ist. Das bedeutet, dass ein Angreifer diese Lücke ohne Authentifizierung remote ausnutzen und sich somit sehr schnell auf alle DNS-Server in der IT-Umgebung ausbreiten kann. Die CVE hat eine CVSS-Basisbewertung von 10.0, und Microsoft hat einige strenge Richtlinien zur Behebung dieser Schwachstelle bereitgestellt. In einem Blogeintrag des MSRC rät Microsoft denjenigen IT-Teams dringend, die das Update nicht schnell bereitstellen können, einen registrierungsbasierten Workaround zu verwenden. Mit seiner Hilfe lässt sich das Problem zumindest abmildern, bis das Update aufgespielt wird. Diese Problemumgehung selbst erfordert keinen Neustart des Systems.

Die in diesem Monat öffentlich bekannt gegebene Sicherheitslücke (CVE-2020-1463) erlaubt ebenfalls eine Erhöhung von Nutzerprivilegien. In diesem Fall handelt es sich um eine Sicherheitslücke in der Windows SharedStream Library, die Windows 10 und Server 2016 und höher betrifft. Die Sicherheitsanfälligkeit könnte es einem Angreifer ermöglichen, Code mit höheren Berechtigungen auszuführen. Der Angreifer müsste sich dazu lokal authentifizieren.

Anzeige
WatchGuard_Banner_0922

Alle 18 kritischen CVEs betreffen das Windows-Betriebssystem, IE, Office, SharePoint, .Net Framework und Visual Studio. IT-Teams sollten sich um Dinge wie Betriebssystem, Browser und Office mit Priorität widmen. Gleichfalls sollten aber auch SharePoint, .Net und Visual Studio nicht vernachlässigt werden.

Unglücklicherweise wissen Hacker leider auch, dass sich Administratoren und Sicherheits-Teams am Patch Tuesday zuerst um Schwachstellen kümmern, die von Microsoft als „kritisch“ eingestuft werden. Kriminelle fokussieren sich daher immer häufiger auf CVEs aus der Kategorie „wichtig“: Die Zero-Day-Exploits der letzten Monate sind ein Beleg dafür. Der Schweregrad einer CVE zeigt also nicht verlässlich an, wie hoch das Risiko eines Angriffs ist. IT-Teams sollten daher in ihre Patch-Strategie einen weiteren Indikator hinzufügen: Die Angabe „Exploitability Assessment“ gibt einen guten Hinweis, mit welcher Wahrscheinlichkeit eine Schwachstelle ausgenutzt wird.

Neues von Oracle & Co.

Oracle hat seine vierteljährliche CPU ebenfalls angekündigt. Hier die Highlights: Oracle Java SE wird 11 Schwachstellen beheben, die alle remote und ohne Authentifizierung ausnutzbar sind. Der höchste CVSS v3.1-Basiswert ist 8.3. Fusion-Middleware löst 53 CVEs auf, von denen sich 49 ebenfalls ohne Authentifizierung remote ausnutzen lassen. Die höchste CVSS v3.1-Basisbewertung liegt bei 9,8. MySQL behebt 40 Schwachstellen. Auch hier lassen sich sechs davon aus der Ferne und ohne Authentifizierung nutzen. Die höchste CVSS v3.1-Basisbewertung ist 9.8. Weitere Einzelheiten über das Oracle-Release gibt diese Ankündigung.

Adobe patch mit

Adobe hat zum Patch Tuesday fünf Bulletins veröffentlicht, aber nur eines enthielt eine kritische Sicherheitslücke. Adobe Creative Cloud Desktop Application hat vier CVEs behoben, darunter CVE-2020-9682, die als kritisch eingestuft wurde. Parallel hat das Unternehmen ein Flash Player-Update veröffentlicht – allerdings wurden in dieser Version keine CVEs gemeldet.

Google hat auch Patches

Google hat sich dem Reigen angeschlossen und ein Google Chrome-Update geliefert, das 38 Schwachstellen behebt, darunter mindestens eine kritische und viele hohe CVEs (Chrome 84.0.4147.89) Aus Sicht von Ivanti sollten IT-Teams in diesem Monat ein Update für Chrome und Java mit hoher Priorität in Betracht ziehen.

Chris Goettl
Letzte Artikel von Chris Goettl (Alle anzeigen)
 

Passende Artikel zum Thema

OneLogin: globale Studie zu Sicherheit im Homeoffice

OneLogin, eines der weltweit führenden Unternehmen im Bereich des Identitäts- und Zugriffsmanagements, hat heute eine neue globale Studie veröffentlicht, in ➡ Weiterlesen

Zyxel: neue KMU-Firewall-Modelle USG-FLEX-100/200/500

Während die Telearbeit zur neuen Normalität wird, stehen Unternehmen vor der Herausforderung, ihre Geschäftstätigkeit sicher zu gestalten und gleichzeitig die ➡ Weiterlesen

Malware, Phishing oder Unachtsamkeit – Was ist das größte Risiko für die IT-Sicherheit?

Nicht Angriffe von außen, sondern die eigenen Mitarbeiter stellen das größte Risiko für die IT-Sicherheit von Unternehmen dar. In der ➡ Weiterlesen

Kaspersky Endpoint Security for Business mit EDR Optimum & Sandbox

Zukunftsweisender 3-in-1-Lösungsansatz für erweiterte Cybersicherheit für mittelständische und große Unternehmen Die neueste Version der Kaspersky-Flaggschifflösung Endpoint Security for Business [1] ➡ Weiterlesen

Analyse-Ergebnisse des Kaspersky Threat Intelligence Portal

Viele eingereichte Anfragen als Link oder Datei an das Kaspersky Threat Intelligence Portal erweisen sich in der Analyse als Trojaner ➡ Weiterlesen

DriveLock Release 2020 mit neuen Funktionen

Das neue DriveLock 2020.1 Release kommt mit zahlreichen Verbesserungen und implementiert Kundenwünsche als Updates: Schwachstellen-Scanner, Self-Service Portal für Anwender, Pre-Boot ➡ Weiterlesen

Kaspersky Security Awareness Training

Kaspersky präsentiert die neue Schulungsplattform Kaspersky Adaptive Online Training, die in Kooperation mit Area9 Lyceum, dem Spezialisten für adaptives und ➡ Weiterlesen

Bitdefender GravityZone mit „Human Risk Analytics“

EDR-Modul jetzt auch On-Premises erhältlich zur Abmilderung von Ransomware-Attacken Bitdefender bietet ab sofort mit Human Risk Analytics eine zusätzliche Funktion ➡ Weiterlesen