Patchday: Microsoft meldet abermals Attacken auf Windows
Windows-Admins kommen nicht zur Ruhe und müssen das Betriebssystem aufs Neue durch die Installation von Sicherheitspatches vor derzeit stattfindenden Attacken schützen. Diesen Monat kümmert sich Microsoft zum wiederholten Male um Drucker-Lücken und schließt ein Schlupfloch für NTLM-Relay-Angriffe.
Am Patchday im August stellt Microsoft knapp 50 Sicherheitspatches über Windows Update bereit. Drei Sicherheitslücken (CVE-2021-36936 Windows Print Spooler „hoch“, CVE-2021-36942 Windows LSA „hoch“, CVE-2021-36942 Windows Update Medic Service „hoch“) sind bereits öffentlich bekannt. Letztere nutzen Angreifer einer Warnmeldung von Microsoft zufolge derzeit aktiv aus, um sich höhere Nutzerrechte anzueignen. Wie Attacken funktionieren und in welchem Umfang diese stattfinden, ist derzeit nicht bekannt. Angriffe auf die anderen beiden Schwachstellen könnten kurz bevorstehen.
PrintNightmare unvollständig?
Abermals schließt Microsoft Sicherheitslücken im Printer-Spooler-Service von Windows. Aufgrund der Schwachstellen in der Point-and-Print-Funktion könnten Angreifer Systeme dazu bringen, sich mit einem unter ihrer Kontrolle befindlichen Server zu verbinden und so mit Schadcode versehene Drucker-Treiber zu installieren. Davon sind alle Windows-Versionen inklusive Windows Server betroffen.
Aktuelle Sicherheitspatches setzen unter anderem erneut an der PrintNightmare-Lücke CVE-2021-34481 an. Nach der Installation ist die Nutzung der Point-and-Print-Funktion nur noch für Admins möglich. Der Sicherheitsforscher Benjamin Delpy hat jedoch bereits verkündet, dass sein PoC immer noch funktioniert und er sich als Standard-Nutzer System-Rechte verschaffen konnte. Microsoft hat mit PrintNightmare seit Anfang Juli alle Hände voll zu tun.
PetitPotam-Lücke geschlossen
Durch das erfolgreiche Ausnutzen der PetitPotam-Schwachstelle (CVE-2021-36942, „hoch“) können Angreifer eine NTLM-Relay-Attacke ausführen und am Ende die volle Kontrolle über eine Windows-Domain erlangen. Bislang gab es nur Workarounds, um Systeme abzusichern.
Nun ist ein Patch erschienen, der die in eine Attacke involvierten APIs OpenEncryptedFileRawA und OpenEncryptedFileRawW über das LSARPC-Interface blockiert. Das kann unter Windows 7 Service Pack 1 und Windows Server 2008 R2 Service Pack jedoch zu Problemen mit nicht näher benannter Backup-Software führen. Microsoft verweis an dieser Stelle auf die Hersteller der Backup-Software, die ein Update bereitstellen sollen.
Weitere gefährliche Schwachstellen
„Kritische“ Lücken finden sich unter anderem in Microsoft Graphics Component, MSHTML Platform und Windows TCP/IP. Nach erfolgreichen Attacken könnten Angreifer Schadcode auf Systeme schieben und ausführen.
(des)