Mit den im September bereitgestellten Updates will Microsoft insgesamt 79 Sicherheitslücken schließen. Darunter sind 17 Schwachstellen, die Microsoft als kritisch einstuft. Diese betreffen Windows, die Browser Edge und Internet Explorer, die Office-Familie sowie Azure DevOps und Team Foundation Server. Die die meisten übrigen Lücken stuft Microsoft als hohes Risiko ein, eine als nur mäßig gefährlich. Details zu allen Schwachstellen bietet Microsoft zum Selbstsuchen im unübersichtlichen Security Update Guide. Weniger kleinteilig und dafür übersichtlicher bereiten etwa die Blogger bei Trend Micro ZDI das Thema Patch Day auf.
Internet Explorer (IE)
Das neue kumulative Sicherheits-Update (4516046) für den Internet Explorer 9 bis 11 beseitigt vier Schwachstellen in dem Browser-Urgestein. Drei Lücken sind als kritisch eingestuft. Die vierte Schwachstelle teilt sich der IE mit Edge.
Edge
Im Browser Edge hat Microsoft im August sieben Lücken gestopft, von denen der Hersteller fünf als kritisch einstuft. Die Scripting Engine „Chakra“ ist auch diesmal in vielen Fällen die Fehlerquelle, namentlich bei allen kritischen Lücken. Chakra und Edge behandeln Speicherobjekte nicht korrekt und ermöglichen es so einem Angreifer Code einzuschleusen und mit Benutzerrechten auszuführen. Microsoft fügt dem Browser jetzt das Attribut „EdgeHTML-based“ an, um ihn von der zukünftigen, Chromium-basierten Variante abzugrenzen. Edge (Chromium) ist bereits als Vorabversion erhältlich.
Office
Für seine Office-Familie liefert Microsoft auch im September Updates gegen 13 Sicherheitslücken aus. Microsoft stuft drei dieser Lücken als kritisch ein, die alle in Sharepoint stecken. Eine Excel-Schwachstelle (CVE-2019-1296) ermöglicht es einem Angreifer, mit präparierten Dokumenten Code einzuschleusen, ist jedoch nur als wichtig eingestuft. Sie betrifft neben Excel 2010 und neuer auch Office 365 ProPlus sowie Office 2016 und 2019 für Mac. In der zu Office 365 für Unternehmen gehörenden Android-App Yammer hat Microsoft eine Lücke geschlossen, die das Umgehen von Sicherheitsmaßnahmen erlaubt.
Windows
Der überwiegende Teil der Schwachstellen, 49 Lücken, verteilt sich über die verschiedenen Windows-Versionen, für die Microsoft noch Sicherheits-Updates anbietet. Als kritisch stuft Microsoft fünf dieser Lücken ein. Allein vier dieser Lücken betreffen den Remote Desktop Client, nicht jedoch die Dienste, haben also nichts mit „BlueKeep“ und „DejaBlue“ zu tun. Ein Angreifer müsste ein potenzielles Opfer dazu bringen, sich mit einem präparierten RDP-Server zu verbinden.
Die fünfte Lücke, die als kritisch gilt, ist eine weitere LNK-Schwachstelle (CVE-2019-1280). Im Gegensatz zu ihrem Vorgänger aus dem August (CVE-2019-1188) betrifft diese Lücke alle Windows-Versionen, auch Server. Platziert ein Angreifer eine präparierte LNK-Datei auf einem USB-Medium oder einer Netzwerkfreigabe und öffnet ein Benutzer diese Datei, wird Code mit Benutzerrechten ausgeführt.
0-Day-Lücken
Zwei Windows-Schwachstellen werden bereits für Angriffe genutzt (CVE-2019-1214, CVE-2019-1215) und betreffen alle Windows-Versionen. CVE-2019-1215 steckt im integrierten Winsock2-Dateisystem (ws2ifsl.sys), CVE-2019-1214 im Common Log File System (CLFS). Angriffe, die CVE-2019-1214 ausnutzen, sind bislang nur bei älteren Windows-Versionen bekannt. Angriffe via CVE-2019-1215 gelten sowohl neueren als auch älteren Systemen. In beiden Fällen kann sich ein Angreifer, der nur Benutzerrechte hat, zum lokalen Administrator machen.
Bereits vor dem Update-Dienstag öffentlich bekannt waren zwei weitere Windows-Lücken. Die Schwachstelle CVE-2019-1294 betrifft Secure Boot in Windows 10 und Windows Server. Ein Angreifer mit physischem Zugriff auf den Rechner kann Schutzmaßnahmen umgehen und geschützte Inhalte des Kernel-Speichers auslesen.
Tavis Ormandy (Google Project Zero) hat die Lücke CVE-2019-1235 entdeckt und Mitte August veröffentlicht. Sie steckt im Text Service Framework, das alle Windows-Versionen seit XP mitbringen. Ein Angreifer mit Benutzerrechten kann sich höhere Rechte verschaffen und nahezu jedes Programm oder gleich das ganze System kapern. Voraussetzung ist allerdings, dass ein Input Method Editor (IME) auf dem System installiert ist. Das trifft typischerweise auf Rechnern mit Unterstützung für Japanisch oder andere ostasiatische Sprachen zu.
Weitere Schwachstellen
Eine DoS-Lücke (Denial of Service) in Exchange Server 2016 und 2019 kann es einem Angreifer ermöglichen, einen Exchange Server mit einer präparierten Mail abzuschießen. Dazu genügt es bereits, wenn die Mail nur auf dem Exchange Server landet, Benutzeraktionen sind nicht erforderlich.
Die vorerst letzte kritische Schwachstelle betrifft Azure DevOps (ADO) und Team Foundation Server (TFS). Ein Angreifer müsste eine präparierte Datei hochladen und darauf warten, dass der Server sie in den Index aufnehmen will. Dabei wird eingeschleuster Code mit den Rechten des Dienstekontos auf dem Server ausgeführt. Trend Micro ZDI hat dazu weitere Details sowie ein Video angekündigt.
Flash Player
Adobes Update für den Flash Player, das Microsoft durchreicht, beseitigt zwei als kritisch eingestufte Sicherheitslücken. Der neue Flash Player hat die Versionsnummer 32.0.0.255.
Das Windows-Tool zum Entfernen bösartiger Software hat Microsoft bislang noch nicht in einer neuen Version zum Download bereitgestellt. Der nächste turnusmäßige Patch Day ist am 8. Oktober 2019.
Update-Dienstag
12.09.2019
Frank Ziemann war 20 Jahre lang selbstständiger IT-Sicherheitsberater und Übersetzer englischsprachiger Fachartikel. Er ist Gründer des Hoax-Info-Service (http://hoax-info.de) an der TU Berlin, den er seit 1997 betreibt.
Beim Update-Dienstag im September hat Microsoft 17 als kritisch eingestufte Sicherheitslücken geschlossen. Zwei Schwachstellen in Windows werden bereits für Angriffe ausgenutzt.