Am Dienstag hat Microsoft eine rekordverdächtige Zahl an Patches vorgestellt. Zudem wurde am Montag eine 1-Day-Schwachstelle in der V8 JavaScript-Engine, die von Google Chrome und Microsoft Edge verwendet wird öffentlich. Satnam Narang, Staff Research Engineer bei Tenable, kommentiert diese Entwicklungen.
„Das Patch Tuesday Release dieses Monats adressiert 108 CVEs, von denen 19 als kritisch eingestuft sind. Dies ist das erste Mal im Jahr 2021, dass Microsoft über 100 CVEs gepatcht hat. Im Jahr 2021 wurden bisher 329 CVEs adressiert.
Im vergangenen Monat hat ein Out-of-Band-Update vier kritische Zero-Days in Microsoft Exchange Server adressiert, die in freier Wildbahn ausgenutzt wurden, darunter ProxyLogon. Nun hat Microsoft diesen Monat vier weitere kritische Exchange Server-Schwachstellen gepatcht: CVE-2021-28480, CVE-2021-28481, CVE-2021-28482, CVE-2021-28483. Die Entdeckung aller vier wird der National Security Agency zugeschrieben, wobei zwei auch von Microsoft intern entdeckt wurden. Diese Schwachstellen wurden anhand des Exploitability Index von Microsoft als “Exploitation More Likely” eingestuft. Bei zwei der vier Schwachstellen (CVE-2021-28480, CVE-2021-28481) handelt es sich um eine Pre-Authentication, d. h. ein Angreifer muss sich nicht beim anfälligen Exchange-Server authentifizieren, um die Schwachstelle auszunutzen. Angesichts des großen Interesses an Exchange Server seit letztem Monat ist es wichtig, dass Unternehmen diese Exchange Server-Patches sofort anwenden.
Microsoft hat außerdem den Patch CVE-2021-28310 installiert, eine Win32k-Schwachstelle, die als Zero-Day ausgenutzt wurde. Die Ausnutzung dieser Schwachstelle würde dem Angreifer erhöhte Rechte auf dem verwundbaren System geben. Dies würde einem Angreifer erlauben, beliebigen Code auszuführen, neue Konten mit vollen Rechten zu erstellen, auf Daten zuzugreifen und/oder diese zu löschen und Programme zu installieren. Elevation-of-Privilege-
Über den „Chrome 0day“, der durch eine 1-Day-Schwachstelle ausgelöst wurde, meint Satnam Narang:
„Es gibt Berichte über eine 1-Day-Schwachstelle in der V8 JavaScript-Engine, die von Google Chrome und Microsoft Edge (Chromium) verwendet wird. Diese Schwachstelle wurde am 12. April in den sozialen Medien bekannt gegeben. Es scheint sich dabei um denselben Fehler zu handeln, der bereits Anfang des Monats beim Pwn2Own-Wettbewerb gemeldet wurde. Die bekannte Sicherheitslücke wurde bereits in der V8-Engine gepatcht, aber noch nicht in Chrome und Edge.
Es ist zwar besorgniserregend, dass Details über eine Sicherheitslücke in beliebten Webbrowsern öffentlich bekannt geworden sind. Die Besorgnis ist aber praktisch unbegründet, da die Sicherheitslücke selbst nicht aus der Sandbox von Google entkommen kann. Das bedeutet, dass ein Angreifer weder das zugrundeliegende Betriebssystem kompromittieren noch auf vertrauliche Informationen zugreifen kann. Es ist wie mit dem Klatschen in die Hände: Man kann nicht mit nur einer Hand klatschen, man braucht beide. In ähnlicher Weise müsste ein Angreifer in diesem Fall diese V8-Schwachstelle mit einer zweiten Schwachstelle koppeln, um die Sandbox zu umgehen. Trotzdem raten wir Anwendern und Unternehmen dringend, ihre Browser wie Chrome und Edge so schnell wie möglich zu patchen, da ungepatchte Browser und Systeme ein lohnendes Ziel für Cyberkriminelle und APT-Gruppen sind.“