Satnam Narang, Experte für Cybersicherheitsschwachstellen bei Tenable, kommentiert den aktuellen Patch Tuesday Release von Microsoft.
Das aktuelle Patch Tuesday Release enthält Fixes für 67 CVEs – sieben, die als kritisch eingestuft werden, einschließlich einer Zero-Day-Schwachstelle, die in freier Wildbahn ausgenutzt wurde. CVE-2021-43890 ist eine Spoofing-Schwachstelle im Windows AppX Installer, einem Installationsprogramm, das zur Installation von APPX-Apps auf Windows 10-Systemen verwendet wird. Berichten zufolge wurde diese Sicherheitslücke schon für Attacken eingesetzt. Sie wurde mit Angriffen im Zusammenhang mit der Emotet/TrickBot/Bazaloader-Familie in Verbindung gebracht. Das Emotet-Botnet wurde zwar im Januar abgeschaltet, ist aber im November wieder aufgetaucht.
Um diese Schwachstelle auszunutzen, müsste ein Angreifer einen Benutzer dazu bringen, einen gefährlichen Anhang zu öffnen, was durch einen Phishing-Angriff geschehen würde. Sobald die Schwachstelle ausgenutzt wird, hätte der Angreifer erweiterte Rechte, insbesondere wenn das Konto des Opfers über Administratorrechte auf dem System verfügt. Für den Fall, dass ein Patching nicht in Frage kommt, hat Microsoft einige Umgehungsmöglichkeiten zum Schutz vor der Ausnutzung dieser Sicherheitslücke bereitgestellt.
Microsoft hat außerdem einen Patch für CVE-2021-43883 bereitgestellt, eine Sicherheitslücke in Windows Installer, die eine Erhöhung der Berechtigungen ermöglicht. Dies scheint ein Fix für einen Patch-Bypass von CVE-2021-41379 zu sein, eine weitere Sicherheitslücke in Windows Installer, die Berichten zufolge im November behoben wurde. Die Forscher entdeckten jedoch, dass diese Korrektur unvollständig war, und ein Proof-of-Concept wurde Ende letzten Monats veröffentlicht.
Ebenfalls kommentiert Satnam Narang die aktuellen Entwicklungen rund um die Log4j-Schwachstelle:
Einige Tage nach der Entdeckung von Log4Shell sehen wir bereits Berichte über staatlich gesponserte Angreifer sowie über die Hacker-Gruppe hinter der Khonsari-Ransomware, die Log4Shell als Teil ihrer Angriffskampagne nutzten. Es ist erwähnenswert, dass erste Analysen ergeben, dass die Khonsari-Ransomware nicht sehr ausgereift ist. Nichtsdestotrotz können Kriminelle damit Dateien verschlüsseln. Obwohl dies die erste bekannte Instanz von Ransomware ist, die für Angriffe durch die Log4Shell-Schwchstelle genutzt wird, so wird es sicher nicht lange dauern, bis wir von Angriffen hören, die von Partnern durchschlagskräftiger Ransomware-Gruppen gestartet werden, die diese Schwachstelle ausnutzen.