2021-1232: Microsoft Windows: Mehrere Schwachstellen ermöglichen u. a. das Umgehen von Sicherheitsvorkehrungen
Historie:
- Version 1 (2021-06-09 14:12)
- Neues Advisory
- Version 2 (2021-06-10 18:01)
- Wie die Sicherheitsforscher von Kaspersky in einem mittlerweile mehrfach zitierten Blogeintrag vom 8. Juni berichtet haben, werden einige der veröffentlichten und von Microsoft am Patchtag im Juni behobenen Zero-Day-Schwachstellen von der kürzlich erstmalig in Erscheinung getretenen Hackergruppe 'Puzzlemaker' aktiv ausgenutzt. Hierbei handelt es sich um eine Schwachstelle im Windows Kernel (CVE-2021-31955), welche das Ausspähen von Informationen ermöglicht, sowie eine Schwachstelle im Windows NTFS (CVE-2021-31956), welche eine Privilegieneskalation erlaubt. Für die aktuellen Angriffskampagnen nutzt Puzzlemaker offenbar einen Exploit, welcher für die aktuellsten Versionen von Windows 10 angepasst ist. Ebenfalls aktiv ausgenutzt wird eine als kritisch bewertete Schwachstelle in Windows MSHTML (CVE-2021-33742). Laut einer Twittermeldung des Sicherheitsforschers Shane Huntley existiert für diese Schwachstelle bereits ein kommerziell verfügbarer Exploit, der in begrenztem Umfang für Angriffe in Osteuropa und im Mittleren Osten eingesetzt wird.
- Version 3 (2022-06-15 12:21)
- Microsoft hat im Rahmen des Patchtags im Juni 2022 Sicherheitsupdates bereitgestellt, mit denen die zweite Phase der Härtung gegen die Schwachstelle CVE-2021-26414 umgesetzt wird. Nach Installation der Updates ist 'RPC_C_AUTHN_LEVEL_PKT_INTEGRITY' per Voreinstellung auf DCOM-Servern aktiviert. Falls erforderlich kann es mittels des Registry-Schlüssels 'RequireIntegrityActivationAuthenticationLevel' wieder deaktiviert werden.
- Version 4 (2022-06-29 08:30)
- Microsoft hat den Sicherheitshinweis zur Schwachstelle CVE-2021-26414 aktualisiert. Auch für alle unterstützten Editionen von Windows 10 Version 21H2, Windows Windows 11 und Windows Server 2022 stehen Sicherheitsupdates zur Härtung gegen die Schwachstelle bereit, durch welche 'RPC_C_AUTHN_LEVEL_PKT_INTEGRITY' per Voreinstellung auf DCOM-Servern aktiviert wird. Falls erforderlich kann es mittels des Registry-Schlüssels 'RequireIntegrityActivationAuthenticationLevel' wieder deaktiviert werden.
- Version 5 (2023-03-15 09:11)
- Microsoft informiert über die Veröffentlichung von Sicherheitsupdates am Patchtag im März 2023, um die Schwachstelle zu CVE-2021-26414 adressieren. Mit dieser dritten Phase der Härtung gegen die Schwachstelle werden die betreffenden Änderungen automatisch umgesetzt. Für weitere Informationen wird auf den Artikel 'Managing changes for Windows DCOM Server Security Feature Bypass (CVE-2021-26414)' verwiesen (siehe Referenz).
Betroffene Software
Systemsoftware
Betroffene Plattformen
Microsoft
Beschreibung:
Eine Vielzahl von Schwachstellen in den Windows-Komponenten Windows Print Spooler, Windows DCOM Server, Microsoft Enhanced Cryptographic Provider, Windows Kernel, Windows Kernel-Mode Driver, Windows Filter Manager, Windows Common Log File System Driver, Windows NTFS, Windows NTLM, Scripting Engine, Windows Bind Filter Driver, Kerberos AppContainer, VP9 Video Extensions, Windows Remote Desktop Services, Windows Cloud Files Mini Filter Driver, Windows TCP/IP Driver, Windows HTML Platform, Event Tracing for Windows, Windows GPSVC, Server for NFS, Hyper-V, Microsoft DWM Core Library und Windows MSHTML Platform ermöglichen es einem Angreifer aus der Ferne Informationen auszuspähen, Privilegien zu eskalieren, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen und Denial-of-Service (DoS)-Angriffe durchzuführen sowie lokal weitere Informationen auszuspähen, Privilegien zu eskalieren, Sicherheitsvorkehrungen zu umgehen und beliebigen Programmcode auszuführen. Mehrere Schwachstellen erfordern dabei die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung der Schwachstellen CVE-2021-31199 und CVE-2021-31201 (Microsoft Enhanced Cryptographic Provider) sowie CVE-2021-31977 (Hyper-V) kann Einfluss auf andere Komponenten haben. Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich.
Insgesamt stuft Microsoft drei der 27 Schwachstellen als 'kritisch' ein.
Besonders im Fokus stehen in diesem Monat die Schwachstellen in Microsoft DWM Core Library (CVE-2021-33739), Microsoft Enhanced Cryptographic Provider (CVE-2021-31199, CVE-2021-31201), Windows Kernel (CVE-2021-31955), Windows MSHTML Platform (CVE-2021-33742) und Windows NTFS (CVE-2021-31956), da diese laut Microsoft bereits ausgenutzt werden. Die Schwachstellen ermöglichen die Eskalation von Privilegien sowie das Ausführung beliebigen Programmcodes und führen damit zur vollständigen Kompromittierung der Systeme.
Eine weitere Schwachstelle in Kerberos AppContainer (CVE-2021-31962), welche diesen Monat den höchsten CVSS Base Score mit 9.4 hat, ermöglicht einem Angreifer in einer Unternehmensumgebung das Umgehen der Kerberos-Authentifizierung.
Im Rahmen des Patchtages im Juni 2021 stehen Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung. Diese können im Microsoft Security Update Guide über die Kategorie 'Windows' identifiziert werden. Die (kostenpflichtigen) Updates für Windows 7 und Windows Server 2008 finden sich in der Kategorie Extended Security Updates (ESU).
Microsoft informiert mit einer Aktualisierung des Security Advisory ADV990001 über die neuesten Servicing Stack Updates (SSU) für die unterschiedlichen Betriebssysteme und -versionen und weist darauf hin, dass diese unbedingt installiert werden müssen.
Schwachstellen:
CVE-2021-1675
Schwachstelle in Microsoft Windows ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-26414
Schwachstelle in Windows DCOM Server ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2021-31199 CVE-2021-31201
Schwachstellen in Microsoft Enhanced Cryptographic Provider ermöglichen PrivilegieneskalationCVE-2021-31951
Schwachstelle in Windows Kernel ermöglicht PrivilegieneskalationCVE-2021-31952
Schwachstelle in Windows Kernel-Mode Driver ermöglicht PrivilegieneskalationCVE-2021-31953
Schwachstelle in Windows Filter Manager ermöglicht PrivilegieneskalationCVE-2021-31954
Schwachstelle in Windows Common Log File System Driver ermöglicht PrivilegieneskalationCVE-2021-31955
Schwachstelle in Windows Kernel ermöglicht Ausspähen von InformationenCVE-2021-31956
Schwachstelle in Windows NTFS ermöglicht PrivilegieneskalationCVE-2021-31958
Schwachstelle in Windows NTLM ermöglicht PrivilegieneskalationCVE-2021-31959
Schwachstelle in Scripting Engine ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-31960
Schwachstelle in Windows Bind Filter Driver ermöglicht Ausspähen von InformationenCVE-2021-31962
Schwachstelle in Kerberos AppContainer ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2021-31967
Schwachstelle in VP9 Video Extensions ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-31968
Schwachstelle in Windows Remote Desktop Services ermöglicht Denial-of-Service-AngriffCVE-2021-31969
Schwachstelle in Windows Cloud Files Mini Filter Driver ermöglicht PrivilegieneskalationCVE-2021-31970
Schwachstelle in Windows TCP/IP Driver ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2021-31971
Schwachstelle in Windows HTML Platform ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2021-31972
Schwachstelle in Event Tracing for Windows ermöglicht Ausspähen von InformationenCVE-2021-31973
Schwachstelle in Windows GPSVC ermöglicht PrivilegieneskalationCVE-2021-31974
Schwachstelle in Server for NFS ermöglicht Denial-of-Service-AngriffCVE-2021-31975 CVE-2021-31976
Schwachstellen in Server for NFS ermöglichen Ausspähen von InformationenCVE-2021-31977
Schwachstelle in Windows Hyper-V ermöglicht Denial-of-Service-AngriffCVE-2021-33739
Schwachstelle in Microsoft DWM Core Library ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-33742
Schwachstelle in Windows MSHTML Platform ermöglicht Ausführen beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.