12/5/2021

Patchday Mai

Wir haben die wichtigsten Informationen des Patchdays Mai 2021 für Sie zusammengetragen (Microsoft, SAP, Adobe).
Von
Michael Döhmen
Marketing & IT-Security Enthusiast
und

Und monatlich grüßt das Murmeltier. Schon wieder sind vier Wochen vergangen: Jeden zweiten Dienstag im Monat werden von Microsoft, Adobe und SAP die neuesten Sicherheitsupdates veröffentlicht. Jegliche Software sollte jeweils auf die neueste Version aktualisiert und Sicherheitsupdates installiert werden. Denn die Angreifer sind auf zack und nutzen häufig neu bekanntgemachte Schwachstellen aus. Seit gestern Abend sind die Updates verfügbar.

Microsoft

Ganz wichtiger Hinweis: Windows 10, Version 1909 wird am 11. Mai 2021 für Geräte mit den Editionen Home, Pro, Pro für Workstation, Nano Container und Server SAC auslaufen. Nach dem 11. Mai 2021 werden diese Geräte keine monatlichen Sicherheits- und Qualitätsupdates mehr erhalten, die Schutz vor den neuesten Sicherheitsbedrohungen bieten. Um weiterhin Sicherheits- und Qualitätsupdates zu erhalten, empfiehlt Microsoft ein Update auf die neueste Version von Windows 10.

Laut ZeroDayInitiative veröffentlichte Microsoft im Mai Patches für 55 CVEs in Microsoft Windows, .NET Core und Visual Studio, Internet Explorer (IE), Microsoft Office, SharePoint Server, Open-Source-Software, Hyper-V, Skype for Business und Microsoft Lync sowie Exchange Server. Insgesamt 13 dieser Bugs wurden über das ZDI-Programm gefunden. Von diesen 55 Bugs sind vier als kritisch, 50 als wichtig und einer als mittelschwer eingestuft. Laut Microsoft sind drei dieser Bugs öffentlich bekannt, aber keiner wird zum Zeitpunkt der Veröffentlichung als aktiv ausgenutzt aufgeführt.

Wir geben ein paar Insights zu den CVEs mit den höchsten CVSS-Werten: 

CVE-2021-31166 - HTTP-Protokollstapel-Schwachstelle für entfernte Code-Ausführung

Dieser Patch behebt einen Fehler, der es einem nicht authentifizierten Angreifer ermöglichen könnte, Code aus der Ferne als Kernel auszuführen. Ein Angreifer müsste lediglich ein speziell präpariertes Paket an einen betroffenen Server senden. Bitte beachten Sie: Windows 10 kann auch als Webserver konfiguriert werden und ist daher ebenfalls betroffen. Deshalb setzen Sie dies lieber ganz oben auf die Test- und Implementierungsliste.

CVE-2021-28476 - Hyper-V Remote Code Execution Vulnerability

Mit einem CVSS-Wert von 9,9 erreicht dieser Fehler die höchste Schwerebewertung für die Veröffentlichung dieses Monats. Microsoft weist jedoch darauf hin, dass ein Angreifer diese Schwachstelle eher für einen Denial-of-Service in Form eines Bugchecks als für eine Codeausführung missbrauchen wird. Aus diesem Grund könnte man argumentieren, dass die Angriffskomplexität hoch wäre, was die CVSS-Bewertung auf 8,5 ändert. Das ist immer noch ein hoher Schweregrad, aber nicht kritisch. Dennoch ist allein die Fehlerüberprüfung es wert, dass Sie sicherstellen, dass Ihre Hyper-V-Systeme dieses Update erhalten.

CVE-2021-27068 - Sicherheitsanfälligkeit in Visual Studio für Remotecode-Ausführung

Dieser Patch behebt einen ungewöhnlichen Fehler in Visual Studio 2019, der die Ausführung von Code ermöglichen könnte. Er ist ungewöhnlich, weil er keine Benutzerinteraktion erfordert, so dass unklar ist, wie ein Angreifer diese Sicherheitsanfälligkeit ausnutzen würde. Es scheint, dass der Angreifer auf irgendeiner Ebene authentifiziert sein muss, aber die Angriffskomplexität wird als gering angegeben. Wenn Sie ein Entwickler sind, der Visual Studio einsetzt, stellen Sie sicher, dass Sie dieses Update einspielen.

CVE-2020-24587 - Sicherheitslücke bei drahtlosen Windows-Netzwerken mit Offenlegung von Informationen

Normalerweise weisen wir nicht auf Fehler hin, die Informationen preisgeben, aber dieser hat das Potenzial, ziemlich schädlich zu sein. Dieser Patch behebt eine Schwachstelle, die es einem Angreifer ermöglichen könnte, den Inhalt von verschlüsselten drahtlosen Paketen auf einem betroffenen System offenzulegen. Es ist nicht klar, wie groß die Reichweite eines solchen Angriffs wäre, aber Sie sollten davon ausgehen, dass eine gewisse Nähe erforderlich ist. Sie werden auch feststellen, dass diese CVE aus dem Jahr 2020 stammt, was darauf hindeuten könnte, dass Microsoft schon seit einiger Zeit an dieser Lösung arbeitet.

Alle CVEs stellen eine Angriffsfläche für Angreifer dar und sollten schnellstmöglich behoben werden. Microsoft stellt dafür alle Sicherheitsupdates im Security Update Guide bereit.

Adobe

Im Mai veröffentlichte Adobe 12 Patches, die 44 CVEs in Experience Manager, InDesign, Illustrator, InCopy, Adobe Genuine Service, Acrobat und Reader, Magento, Creative Cloud Desktop, Media Encoder, After Effects, Medium und Animate beheben.

Das Update für Acrobat und Reader sollte die höchste Priorität haben. Eine der 14 CVEs, die durch diesen Patch behoben werden, wird als derzeit in freier Wildbahn verwendet aufgeführt. Der Fehler (CVE-2021-28550) ist einer von drei Use-After-Free (UAF)-Fehlern, die durch diesen Patch behoben werden. Diese und andere Schwachstellen könnten zur Codeausführung führen, wenn jemand eine speziell gestaltete PDF-Datei mit einer betroffenen Version von Acrobat oder Reader öffnet. Das Update für InDesign sticht ebenfalls hervor. Diese Fehler resultieren aus dem Fehlen einer ordnungsgemäßen Validierung der vom Benutzer bereitgestellten Daten, was zu einem Schreiben über das Ende einer zugewiesenen Struktur hinaus führen kann. Ein Angreifer kann diese Sicherheitslücke ausnutzen, um Code im Kontext des aktuellen Prozesses auszuführen.

Abgesehen von dem einen Reader-Bug ist keine der anderen Schwachstellen, die Adobe in diesem Monat gepatcht hat, zum Zeitpunkt der Veröffentlichung als öffentlich bekannt oder aktiv angegriffen gelistet.

SAP

Für den Monat Mai können wir bei SAP einen Abfall in den Security Notes feststellen. Was nicht heißt, dass diese ignoriert werden dürfen: 

Source: Security Notes vs Priority Distribution (December 2020 – May 2021)**

Zu den neuen Security Notes gibt es eine offizielle Warnmeldung vom BSI. Diese umfasst folgende CVEs: 

Bitte achten Sie hierbei insbesondere auf die CVEs 21466 und 27602, die beide mit einem CVSS von 9.9 bewertet wurden.

Markieren Sie sich schon jetzt den nächsten Patchday rot im Kalender: 08.06.2021.

Bis dahin bleiben Sie sicher und gesund!

Sie haben Fragen zum Patch-Management?

Wir unterstützen Sie bei der Ausarbeitung eines Patch-Managements für Ihr Unternehmen.
Weitere Informationen finden Sie hier.

Lesen sie Weitere Artikel passend zum thema