zurück zur Übersicht

Schwerwiegende Schwachstellen in Windows Betriebssystemen

Wenig beachtet, doch nicht minder gefährlich

Weitestgehend ungenannt und in den Nachrichten kaum vertreten sind zwei aktuelle Remote Code Execution (RCE) Schwachstellen in allen aktuellen Windows Server- und Desktopbetriebssystemen (Windows Server 2016, 2012, 2008 bzw. Windows 10, 7 und 8.1) von Microsoft. Die „LNK Remote Code Execution Vulnerability“ getaufte Schwachstelle (CVE-2017-8464) ermöglicht es Angreifern über manipulierte *.lnk Dateien beliebigen Code auf dem Zielsystem auszuführen. Eine mit entsprechendem Anhang ausgestattete E-Mail oder ein entsprechender USB-Stick reichen aus, um Systeme initial zu infizieren. Wenn Sie jetzt denken, das Sie dies schon einmal gelesen haben, so liegen Sie absolut richtig. Diese Art von Schwachstelle wurde bereits von der Malware „Stuxnet“ verwendet und fand wenig später im Rahmen der Zero-Day Initative wieder Beachtung.

Eine weitere RCE betrifft die Windows Suche. Microsoft schreibt im entsprechenden Bulletin zum CVE-2017-8543 folgendes:

To exploit the vulnerability, the attacker could send specially crafted messages to the Windows Search service. An attacker with access to a target computer could exploit this vulnerability to elevate privileges and take control of the computer. Additionally, in an enterprise scenario, a remote unauthenticated attacker could remotely trigger the vulnerability through an SMB connection and then take control of a target computer.

Patch early, patch often!

Microsoft stellt seit Juni für beide Schwachstellen entsprechende Patches bereit, die schnellstmöglich verteilt werden sollten. Aktuell sind noch keine aktiven Angriffe bekannt. Allerdings gibt es bereits ein fertiges Metasploit Plug-In für die beschriebene LNK Vulnerability, mit dem die Schwachstelle ausgenutzt werden kann. Erfahrungsgemäß ist es dann nur eine Frage der Zeit, bis Angreifer versuchen die Lücke in freier Wildbahn für ihre Zwecke auszunutzen.

Erneut zeigt sich, dass ein funktionierendes Patchmanagment für den sicheren und zuverlässigen Betrieb von Windows Umgebungen unerlässlich ist. Wer sich zudem gegen Zero-Day Exploits effektiv schützen möchte, kommt an einer geeigneten Next Generation Endpoint Security Lösung nicht vorbei.

Schreibe einen Kommentar