Microsoft hat den Mai Patch-Day am 11.05.2021 genutzt und neue Updates für alle Windows-Versionen herausgegeben. Neben Patches für die aktuellen Windows 10-Versionen gibt es Updates für deren Vorgänger. Insgesamt wurden 55 Updates veröffentlicht, von denen 4 als „KRITISCH“ eingestuft wurden!
Die Updates werden allen Nutzern empfohlen, da sie Sicherheitslücken schließen und Verbesserungen einführen. Alle Änderungen und verfügbaren Varianten für Desktop, Server oder HoloLens führt Microsoft im Windows10 Update-Verlauf auf und hat dazu die entsprechenden Knowledge-Base-Artikel veröffentlicht.
Ich möchte hiermit auf eine der vier kritischen Lücken aufmerksam machen, da diese für den normalen Home-User, aber auch für Serversysteme extremst gefährlich werden kann!!
CVE-2021-31166
Als besonders gefährlich gilt die Schwachstelle (CVE-2021-31166) im HTTP Protocol Stack (http-sys), die Windows 10 2004, 20H2 und Windows Server 20H2 (Core) bedroht.
In Folge eines Angriffs über diese Schwachstelle, könnte das dahinterliegende Netzwerk, wurmartig befallen werden - dies gilt für den „normalen“ Heimnutzer genauso, wie für große Unternehmensnetzwerke!
Betroffene MS-Produkte:
Windows Server, Version 20H2 (Server Core Installation)
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows Server, Version 2004 (Server Core installation)
Windows 10 Version 2004 for x64-based Systems
Windows 10 Version 2004 for ARM64-based Systems
Windows 10 Version 2004 for 32-bit Systems
Siehe >>> https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-31166
Ablauf einer Attacke:
Ein Angreifer kann ohne jegliche Anmeldung / und Berechtigungen am betroffenen System (PC, Server), aus der Ferne Schadcode mit Kernel-Rechten ausführen, das komplette System übernehmen!! Dafür müssten dieser lediglich präparierte Pakete an verwundbare Systeme schicken!!
Befindet sich in diesem Paket zum Beispiel ein Skript mit einem integrierten Trojaner, kann dieser sich danach ungehindert, wie ein Wurm, im gesamten Netzwerk des betroffenen System ausbreiten…
Anders, als bei anderen älteren Angriffsvektoren, braucht der Angreifer zuvor keine Übernahme von VPN / RDP - Verbindungen usw. durchführen!! Hat er die IP-Adresse des Ziels, kann er dies direkt angreifen, mit allen Folgen im nachhinein.