Wegen aktuell schon laufender Angriffe sollten die Admins von Exchange Servern und Excel-Nutzer umgehend dafür sorgen, dass die aktuellen Sicherheitsupdates vom gestrigen Microsoft-November-Patchday auch installiert sind. Auch andere Sicherheitslücken in 3D Viewer und Windows RDP sind laut Microsoft schon öffentlich bekannt geworden, und Angriffe darüber könnten kurz bevorstehen.
Als gefährlichste Schwachstelle stuft Microsoft diesmal die schon heftig ausgenutzte Exchange-Lücke (CVE-202142321 „hoch“) ein. Von der sind Exchange 2016 und 2019 betroffen – Exchange Online allerdings nicht.
In der Warnmeldung von Microsoft findet man wenig Informationen zu dieser Schwachstelle. Bekannt ist bisher nur, dass Angreifer sich für erfolgreiche Attacken auch authentifiziert haben müssen. Ist das der Fall ist, dann könnten sie auf einem nicht näher beschriebenen Weg letztlich Schadcode aus der Ferne ausführen.
Wie die Admins ihre Server absichern können, erläutert Microsoft in einem Beitrag. Im Grunde ist dazu nur die Installation der Sicherheitsupdates von gestern nötig, wobei Microsoft den Admins dringend zum sofortigen Update rät.
Attacken über präparierte Excel-Dokumente
Nutzer der Tabellenkalkulation Excel sollten vor dem Update keine Dokumente mehr aus unbekannten Quellen öffnen, denn die Angreifer versuchen aktuell, mit Schadcode versehene Excel-Dokumente an potentielle Opfer zu verteilen.
Werden diese dann geöffnet, soll ein Sicherheitsmechanismus nicht richtig greifen und dadurch Schadcode auf die Systeme gelangen können. Microsoft weist hier aber auch besonders darauf hin, dass der Sicherheitspatch dagegen für macOS noch nicht verfügbar ist.
Je zwei Schwachstellen in 3D Viewer (CVE-2021-43208 „hoch“, CVE-2021-43029 „hoch“) und Windows Remote Desktop Protocol (RDP) (CVE-2021-38631 „mittel“ CVE-2021-41371 „mittel“) sind inzwischen bekannt geworden, und auch darüber könnte es zum Beispiel zur Ausführung von Schadcode kommen.
Noch weitere gefährliche Lücken
Auch die Lücke (CVE-2021-26443) in Virtual Machine Bus (VMBus) stufte Microsoft als „kritisch“ ein. Darüber konnten Angreifer durch präparierte Anfragen über den VMBus-Kanal Fehler auslösen und dann Schadcode ins Host-System schieben, warnt der Hersteller.
Auch in Chakra Scripting Engine, Defender, Dynamics 365, OpenSSL und RDP hat Microsoft weitere kritische Lücken dicht gemacht, an denen Angreifer für Schadcode-Attacken ansetzen konnten .
Die Schwachstellen in Active Directory, Azure, FSLogix, NTFS, Word und Windows wurden auch überwiegend mit dem Bedrohungsgrad „hoch“ eingestuft. Hier könnten Angreifer beispielsweise DoS- oder Schadcode-Attacken ausführen.
