Microsoft Patch Zweiter Tag der Woche, Herausgabe zwölfter Monat des Jahres 2021 – Krebs on Security

Microsoft, Adobe, und Google allesamt nach sich ziehen heute Sicherheitsupdates zu Gunsten von ihre Produkte veröffentlicht. Die Microsoft-Patches enthalten sechs zuvor prominent gegebene Sicherheitslücken und eine, die schon umtriebig ausgenutzt wird. Wohl dieser Patch-Zweiter Tag der Woche in diesem Monat wird überschattet von dieser „Log4Shell„0-Tage-Exploit in einem beliebten Java -Bibliothek, die Webserver-Administratoren jetzt versuchen, sie zu finden und zu patchen, während dieser Fehler weit verbreitet ist.

Log4Shell ist dieser Name zu Gunsten von verschmelzen kritischen Fehler, dieser am 9. zwölfter Monat des Jahres in dieser beliebten Protokollierungsbibliothek zu Gunsten von Java namens „log4j“, dasjenige in einer Vielzahl von Java-Anwendungen enthalten ist. Publik veröffentlichter Exploit-Sourcecode ermöglicht es einem Angreifer, verschmelzen Server, hinauf dem eine anfällige log4j-Bibliothek umgesetzt wird, zu zwingen, Befehle auszuführen, z. B. dasjenige Herunterladen bösartiger Software oder dasjenige Öffnen einer Hintertürverbindung zum Server.

Laut Forschern von Lunasec, viele, viele Dienste sind unstet zu Gunsten von diesen Exploit.

„Cloud-Dienste wie Steam, Apple iCloud und Apps wie Minecraft nach sich ziehen sich schon qua unabgeschlossen erwiesen“, schrieb Lunasec. „Jeder, dieser Apache Struts verwendet, ist wahrscheinlich unstet. Wir nach sich ziehen ähnliche Sicherheitslücken gesehen, die schon zusammen mit Sicherheitsverletzungen wie dieser Equifax-Datenverletzung 2017 ausgenutzt wurden. Eine umfangreiche Verkettete Liste mit Beantworten von betroffenen Organisationen wurde hier zusammengestellt.“

„Wenn Sie verschmelzen Server betreiben, dieser hinauf Open-Source-Software basiert, besteht eine gute Möglichkeit, dass Sie von dieser Sicherheitsanfälligkeit betroffen sind“, sagte Dustin Kinder dieser Zero Day Initiative von Trend Micro. „Erkundigen Sie sich zusammen mit allen Anbietern in Ihrem Unternehmen, ob sie betroffen sind und welche Patches verfügbar sind.“

Ein Teil dieser Schwierigkeit beim Patchen gegen den Log4Shell-Sturm besteht darin, allesamt anfälligen Webanwendungen zu identifizieren, sagte Johannes Ullrich, ein Vorfallbearbeiter und Weblog-Verfasser zu Gunsten von die SANS Netz Storm Center. „Log4Shell wird uns gleichwohl in den kommenden Jahren verfolgen. Welcher Umgang mit log4shell wird ein Marathon“, so Ullrich. “Behandle es so.” SANS bietet verschmelzen guten Übersicht darüber, wie störungsfrei und dessen ungeachtet mächtig dieser Exploit sein kann.

John Hultquist, Vizepräsident zu Gunsten von Geheimdienstanalyse zusammen mit Mandiant, sagte, dasjenige Unternehmen habe gesehen, wie chinesische und iranische staatliche Akteure die log4j-Sicherheitslücke ausnutzen, und dass die iranischen Akteure insbesondere angriffslustig seien, da sie an Ransomware-Operationen teilgenommen hätten, die hauptsächlich zu störenden Zwecken und nicht zu finanziellen Vorteil verschaffen durchgeführt würden.

„Wir möglich sein davon aus, dass andere staatliche Akteure dies ebenfalls tun oder sich darauf vorbereiten“, sagte Hultquist. „Wir Vertrauen schenken, dass selbige Akteure schnell daran funktionieren werden, in wünschenswerten Netzwerken Käsemauke zu fassen zu Gunsten von Folgeaktivitäten, die wenige Zeit dauern können. In einigen Fällen funktionieren sie mit einer Wunschliste von Zielen, die existierte, nachhaltig im Vorhinein selbige Sicherheitsanfälligkeit publik prominent wurde. In anderen Fällen können wünschenswerte Ziele nachher einem breiten Targeting ausgewählt werden.“

Forscher Kevin Beaumont hatte eine unbeschwertere Sicht hinauf Log4Shell weiterführend Twitter:

„Im Grunde ist dasjenige perfekte Finale dieser Cybersicherheit im Jahr 2021 eine Java-Schwachstelle im Stil dieser 90er Jahre in einem Open-Source-Modul, geschrieben von zwei Freiwilligen ohne Finanzierung, die von großen Cybersicherheitsanbietern verwendet wird, unentdeckt, solange bis dieser Minecraft-Chat gepwned wurde, wo niemand weiß, wie man richtig reagiert. ”

Ein halbes zwölf Stück dieser heute von Microsoft behobenen Sicherheitslücken erhielt die schlimmste Ordnung qua „ungelegen“, welches bedeutet, dass Schadsoftware oder Schurken die Fehler ausnutzen könnten, um ohne oder ohne Hilfe von Benutzern vollständige Fernsteuerung weiterführend ein anfälliges Windows-System zu erlangen.

Welcher Windows-Fehler, dieser schon umtriebig ausgenutzt wird, ist CVE-2021-43890, ein „Spoofing“-Fehler in dieser Windows AppX-Installationsprogramm an Windows10. Microsoft ist sich dieser Versuche kognitiv, diesen Fehler auszunutzen, während speziell entwickelte Pakete verwendet werden, um Schadsoftware-Familien wie Emotet, Trickbot und BazaLoader zu implantieren.

Kevin Breen, Rektor zu Gunsten von Bedrohungsforschung zusammen mit Immersive Labs, sagte, dass CVE-2021-43905 aus dem Patch-Batch dieses Monats heraussticht.

„Nicht nur wegen seines hohen CVSS-Scores von 9,6, sondern gleichwohl, weil es qua ‚Ausbeutung wahrscheinlicher‘ bezeichnet wird“, bemerkte Breen.

Microsoft hat außerdem CVE-2021-43883 gepatcht, eine Sicherheitsanfälligkeit wegen dieser Erhöhung von Berechtigungen in Windows Installer.

„Dies scheint ein Im Nu zu Gunsten von eine Patch-Umgehungsstraße von CVE-2021-41379 zu sein, eine weitere Sicherheitsanfälligkeit wegen dieser Erhöhung von Berechtigungen in Windows Installer, die Berichten zufolge im November behoben wurde.“ Satnam Narang von Tenable weist darauf hin. “Die Forscher stellten jedoch straff, dass die Fehlerbehebung unvollständig war, und Finale letzten Monats wurde ein Proof-of-Concept veröffentlicht.”

Google hat fünf Sicherheitsfixes zu Gunsten von . veröffentlicht Cr, darunter einer qua ungelegen und drei weitere mit hohem Schweregrad. Wenn Sie mit Chrome surfen, beachten Sie darauf, dass rechts neben dieser Adressleiste die Registerkarte “Auf den neuesten Stand bringen” angezeigt wird. Wenn dasjenige Schließen des Browsers eine Weile her ist, wird die Schaltfläche Auf den neuesten Stand bringen unter Umständen von Umweltfreundlich zu Orange und dann zu Rot wechseln. Umweltfreundlich bedeutet, dass ein Update seit dem Zeitpunkt zwei Tagen verfügbar ist; Orange bedeutet, dass vier Tage vergangen sind, und Rot bedeutet, dass Ihr Browser zusammen mit wichtigen Updates eine Woche oder länger zurückliegt. Schließen Sie den Browser vollwertig und starten Sie ihn neu, um allesamt ausstehenden Updates zu installieren.

Außerdem hat Adobe Patches veröffentlicht, um mehr qua 60 Sicherheitslücken in einer Schlange von Produkten zu beheben, darunter Adobe Audition, Lightroom, Media Encoder, Premiere Pro, Prelude, Dimension, Anus Effects, Photoshop, Connect, Experience Manager und Premiere Rush.

Standard-Haftungsausschluss: Im Vorfeld Sie Windows auf den neuesten Stand bringen, Fürbitte Stellen Sie sicher, dass Sie Ihr System und/oder wichtige Dateien gesichert nach sich ziehen. Es ist nicht ungewöhnlich, dass ein Windows-Update-Päckchen dasjenige eigene System absaugt oder verhindert, dass es ordnungsgemäß bootet, und wenige Updates sind hierfür prominent, Dateien zu löschen oder zu himmeln.

Tun Sie sich aus diesem Grund selbst verschmelzen In jemanden verliebt sein und sichern Sie sich, im Vorhinein Sie Patches installieren. Windows 10 verfügt sogar weiterführend wenige integrierte Tools, die Ihnen in diesem Fall helfen, entweder hinauf File- / Ordnerbasis oder während Sie eine vollständige und bootfähige Kopie Ihrer Harddisk hinauf einmal erstellen.

Und wenn Sie sicherstellen möchten, dass Windows so eingestellt ist, dass die Aktualisierung angehalten wird, damit Sie Ihre Dateien und/oder Ihr System sichern können, im Vorhinein dasjenige operating system beschließt, neu zu starten und Patches nachher seinem eigenen Zeitplan zu installieren, Vorlesung halten Sie selbige Richtschnur.

Wenn Sie in diesem Monat Störungen oder Probleme zusammen mit dieser Installation eines dieser Patches nach sich ziehen, ziehen Sie Fürbitte in Betracht, unten verschmelzen Kommentar zu vermachen. Es besteht eine gute Möglichkeit, dass andere Leser dasjenige gleiche erlebt nach sich ziehen und sich hier mit nützlichen Tipps einmischen.

Zusätzliche Lektüre:

SANS ISC-Verkettete Liste aller heute gepatchten Microsoft-Sicherheitslücken, indiziert nachher Schweregrad und betroffener Komponente.