Werbung
AVMs bester DSL-Router mit Wi-Fi 6: FRITZ!Box 7590 AX (Modell für Deutschland)


 

Microsoft stopft 78 Schwachstellen inklusive dreier 0-Day-Lücken

Meldung von doelf, Mittwoch der 15.02.2023, 20:07:47 Uhr

logo

Microsoft hat im Februar 78 Sicherheitslücken in Windows, Office, Edge (Chromium-basiert), .NET und Visual Studio, 3D Builder, HoloLens, Azure, dem Defender für Endpoint und IoT, Dynamics, dem Exchange Server, der Graphics-Komponente, dem Internet Storage Name Service, dem PostScript-Druckertreiber, Power BI, den SQL-Servern und dem WDAC OLE DB-Anbieter für SQL geschlossen. Neun Schwachstellen wurden als kritisch eingestuft, von 68 geht eine hohe Gefahr aus und für ein Datenleck in HoloLens 1 wurde kein Schweregrad vergeben. Bei drei hochgefährlichen Schwachstellen handelt es sich um 0-Day-Lücken, die bereits im Vorfeld ausgenutzt wurden.

Hier die Liste der verwundbaren Windows-Komponenten: Windows Active Directory, ALPC (Advanced Local Procedure Call), Fax- und Scandienst, HTTP.sys, Installer, iSCSI, Kerberos, Kryptografiedienste, Medienbibliothek, MSHTML-Plattformen, ODBC-Treiber, Protected EAP (PEAP), Schannel, Treiber des gemeinsamen Protokolldateisystems, verteiltes Dateisystem (DFS) und Win32K. Seitens Office werden neben der Büro-Software selbst auch OneNote, Publisher, SharePoint und Word aufgeführt. Bei Azure sind der App Service, das Data Box Gateway, DevOps und Machine Learning betroffen.

Betrachten wir zunächst die neun kritischen Lücken, sortiert nach ihrer CVSS-Einstufung:

  • CVE-2023-21689, CVE-2023-21690 und CVE-2023-21692 ‐ Sicherheitsanfälligkeiten in Microsoft Protected Extensible Authentication Protocol (PEAP) bezüglich Remotecodeausführung:
    Nicht authentifizierte Benutzer können entfernte Server über das Protected Extensible Authentication Protocol (PEAP) angreifen, um eigenen Code im Kontext des Serverkontos auszuführen. Dies funktioniert jedoch nur, wenn NPS auf dem Server läuft und PEAP über eine Netzwerkrichtlinie erlaubt wurde. Ist dies der Fall, gestaltet sich der Angriff simpel und benötigt keinerlei Nutzerinteraktion. Betroffen sind Windows 10 und 11 sowie die Windows Server 2008 R2 bis 2022. Diese Schwachstellen wurden bisher nicht angegriffen und auch nicht öffentlich dokumentiert, zukünftige Attacken hält man in Redmond allerdings für wahrscheinlich.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: wahrscheinlicher
    • CVSS v3.1: 9,8 (Basis); 8,5 (zeitlich)
  • CVE-2023-21716 ‐ Sicherheitsanfälligkeit in Microsoft Word bezüglich Remotecodeausführung:
    Nicht authentifizierte Benutzer können manipulierte RTF-Dateien per E-Mail verschicken, um darüber eigenen Code auf dem Rechner ihres Opfers auszuführen. Die RTF-Datei muss hierzu nicht einmal geöffnet werden, es reicht bereits deren Anzeige im Vorschaufenster. Betroffen sind die Microsoft 365 Apps for Enterprise, die Microsoft Office Web Apps Server 2013 Service Pack 1, Microsoft Office LTSC 2021, Microsoft Office LTSC for Mac 2021, Microsoft Office 2019 for Mac, der Microsoft Office Online Server, SharePoint Foundation 2013 Service Pack 1, SharePoint Enterprise Server 2013 Service Pack 1, SharePoint Enterprise Server 2016, SharePoint Server 2019, die SharePoint Server Subscription Edition, Word 2013 Service Pack 1 sowie Word 2016. Diese Schwachstelle wurde bisher nicht angegriffen und auch nicht öffentlich dokumentiert und auch zukünftige Attacken gelten als unwahrscheinlich.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: unwahrscheinlicher
    • CVSS v3.1: 9,8 (Basis); 8,5 (zeitlich)
  • CVE-2023-21803 ‐ Sicherheitsanfälligkeit im Windows iSCSI-Discovery Dienst bezüglich Remotecodeausführung:
    Nicht authentifizierte Benutzer können manipulierte DHCP-Ermittlungsanfragen an den iSCSI Ermittlungsdienst schicken, um darüber eigenen Code auf dem Rechner ihres Opfers auszuführen. Dies funktioniert aber nur auf 32-Bit-Rechnern nachdem der iSCSI Initiator aktiviert wurde. Betroffen sind die 32-Bit-Ausgaben von Windows 10 und Windows Server 2008. Diese Schwachstelle wurde bisher nicht angegriffen und auch nicht öffentlich dokumentiert und auch zukünftige Attacken gelten als unwahrscheinlich.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: unwahrscheinlicher
    • CVSS v3.1: 9,8 (Basis); 8,5 (zeitlich)
  • CVE-2023-21808, CVE-2023-21815 und CVE-2023-23381 ‐ Sicherheitsanfälligkeiten in .NET und Visual Studio bezüglich Remotecodeausführung:
    Drei Sicherheitslücken, über die lokale Benutzer beliebigen Code ausführen können, stecken in Microsoft Visual Studio 2017, 2019 und 2022. CVE-2023-21808 betrifft darüber hinaus auch .NET 6.0 und 7.0 sowie das .NET Framework 3.5 bis 4.8.1. Der angemeldete Benutzer benötigt keine besonderen Berechtigungen, es ist keine Benutzerinteraktion erforderlich und die Umsetzung ist trivial. Die drei Schwachstellen wurden bisher nicht angegriffen und auch nicht öffentlich dokumentiert, zukünftige Attacken gelten als unwahrscheinlich.
    • Angriffsvektor: Lokal
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: unwahrscheinlicher
    • CVSS v3.1: 8,4 (Basis); 7,3 (zeitlich)
  • CVE-2023-21718 ‐ Sicherheitsanfälligkeit im Microsoft SQL ODBC-Treiber bezüglich Remotecodeausführung:
    Wenn nicht authentifizierte Benutzer eine Verbindung zu einem bösartigen SQL-Server über ODBC herzustellen, kann die angesteuerte Datenbank bösartige Daten übermitteln und damit beliebigen Code auf den Rechner des Besuchers schleusen und dort ausführen. Betroffen sind die Microsoft SQL Server 2014 Service Pack 3 (CU 4, GDR), 2016 Service Pack 3(GDR), 2017 (CU 31, GDR), 2019 (CU 18, GDR) und 2022 (GDR). Diese Schwachstelle wurde bisher nicht angegriffen und auch nicht öffentlich dokumentiert, zukünftige Attacken gelten als unwahrscheinlich.
    • Angriffsvektor: Lokal
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Anforderung
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: unwahrscheinlicher
    • CVSS v3.1: 7,8 (Basis); 6,8 (zeitlich)

Weitere Schwachstellen inklusive der 0-Day-Lücken
29 der hochgefährlichen Sicherheitslücken fallen in die Kategorie der Remote-Code-Ausführungen und weitere zwölf sind Rechteausweitungen. Dazu kommen zehn Möglichkeiten zum Blockieren von Diensten (Denial of Service), acht Täuschungen (Spoofing), sieben Datenlecks sowie zwei Umgehungen von Sicherheitsmaßnahmen. Drei Fehler aus der Gefahrenstufe hoch wurden bereits im Vorfeld missbraucht, es handelt sich also um 0-Day-Lücken:

  • CVE-2023-21823 ‐ Sicherheitsanfälligkeit in Windows-Grafikkomponente bezüglich Remotecodeausführung:
    Mit Hilfe dieser Schwachstelle in der Windows-Grafikkomponente kann ein normaler Benutzer Systemrechte erhalten. Betroffen sind neben Windows 10 und 11 auch die Windows Server von 2008 bis 2022 sowie Microsoft Office für Android, iOS und Universal.
    • Angriffsvektor: Lokal
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Niedrig
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Ja
    • CVSS v3.1: 7,8 (Basis); 7,5 (zeitlich)
  • CVE-2023-23376 ‐ Sicherheitsanfälligkeit im Treiber des gemeinsamen Protokolldateisystems bezüglich Rechteerweiterungen:
    Mit Hilfe dieser Schwachstelle im Treiber des gemeinsamen Protokolldateisystems kann ein normaler Benutzer Systemrechte erhalten. Betroffen sind neben Windows 10 und 11 auch die Windows Server von 2008 bis 2022.
    • Angriffsvektor: Lokal
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Niedrig
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Ja
    • CVSS v3.1: 7,8 (Basis); 6,8 (zeitlich)
  • CVE-2023-21715 ‐ Sicherheitsanfälligkeit in Microsoft Publisher bezüglich Umgehung von Sicherheitsfunktionen:
    Ein lokal authentifizierter Benutzer kann sein Opfer dazu bringen, eine manipulierte Datei aus dem Internet herunterzuladen. Wird diese dann geöffnet, lassen sich jene Macro-Richtlinien umgehen, die nicht vertrauenswürdige und bösartige Dateien blockieren sollen. Betroffen sind die Microsoft 365 Apps for Enterprise (32 sowie 64 Bit).
    • Angriffsvektor: Lokal
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Niedrig
    • Benutzerinteraktion: Anforderung
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Ja
    • CVSS v3.1: 7,3 (Basis); 6,4 (zeitlich)

Die keiner Risikostufe zugeordnete Sicherheitsanfälligkeit in HoloLens 1 lässt sich über eine WLAN-Verbindung ausnutzen, wenn Inhalte ohne Transportverschlüsselung übertragen werden (CVE-2019-15126). Auslöser ist ein Fehler im WLAN-Client von Broadcom, der zur Offenlegung von Informationen führen kann. Da Broadcom für den betroffenen Chip keinen Support mehr leistet, sollten HoloLens-1-Geräte nur noch in sicheren WLAN-Netzen mit zertifikatsbasierter Authentifizierung des Typs WPA2-Enterprise verwendet werden.

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]