Werbung
AVMs bester Mesh-Repeater mit Wi-Fi 6: FRITZ!Repeater 6000


Microsoft hat im September 59 Schwachstellen gestopft, auch zwei 0-Day-Lücken

Meldung von doelf, Mittwoch der 13.09.2023, 13:10:56 Uhr

logo

Microsoft hat am gestrigen September-Patchday 59 Sicherheitslücken in Windows, Office, dem Exchange Server, .NET (Core und Framework), dem 3D Builder und dem 3D Viewer, Visual Studio und Visual Studio Code, Azure (DevOps, HDInsights und Kubernetes Service), Dynamics und Dynamics Finance & Operations, dem Identity Linux Broker und dem Streaming-Dienst geschlossen. In zwei Fällen wurde eine Ausnutzung von Sicherheitslücken erkannt, es handelt sich somit um 0-Day-Lücken. Hinzu kommen sechs Flicken für Drittanbieter-Software, davon vier für Chromium (CVE-2023-4761, CVE-2023-4762, CVE-2023-4763 und CVE-2023-4764), dem Unterbau des Webbrowsers Edge, und je einer für den 3D Viewer von Autodesk (CVE-2022-41303) und Visual Studio Code von Electron (CVE-2023-39956).

Hier die Liste der verwundbaren Windows-Komponenten: Defender, Designs, DHCP Server, GDI, Internet Connection Sharing (ICS), Kernel, Medienbibliothek, Minifiltertreiber für Clouddateien (Cloud Files Mini Filter Driver), Skripterstellung, TCP/IP und der Treiber des gemeinsamen Protokolldateisystems. Seitens Office werden neben Office selbst auch Excel, Outlook, SharePoint und Word aufgeführt.

Im Folgenden betrachten wir die kritischen Sicherheitslücken sowie alle Fehler, welche bereits angegriffen werden (0 Day). Fünf der behobenen Schachstellen haben eine CVSS-v3.1-Wertung von 8,8 erhalten (CVE-2023-33136, CVE-2023-36764, CVE-2023-38146, CVE-2023-38147 und CVE-2023-38148), doch nur einer dieser Fehler wurde als kritisch klassifiziert:

  • CVE-2023-38148 ‐ Sicherheitsanfälligkeit in der gemeinsamen Nutzung der Internetverbindung (ICS) bezüglich Remotecodeausführung:
    Dieser Angriff nutzt speziell gestaltete Netzwerkpakete, um einen Bug in der gemeinsamen Nutzung der Internetverbindung (ICS) auszulösen. Das funktioniert aber nur, wenn sich der Angreifer im gleichen Netzwerksegment (physisch oder virtuell) befindet, nicht aber über WAN. Gelingt der Angriff, wird auf dem Rechner des Opfers beliebiger Code ausgeführt. Betroffen sind Windows 11 Version 21H2 und 22H2, Windows 10 Version 21H2 und 22H2 und der Windows Server 2022. Diese Schwachstelle wurde bisher weder öffentlich dokumentiert noch ausgenutzt.
    • Angriffsvektor: Angrenzend
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • CVSS v3.1: 8,8 (Basis); 7,7 (zeitlich)

Vier weitere Lücken tragen die CVSS-v3.1-Wertung 8,0 (CVE-2023-36744, CVE-2023-36745, CVE-2023-36756 und CVE-2023-36757), sie wurden allesamt als wichtig (hohe Gefahr) eingestuft. Es folgen 27 Fehler mit einer CVSS-v3.1-Wertung von 7,8, von denen drei (CVE-2023-36792, CVE-2023-36793 und CVE-2023-36796) als kritisch gelten. Dazu kommt eine hochgefährliche Rechteerweiterung (CVE-2023-36802), die im Vorfeld bereits ausgenutzt wurde:

  • CVE-2023-36792, CVE-2023-36793 und CVE-2023-36796 ‐ Sicherheitsanfälligkeiten in Visual Studio bezüglich Remotecodeausführung:
    Diese drei Schwachstellen lassen sich nur lokal ausnutzen und erfordern eine Nutzerinteraktion. Konkret muss ein Benutzer eine manipulierte Paketdatei in Visual Studio öffnen, damit der Code des Angreifers ausgeführt wird. Betroffen sind Visual Studio 2017, 2019 und 2022, das .NET-Framework in den Versionen 2.0 bis 4.8 sowie .NET 6.0 und 7.0. Diese Schwachstellen wurden bisher weder öffentlich dokumentiert noch ausgenutzt.
    • Angriffsvektor: Lokal
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Anforderung
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • CVSS v3.1: 7,8 (Basis); 6,8 (zeitlich)
  • CVE-2023-36802 ‐ Sicherheitsanfälligkeit im Microsoft Streaming-Dienst-Proxy bezüglich Rechteerweiterungen:
    Ein Fehler im Streaming-Dienst-Proxy ermöglicht es Angreifern, erhöhte Systemrechte zu erhalten. Es handelt sich um eine hochgefährliche 0-Day-Lücke, die bereits im Vorfeld ausgenutzt wurde. Sie steckt in Windows 10 Version 1809, 21H2 und 22H2, Windows 11 Version 21H2 und 22H2 sowie im Windows Server 2019 und 2022.
    • Angriffsvektor: Lokal
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Niedrig
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Ja
    • CVSS v3.1: 7,8 (Basis); 6,8 (zeitlich)

Dreimal wurde die CVSS-v3.1-Wertung 7,6 vergeben, doch Microsoft bewertet keines dieser Probleme als kritisch. Anders sieht es bei der CVSS-v3.1-Wertung 7,5 aus, welche wir viermal vorfinden. Hier wurde CVE-2023-29332 als kritisch eingestuft:

  • CVE-2023-29332 ‐ Sicherheitsanfälligkeit in Microsoft Azure Kubernetes Service bezüglich Rechteerweiterungen:
    Wenn ein Angreifer diese Lücke im Azure Kubernetes Service ausnutzt, kann er Administratorrechte für den Cluster erlangen. Diese Angriff erfolgt aus dem Internet, ist nicht kompliziert und erfordert weder Berechtigungen noch eine Benutzerinteraktion. Glücklicherweise konnte der Fehler geschlossen werden, bevor er öffentlich dokumentiert oder angegriffen wurde.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • CVSS v3.1: 7,5 (Basis); 6,5 (zeitlich)

Es folgen je eine Sicherheitslücke mit den CVSS-v3.1-Wertungen 7,3 und 7,2, zwei mit 7,0 sowie je eine mit 6,7 und 6,5, welche Microsoft allesamt als wichtig (hohes Gefahrenpotential) einstuft. Erwähnenswert ist allerdings ein Datenleck in Word (CVE-2023-36761, CVSS-v3.1-Wertung 6,2), welches im Vorfeld öffentlich dokumentiert und angegriffen wurde:

  • CVE-2023-36761 ‐ Sicherheitsanfälligkeit in Microsoft Word bezüglich Veröffentlichung von Informationen:
    Microsoft geht davon aus, dass die Angreifer NTLM-Hashes abgegriffen haben. Offenbar dienen manipulierte Dokumente als Einbruchswerkzeug, wobei man diese nicht einmal öffnen muss. Zur Ausnutzung des Datenlecks reicht es bereits aus, dass das Dokument im Vorschaufenster angezeigt wird. Betroffen sind Word 2013 und 2016, Office 2019 und Office LTSC 2021 sowie die Microsoft 365 Apps for Enterprise.
    • Angriffsvektor: Lokal
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Ja
    • Ausgenutzt: Ja
    • CVSS v3.1: 6,2 (Basis); 5,6 (zeitlich)

Es verbleiben vier Sicherheitsanfälligkeiten mit einer CVSS-v3.1-Wertung von 5,5, zwei mit 5,3 und je eine mit 4,4 und 4,3. Keiner dieser Fehler ist kritisch oder wird bereits angegriffen.

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]