Microsoft hat 78 Schwachstellen gestopft

Microsoft hat am Juni-Patchday 73 Sicherheitslücken in Windows, Office, Edge (Chromium-basiert), Druckertreiber, Dynamics, Exchange Server, den Power Apps, .NET (Core, Framework) und Visual Studio (Code), ASP .NET, Azure DevOps, dem NuGet-Client, dem Remotedesktopclient, den Rollen für DNS-Server, SysInternals und dem WDAC OLE DB-Anbieter für SQL geschlossen. Dazu kommen 14 Flicken für Edge (Chromium-basiert), die streng genommen in Chromium stecken. Einer dieser Fehler, eine Typenverwirrung in der JavaScript-Engine V8, wurde bereits im Vorfeld angegriffen. Acht weitere Fehler betreffen Visual Studio, sie befinden sich in Komponenten von AutoDesk, MinGit sowie Git. Insgesamt geht es somit um 95 Korrekturen, von denen Microsoft einige schon im Vorfeld des Patch-Days verteilt hatte.

Berücksichtigen wir nur die am Dienstag veröffentlichten Updates, so fallen sechs in die Kategorie kritisch und weitere 70 sind von hoher Schwere. Jeweils ein Patch kümmert sich um einen mittelschweren und einen vergleichsweise harmlosen Fehler. Hier die Liste der verwundbaren Windows-Komponenten: Authentifizierungsmethoden, Bus-Filtertreiber, Collaborative Translation Framework, Container Managerdienst, CryptoAPI, DHCP Server, Filter, GDI, Geolocationdienst, Gruppenrichtlinie, Hello, Hyper-V, Installer, iSCSI, Kernel, Medienbibliothek, Minifiltertreiber für Clouddateien (Cloud Files Mini Filter Driver), NTFS-Dateisystem, ODBC-Treiber, OLE, PGM, Remoteprozeduraufruf-Laufzeitumgebung, Robustes Dateisystem (ReFS), Server-Dienst, SMB, TPM-Gerätetreiber und Win32K. Seitens Office werden neben Office selbst auch Excel, OneNote, Outlook und SharePoint aufgeführt.

Betrachten wir zunächst die sechs kritischen Lücken, sortiert nach ihrer CVSS-Einstufung:

• CVE-2023-29363, CVE-2023-32014 und CVE-2023-32015 ‐ Sicherheitsanfälligkeiten in Windows Pragmatic General Multicast (PGM) bezüglich Remotecodeausführung:
  Gleich drei Remotecodeausführungen wurden im Pragmatic General Multicast (PGM) beseitigt. Diese lassen sich allerdings nur ausnutzen, wenn der Message-Queuing-Dienst aktiviert wurde und auf dem TCP-Port 1801 lauscht. Der Angriff selbst erfolgt über eine speziell gestaltete Datei, die über das Netzwerk einer PGM-Server-Umgebung verschickt wird. Keine der drei Schwachstellen wurde vorab angegriffen oder öffentlich dokumentiert und auch zukünftige Angriffe sind eher unwahrscheinlich. Betroffen sind Windows 10 Version 1607 bis 22H2, Windows 11 Version 21H2 und 22H2 sowie die Server 2008 und 2022.
  • Angriffsvektor: Netzwerk
  • Angriffskomplexität: Niedrig
  • Erforderliche Berechtigungen: Keine
  • Benutzerinteraktion: Keine
  • Öffentlich gemacht: Nein
  • Ausgenutzt: Nein
  • CVSS v3.1: 9,8 (Basis); 8,5 (zeitlich)
• CVE-2023-29357 ‐ Sicherheitsanfälligkeit in Microsoft SharePoint Server bezüglich Rechteerweiterungen:
  Nicht authentifizierte Benutzer können sich Zugriff auf gespoofte JWT-Authentifizierungstoken verschaffen und damit einen Netzwerk-Angriff ausführen, der die Authentifizierung umgeht und ihnen Administratorrechte verschafft. Wenn die AMSI-Integration aktiviert ist und der Microsoft Defender die SharePoint-Server schützt, schlägt der Angriff fehl. Bisher wurde dieser Bug weder öffentlich dokumentiert noch angegriffen, doch zukünftige Angriffe gelten als wahrscheinlich. Betroffen ist der SharePoint Server 2019.
  • Angriffsvektor: Netzwerk
  • Angriffskomplexität: Niedrig
  • Erforderliche Berechtigungen: Keine
  • Benutzerinteraktion: Keine
  • Öffentlich gemacht: Nein
  • Ausgenutzt: Nein
  • CVSS v3.1: 9,8 (Basis); 8,5 (zeitlich)
• CVE-2023-24897 ‐ .NET, .NET Framework und Visual Studio Sicherheitsanfälligkeit bezüglich Remotecodeausführung:
  Entfernte Angreifer können einen lokalen Benutzer dazu bringen, eine Remotecodeausführung auszulösen. Bisher wurde dieser Bug weder öffentlich dokumentiert noch angegriffen und auch zukünftige Angriffe hält man in Redmond für weniger wahrscheinlich. Betroffen sind die .NET-Frameworks 3.5, 4.6.2, 4.7, 4.7.1, 4.7.2, 4.8, 4.8.1, .NET 6.0 und 7.0 sowie Visual Studio 2013 Update 5, 2015 Update 3, 2017 Version 15.0 bis 15.9, 2019 Version 16.0 bis 16.11 und 2022 Version 17.0 bis 17.6.
  • Angriffsvektor: Lokal
  • Angriffskomplexität: Niedrig
  • Erforderliche Berechtigungen: Keine
  • Benutzerinteraktion: Anforderung
  • Öffentlich gemacht: Nein
  • Ausgenutzt: Nein
  • CVSS v3.1: 7,8 (Basis); 6,8 (zeitlich)
• CVE-2023-32013 ‐ Sicherheitsanfälligkeit in Windows Hyper-V bezüglich Denial-of-Service:
  Entfernte Angreifer können eine Schwachstelle in Hyper-V ausnutzen, um das System lahmzulegen. Damit dies gelingt, muss der Angreifer die Zielumgebung allerdings vorbereiten. Bisher wurde dieser Bug weder öffentlich dokumentiert noch angegriffen und auch zukünftige Angriffe hält Microsoft für weniger wahrscheinlich. Betroffen sind Windows 10 Version 1809 bis 22H2, Windows 11 Version 21H2 und 22H2 sowie die Server 2019 und 2022.
  • Angriffsvektor: Netzwerk
  • Angriffskomplexität: Niedrig
  • Erforderliche Berechtigungen: Niedrig
  • Benutzerinteraktion: Keine
  • Öffentlich gemacht: Nein
  • Ausgenutzt: Nein
  • CVSS v3.1: 6,5 (Basis); 5,7 (zeitlich)

Weitere Schwachstellen
28 der hochgefährlichen Sicherheitslücken fallen in die Kategorie der Remote-Code-Ausführungen und weitere 15 sind Rechteausweitungen. Dazu kommen zehn Täuschungen (Spoofing), acht Möglichkeiten zum Blockieren von Diensten (Denial of Service), sechs Datenlecks sowie drei Umgehungen von Sicherheitsmaßnahmen. Eine weitere Rechteausweitung wurde als mittelschwer klassifiziert und ein weiterer DoS-Angriff gilt als geringfügige Gefahr.