Werbung
Beim Vorbestellen sparen: Prime-Rabatt auf Videospiele


 

Microsoft stopft 98 Schwachstellen inklusive einer 0-Day-Lücke

Meldung von doelf, Mittwoch der 11.01.2023, 14:48:32 Uhr

logo

Microsoft hat im Januar stolze 98 Sicherheitslücken in Windows, Office, .NET Core, dem 3D Builder, dem Azure Service Fabric Container, dem Bluetooth-Treiber, dem Exchange Server, der Graphics-Komponente, dem Local Security Authority Server (lsasrv), dem Message Queuing, dem WDAC OLE DB-Anbieter für SQL und Visual Studio Code geschlossen. Elf Schwachstellen wurden als kritisch eingestuft und von den übrigen geht eine hohe Gefahr aus. Auch die 0-Day-Lücke (CVE-2023-21674) stellt eine hohe Gefahr dar, es handelt sich um eine Rechteerweiterung im ALPC (Advanced Local Procedure Call).

Hier die lange Liste der verwundbaren Windows-Komponenten: ALPC (Advanced Local Procedure Calls), Anbieter für virtuelle Registrierung, Anmeldeinformationsverwaltung, Authentifizierungsmethoden, Bind-Filtertreiber, BitLocker, Defender, Druckerspooler-Komponenten, DWM-Kernbibliothek, EFS (verschlüsselndes Dateisystem), Ereignisablaufverfolgung, Fehlerberichterstattung, IKE (Protokoll für den Internetschlüsselaustausch), IKE-Erweiterung, Installer, iSCSI, Kernel, Key Guard, Kryptografiedienste, Layer 2 Tunneling-Protokoll, LDAP (Lightweight Directory Access Protocol), LSA (lokale Sicherheitsautorität), LSM (Lokaler Sitzungs-Manager), MSCryptDImportKey, NTLM, ODBC-Treiber, Point-to-Point-Tunneling-Protokoll, RAS-Dienst L2TP-Treiber, RPC-API, SSTP (Secure Socket Tunneling Protocol), Sicherungsmodul, Smartcard, Start-Manager, Taskplaner, Überlagerungsfilter, Verwaltungsinstrumentation, Workstation-Dienst und Zusatzfunktionstreiber für Winsock. Seitens Office werden neben der Büro-Software selbst auch SharePoint und Visio aufgeführt.

Betrachten wir zunächst die elf kritischen Lücken, sortiert nach ihrer CVSS-Einstufung:

  • CVE-2023-21561 ‐ Sicherheitsanfälligkeit in Microsoft-Kryptografiediensten bezüglich Rechteerweiterungen:
    Ein lokal authentifizierter Benutzer kann seine Berechtigungen von AppContainer auf SYSTEM erhöhen, indem er speziell gestaltete Daten an den lokalen CSRSS-Dienst sendet. Im Anschluss kann er Code ausführen sowie auf Ressourcen auf einer höheren Integritätsebene zugreifen. Betroffen sind Windows 7 bis 11 sowie die Server von 2008 bis 2022. Diese Schwachstelle wurde bisher nicht angegriffen und auch nicht öffentlich dokumentiert. Auch zukünftige Attacken gelten als unwahrscheinlich.
    • Angriffsvektor: Lokal
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Niedrig
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: unwahrscheinlicher
    • CVSS v3.1: 8,8 (Basis); 7,7 (zeitlich)
  • CVE-2023-21535 ‐ Sicherheitsanfälligkeit im Windows Secure Socket Tunneling Protocol (SSTP) bezüglich Remotecodeausführung:
    Ein nicht authentifizierter Benutzer kann eine speziell gestaltete Verbindungsanforderung an einen RAS-Server senden und diesen dazu bringen, beliebigen Code auszuführen. Hierzu ist es erforderlich, dass der Angreifer eine Race-Bedingung gewinnt. Betroffen sind die Windows Server 2008 bis 2022. Diese Schwachstelle wurde bisher nicht angegriffen und auch nicht öffentlich dokumentiert. Auch zukünftige Attacken gelten als unwahrscheinlich. Dieser Fehler erinnert sehr an die Schwachstellen CVE-2022-44670 und CVE-2022-44676, welche Microsoft im Dezember 2022 geschlossen hatte.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Hoch
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: unwahrscheinlicher
    • CVSS v3.1: 8,1 (Basis); 7,1 (zeitlich)
  • CVE-2023-21548 ‐ Sicherheitsanfälligkeit im Windows Secure Socket Tunneling Protocol (SSTP) bezüglich Remotecodeausführung:
    Anderer Server, ähnlicher Angriff: Ein nicht authentifizierter Benutzer kann speziell gestaltete SSTP-Pakete an einen SSTP-Server senden und diesen dazu bringen, beliebigen Code auszuführen. Hierzu ist es erforderlich, dass der Angreifer eine Race-Bedingung gewinnt. Betroffen sind Windows 7 bis 11 sowie die Server von 2008 bis 2022. Diese Schwachstelle wurde bisher nicht angegriffen und auch nicht öffentlich dokumentiert. Auch zukünftige Attacken gelten als unwahrscheinlich.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Hoch
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: unwahrscheinlicher
    • CVSS v3.1: 8,1 (Basis); 7,1 (zeitlich)
  • CVE-2023-21543, CVE-2023-21546, CVE-2023-21555, CVE-2023-21556 und CVE-2023-21679 ‐ Sicherheitsanfälligkeiten im Windows Layer 2 Tunneling Protocol (L2TP) bezüglich Remotecodeausführung:
    Anderes Protokoll, ähnlicher Angriff: Ein nicht authentifizierter Benutzer kann eine speziell gestaltete Verbindungsanforderung an einen RAS-Server senden und diesen dazu bringen, beliebigen Code auszuführen. Hierzu ist es erforderlich, dass der Angreifer eine Race-Bedingung gewinnt. Betroffen sind die Windows Server 2008 bis 2022. Auch diese fünf Schwachstellen wurden bisher nicht angegriffen und auch nicht öffentlich dokumentiert. Auch zukünftige Attacken gelten als unwahrscheinlich.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Hoch
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: unwahrscheinlicher
    • CVSS v3.1: 8,1 (Basis); 7,1 (zeitlich)
  • CVE-2023-21551 und CVE-2023-21730 ‐ Sicherheitsanfälligkeiten in Microsoft-Kryptografiediensten bezüglich Rechteerweiterungen:
    Ein lokal authentifizierter Benutzer kann seine Berechtigungen auf SYSTEM erhöhen. Wie das genau funktioniert, verrät Microsoft allerdings nicht. Während CVE-2023-21551 auf Windows 10 Version 20H2 bis 22H2, Windows 11 und die Server 2019 bis 2022 beschränkt ist, betrifft CVE-2023-21730 alle noch unterstützten Windows-Varianten. Diese beiden Schwachstellen wurden bisher nicht angegriffen und auch nicht öffentlich dokumentiert. Zukünftige Attacken gelten als unwahrscheinlich.
    • Angriffsvektor: Lokal
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Niedrig
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: unwahrscheinlicher
    • CVSS v3.1: 7,8 (Basis); 6,8 (zeitlich)
  • CVE-2023-21743 ‐ Sicherheitsanfälligkeit in Microsoft SharePoint Server bezüglich Umgehung von Sicherheitsfunktionen:
    Trotz einer niedrigen CVSS-Einstufung gilt diese Lücke im SharePoint Enterprise Server 2016, SharePoint Server 2019 und der SharePoint Server Subscription Edition als kritisch. Offenbar ist es nicht authentifizierten Benutzern möglich, eine anonyme Verbindung zu SharePoint Servern herzustellen, was zu einem gewissen Verlust der Integrität und einem gewissen Verlust der Vertraulichkeit führen kann. Was hierunter zu verstehen ist, will Microsoft in Kürze erklären. Um eine SharePoint-Farm zu schützen, reicht das Einspielen des Updates nicht aus. Es muss zusätzlich auf jedem SharePoint-Server eine enthaltene SharePoint-Upgrade-Aktion ausgelöst werden. Dies geschieht wahlweise über den SharePoint Products Configuration Wizard, das PowerShell-Cmdlet Upgrade-SPFarm oder den Befehl psconfig.exe -cmd upgrade -inplace b2b. Auch diese Schwachstelle wurde bisher nicht angegriffen und auch nicht öffentlich dokumentiert. Zukünftige Attacken hält man in Redmond für wahrscheinlich.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: wahrscheinlicher
    • CVSS v3.1: 5,3 (Basis); 4,6 (zeitlich)

Weitere Schwachstellen inklusive der 0-Day-Lücke
36 der hochgefährlichen Sicherheitslücken fallen in die Kategorie Rechteausweitung und weitere 26 sind Remote-Code-Ausführungen. Dazu kommen jeweils zehn Datenlecks sowie Möglichkeiten zum Blockieren von Diensten (Denial of Service). Bleiben noch drei Umgehungen von Sicherheitsmaßnahmen und zwei Täuschungen (Spoofing). Eine hochgefährliche Rechteerweiterung im SMB-Witness-Service praktisch aller noch gepflegten Windows-Varianten (CVE-2023-21549) wurde bereits im Vorfeld offengelegt. Damit kommen wir zur ebenfalls als hochgefährlich eingestuften 0-Day-Lücke:

  • CVE-2023-21674 ‐ Sicherheitsanfälligkeit in Windows Erweiterter lokaler Prozeduraufruf (Advanced Local Procedure Call, ALPC) bezüglich Rechteerweiterungen:
    Mit Hilfe dieser Schwachstelle im ALPC kann ein lokal authentifizierter Benutzer seine Berechtigungen auf SYSTEM erhöhen. Der Fehler eignet sich darüber hinaus zum Verlassen einer Browser-Sandbox. Betroffen sind Windows 8.1 bis 11 sowie die Server von 2012 R2 bis 2022. Über die Ausnutzung dieser Sicherheitslücke wurde Microsoft von den Avast-Mitarbeitern Jan Vojtěšek, Milánek und Przemek Gmerek informiert.
    • Angriffsvektor: Lokal
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Niedrig
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Ja
    • CVSS v3.1: 8,8 (Basis); 8,2 (zeitlich)

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]