Werbung
AVMs güstiger Mesh-Repeater mit Wi-Fi 6: FRITZ!Repeater 3000 AX


Microsoft hat im Januar 48 Schwachstellen gestopft

Meldung von doelf, Mittwoch der 10.01.2024, 14:20:54 Uhr

logo

Microsoft hat am gestrigen Januar-Patchday 48 Sicherheitslücken in Windows, Office und SharePoint, .NET und Visual Studio, dem Bluetooth-Treiber, den Identitätsdiensten, dem SQL Server, dem Azure Storage Mover, dem Remotedesktopclient und dem Unified Extensible Firmware Interface geschlossen. Hinzu kommen fünf Fehler in Drittanbieter-Software: Vier davon stecken in Chromium (CVE-2024-0222, CVE-2024-0223, CVE-2024-0224 und CVE-2024-0225), dem Unterbau des Webbrowsers Edge, und einer in SQLite (CVE-2022-35737).

Hier die Liste der verwundbaren Windows-Komponenten: AllJoyn API, Authentifizierungsmethoden, BitLocker, Collaborative Translation Framework, Designs, Gruppenrichtlinie, Hyper-V, Kernel, Kernelmodustreiber, Kryptografiedienste, Libarchive, Message Queuing, Minifiltertreiber für Clouddateien (Cloud Files Mini Filter Driver), ODBC-Treiber, Online Certificate Status-Protokoll (OCSP)-SnapIn, Server-Schlüsselverteilungsdienst, Skripterstellung, Subsystem für Linux, Subsystemdienst für die lokale Sicherheitsautorität (LSASS), TCP/IP, Treiber des gemeinsamen Protokolldateisystems, Umgebungsfreigabe, Win32 Kernel Subsystem und Win32K.

Im Folgenden betrachten wir die kritischen Sicherheitslücken sowie alle Fehler, welche bereits angegriffen werden (0 Day). Zwei der behobenen Schachstellen haben eine sehr hohe CVSS-v3.1-Wertung von 9,1 bzw. 9,0 erhalten (CVE-2024-0057 und CVE-2023-36434), doch nur der zweitgenannte Fehler wurde als kritisch klassifiziert:

  • CVE-2024-20674 ‐ Sicherheitsanfälligkeit in Windows Kerberos bezüglich Umgehung von Sicherheitsfunktionen:
    Im lokalen Netzwerk können sich Angreifer als Kerberos-Authentifizierungsserver ausgeben und eine bösartige Kerberos-Nachricht an ihre Opfer schicken, um die Authentifizierungsfunktion zu umgehen. Betroffen sind alle Versionen von Windows 10 und 11 sowie die Server von 2008 bis 2022. Diese Schwachstelle wurde bisher weder öffentlich dokumentiert noch ausgenutzt. Eine zukünftige Ausnutzung gilt jedoch als wahrscheinlich.
    • Angriffsvektor: Angrenzend
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Niedrig
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • CVSS v3.1: 9,0 (Basis); 7,8 (zeitlich)

Vier Sicherheitslücken tragen eine hohe CVSS-v3.1-Wertung zwischen 8,0 und 8,8, doch keinen dieser Fehler betrachtet man in Redmond als kritisch. Es folgen zwölfmal die 7,8 und siebenmal die 7,5, doch auch darunter findet sich nur ein kritischer Bug:

  • CVE-2024-20700 ‐ Sicherheitsanfälligkeit in Windows Hyper-V bezüglich Remotecodeausführung:
    Angreifer mit Zugang zu einem eingeschränkten Netzwerk können Hyper-V eigenen Code unterschieben. Zuvor müssen sie allerdings eine Race-Bedingung für sich zu entscheiden und das ist laut Microsoft recht schwer. Betroffen sind Windows 10 Version 1809 bis 22H2, Windows 11 Version 21H2 bis 23H2 sowie die Server von 2019 bis 2022. Diese Schwachstelle wurden bisher weder öffentlich dokumentiert noch ausgenutzt und auch eine zukünftige Ausnutzung gilt als weniger wahrscheinlich.
    • Angriffsvektor: Angrenzend
    • Angriffskomplexität: Hoch
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • CVSS v3.1: 7,5 (Basis); 6,5 (zeitlich)

Damit bleiben 23 wichtige Sicherheitslücken mit CVSS-v3.1-Einstufungen zwischen 4,4 und 7,3. Keine davon wurde im Vorfeld dokumentiert oder angegriffen. Mit lediglich zwei kritischen Fehlern und keiner 0-Day-Lücke darf man Microsofts Jahresstart als ausgesprochen ruhig bezeichnen. Es bleibt zu hoffen, dass über die Feiertage nicht zu viele Probleme liegen geblieben sind und uns im Februar keine böse Überraschung erwartet.

UPDATE: Das Windows-Update KB5034441 macht Ärger und lässt sich auf vielen Systemen mit Windows 10 nicht installieren. Wir erklären das Problem und seine Lösung.

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]