Microsoft stopft 96 Schwachstellen inklusive einer 0-Day-Lücke

Microsoft hat im April 96 Sicherheitslücken in Windows, Office, Edge (Chromium-basiert), der Graphics-Komponente, dem Bluetooth-Treiber, den Drucker- und PostScript-Treibern, Azure Machine Learning und Service Connector, Defender für Endpoint, Dynamics und Dynamics 365 Customer Voice, Visual Studio nebst Visual Studio Code und .NET Core, dem Message Queuing und dem WDAC OLE DB-Anbieter für SQL geschlossen. Sieben Schwachstellen wurden als kritisch eingestuft, von den übrigen 89 geht eine hohe Gefahr aus. Bei CVE-2023-28252, einem hochgefährlichen Fehler, handelt es sich um eine 0-Day-Lücke, die bereits im Vorfeld ausgenutzt wurde.

Hier die Liste der verwundbaren Windows-Komponenten: Active Directory, ALPC, Ancillary Function Driver für WinSock, Boot Manager, Clip Service, CNG Key Isolation Service, Common Log File System Driver, DHCP Server, DNS, Enroll Engine, Error Reporting, Group Policy, Internet Key Exchange (IKE) Protokoll, Kerberos, Kernel, Layer 2 Tunneling Protokoll, Lock Screen, Netlogon, Network Address Translation (NAT), Network File System, Network Load Balancing, NTLM, PGM, Point-to-Point Protokoll over Ethernet (PPPoE), Point-to-Point Tunneling Protokoll, Raw Image Extension, RDP Client, Registry, RPC API, Secure Boot, Secure Channel, Secure Socket Tunneling Protokoll (SSTP), Transport Security Layer (TLS) und Win32K. Seitens Office werden der Publisher, SharePoint und Word aufgeführt.

Betrachten wir zunächst die sieben kritischen Lücken, sortiert nach ihrer CVSS-Einstufung:

• CVE-2023-21554 ‐ Sicherheitsanfälligkeit in Microsoft Message Queuing bezüglich Remotecodeausführung:
  Nicht authentifizierte Benutzer können aus dem Netz speziell gestaltete MSMQ-Pakete an einen MSMQ-Server senden. Bei der Verarbeitung dieser Pakete führt der Server dann vom Angreifer eingeschleusten Code aus. Standardmäßig ist der Message Queuing-Dienst nicht aktiv, er muss über die Systemsteuerung hinzugefügt werden. Ist der Dienst aktiv, lauscht er auf dem TCP-Port 1801. Bisher wurde dieser Bug weder öffentlich dokumentiert noch angegriffen, doch in Redmond hält man zukünftige Angriffe für wahrscheinlich. Betroffen sind Windows 10 und 11 sowie die Server von 2008 bis 2022.
  • Angriffsvektor: Netzwerk
  • Angriffskomplexität: Niedrig
  • Erforderliche Berechtigungen: Keine
  • Benutzerinteraktion: Keine
  • Öffentlich gemacht: Nein
  • Ausgenutzt: Nein
  • CVSS v3.1: 9,8 (Basis); 8,5 (zeitlich)
• CVE-2023-28250 ‐ Sicherheitsanfälligkeit in Windows Pragmatic General Multicast (PGM) bezüglich Remotecodeausführung:
  Das Gegenstück zu CVE-2023-21554 ist genauso gefährlich und erlaubt es nicht authentifizierten Benutzern ebenfalls, Schadcode über das Message Queuing einzuschleusen. An Stelle speziell gestalteter MSMQ-Pakete kommen hier allerdings Dateien zum Einsatz. Dies macht zukünftige Angriffe offenbar unwahrscheinlich, bis dato wurde der Fehler weder attackiert noch dokumentiert. Standardmäßig ist der Message Queuing-Dienst nicht aktiv, er muss über die Systemsteuerung hinzugefügt werden. Ist der Dienst aktiv, lauscht er auf dem TCP-Port 1801. Betroffen sind Windows 10 und 11 sowie die Server 2008 bis 2022.
  • Angriffsvektor: Netzwerk
  • Angriffskomplexität: Niedrig
  • Erforderliche Berechtigungen: Keine
  • Benutzerinteraktion: Keine
  • Öffentlich gemacht: Nein
  • Ausgenutzt: Nein
  • CVSS v3.1: 9,8 (Basis); 8,5 (zeitlich)
• CVE-2023-28231 ‐ Sicherheitsanfälligkeit im DHCP-Serverdienst bezüglich Remotecodeausführung:
  Authentifizierte Benutzer können einen speziell gestalteten RPC-Aufruf an den DHCP-Dienst schicken und dabei eigenen Code ausführen. Microsoft schreibt, dass keine Berechtigungen erforderlich seien und beschreibt den Angriffsvektor als Angrenzend. Damit ist gemeint, dass sich Angreifer zunächst Zugang zu dem eingeschränkten Netzwerk verschaffen müssen, um den RPC-Aufruf absetzen zu können. Auch diese Schwachstelle wurde noch nicht öffentlich dokumentiert oder angegriffen, zukünftige Angriffe gelten aber als wahrscheinlich. Betroffen sind die Windows-Server 2008 bis 2022.
  • Angriffsvektor: Angrenzend
  • Angriffskomplexität: Niedrig
  • Erforderliche Berechtigungen: Keine
  • Benutzerinteraktion: Keine
  • Öffentlich gemacht: Nein
  • Ausgenutzt: Nein
  • CVSS v3.1: 8,8 (Basis); 7,7 (zeitlich)
• CVE-2023-28291 ‐ Raw Image Extension Remote Code Execution Vulnerability:
  Ein Angreifer kann einem lokalen Benutzer eine manipulierte Bilddatei im Raw-Format unterschieben, beispielsweise über einen Download-Link oder als Anhang einer E-Mail. Verwendet die verknüpfte Anwendung Microsofts Raw Image Extension, kann beim Laden der Datei Schadcode ausgeführt werden. Behoben wurde der Fehler, der im Vorfeld weder ausgenutzt noch dokumentiert wurde, in Window 11 Build 22621 (Raw 2.1.60611.0), Window 11 Build 18362 (Raw 2.0.60612.0) sowie Window 10 Build 18362 (Raw 2.0.60612.0). Zukünftige Angriffe hält Microsoft für unwahrscheinlich.
  • Angriffsvektor: Lokal
  • Angriffskomplexität: Niedrig
  • Erforderliche Berechtigungen: Keine
  • Benutzerinteraktion: Keine
  • Öffentlich gemacht: Nein
  • Ausgenutzt: Nein
  • CVSS v3.1: 8,4 (Basis); 7,3 (zeitlich)
• CVE-2023-28219 und CVE-2023-28220 ‐ Zwei Sicherheitsanfälligkeiten im Layer 2 Tunneling Protocol bezüglich Remotecodeausführung:
  Nicht authentifizierte Benutzer können über das Netzwerk eine speziell gestaltete Verbindungsanforderung an einen RAS-Server senden. Dabei kann der Angreifer dem RAS-Servercomputer eigenen Code unterschieben. Damit die Attacke gelingt, muss der Angreifer zuvor eine Race-Bedingung gewinnen. Der Fehler wurde bisher nicht öffentlich dokumentiert und es sind auch noch keine Angriffe bekannt. Obwohl sich ein Angriff aufgrund der Race-Bedingung recht schwierig gestaltet, geht Microsoft von der Ausnutzung in der Zukunft aus. Betroffen sind Windows 10 und 11 sowie die Server 2008 bis 2022.
  • Angriffsvektor: Netzwerk
  • Angriffskomplexität: Hoch
  • Erforderliche Berechtigungen: Keine
  • Benutzerinteraktion: Keine
  • Öffentlich gemacht: Nein
  • Ausgenutzt: Nein
  • CVSS v3.1: 8,1 (Basis); 7,1 (zeitlich)
• CVE-2023-28232 ‐ Sicherheitsanfälligkeit im Windows Point-to-Point-Tunneling-Protokoll bezüglich Remotecodeausführung:
  Nicht authentifizierte Benutzer, die einen bösartigen Server betreiben, können einen lokalen Benutzer dazu verleiten, sich mit diesem Server zu verbinden. Dabei wird dem Windows Client Schadcode untergeschoben. Laut Microsoft ist es zur Ausnutzung des Fehlers erforderlich, dass der Angreifer zusätzliche Maßnahmen zur Vorbereitung der Zielumgebung ergreift. Dies macht die Umsetzung kompliziert und zukünftige Angriffe unwahrscheinlich. Bisher wurde diese Lücke weder öffentlich dokumentiert noch sind Angriffe bekannt. Betroffen sind Windows 10 und 11 sowie die Server 2008 bis 2022.
  • Angriffsvektor: Netzwerk
  • Angriffskomplexität: Hoch
  • Erforderliche Berechtigungen: Keine
  • Benutzerinteraktion: Anforderung
  • Öffentlich gemacht: Nein
  • Ausgenutzt: Nein
  • CVSS v3.1: 7,5 (Basis); 6,5 (zeitlich)

Weitere Schwachstellen inklusive der 0-Day-Lücke
37 der hochgefährlichen Sicherheitslücken fallen in die Kategorie der Remote-Code-Ausführungen und weitere zwanzig sind Rechteausweitungen. Dazu kommen zehn Datenlecks, neun Möglichkeiten zum Blockieren von Diensten (Denial of Service), sieben Umgehungen von Sicherheitsmaßnahmen und sechs Täuschungen (Spoofing). Eine Erhöhung von Berechtigungen wurde bereits im Vorfeld missbraucht, es handelt sich also um eine 0-Day-Lücke:

• CVE-2023-28252 ‐ Sicherheitsanfälligkeit im Treiber des gemeinsamen Protokolldateisystems bezüglich Rechteerweiterungen:
  0-Day-Lücke! Lokale Angreifer ohne besondere Berechtigungen können durch Ausnutzung dieses Fehlers erhöhte Systemrechte erlangen. Erschwerend kommt hinzu, dass die Ausnutzung der Schwachstelle nicht sonderlich kompliziert ist. Genauere Details liefert Microsoft leider nicht. Betroffen sind neben Windows 10 und 11 auch die Windows Server von 2008 bis 2022.
  • Angriffsvektor: Lokal
  • Angriffskomplexität: Niedrig
  • Erforderliche Berechtigungen: Niedrig
  • Benutzerinteraktion: Keine
  • Öffentlich gemacht: Nein
  • Ausgenutzt: Ja
  • CVSS v3.1: 7,8 (Basis); 7,2 (zeitlich)