Werbung
AVMs güstiger DSL-Router mit Wi-Fi 6: FRITZ!Box 7530 AX (Modell für Deutschland)


 

Microsoft stopft 81 Schwachstellen inklusive zweier 0-Day-Lücken

Meldung von doelf, Mittwoch der 15.03.2023, 14:30:52 Uhr

logo

Microsoft hat im März 81 Sicherheitslücken in Windows, Office, Edge (Chromium-basiert), der Graphics-Komponente, dem Bluetooth-Treiber, OneDrive, dem Client-Server-Runtime-Subsystem (CSRSS), dem Druckertreiber und dem PostScript-Druckertreiber, dem Internet Control Message Protocol (ICMP), dem RAS-Dienst Point-to-Point-Tunneling-Protokoll, Visual Studio, Azure, Dynamics und Service Fabric geschlossen. Neun Schwachstellen wurden als kritisch eingestuft, von 71 geht eine hohe Gefahr aus und eine Umgehung von Sicherheitsmaßnahmen wurde als moderat bewertet. Bei zwei Schwachstellen handelt es sich um 0-Day-Lücken, die bereits im Vorfeld ausgenutzt wurden. Insbesondere die kritische 0-Day-Lücke in Outlook (CVE-2023-23397; CVSS v3.1: 9,8) hat es in sich, doch auch die beiden kritischen Fehler in der Referenzumsetzung für TPM 2.0 (CVE-2023-1017 und CVE-2023-1018; CVSS v3.1: 8,8) sind nicht ohne!

Hier die Liste der verwundbaren Windows-Komponenten: Bluetooth-Dienst, Central Ressourcen-Manager, Kryptografiedienste, Defender, DNS-Server (Rolle), HTTP-Protokollstack, HTTP.sys, Hyper-V (Rolle), Kernel, Kontensteuerung, Medienbibliothek, Partitionsverwaltungstreiber, Point-to-Point-Protokoll über Ethernet (PPPoE), Protokoll für den Internetschlüsselaustausch (Ike), Remoteprozeduraufruf, Remoteprozeduraufruf-Runtime, Robustes Dateisystem (ReFS), Sicherer Kanal, SmartScreen, TPM und Win32K. Seitens Office werden Excel, Outlook und SharePoint sowie Office für Android aufgeführt.

Betrachten wir zunächst die neun kritischen Lücken, sortiert nach ihrer CVSS-Einstufung:

  • CVE-2023-23397 ‐ Sicherheitsanfälligkeit in Microsoft Outlook bezüglich Rechteerweiterungen:
    0-Day-Lücke! Nicht authentifizierte Benutzer können von außen speziell gestaltete E-Mails an einen E-Mail-Server schicken, bei deren Verarbeitung durch den Server eine Verbindung vom Opfer zu einem externen UNC-Standort unter der Kontrolle der Angreifenden herstellt und der Net-NTLMv2-Hash des Opfers an die Angreifenden weitergegeben wird. Mit diesem Hash können sich die Angreifer dann bei anderen Diensten als ihr Opfer ausgeben. Um das Problem zu umgehen, kann man den Einsatz von NTLM zur Authentifizierung einschränken oder verbieten. Wird ausgehender SMB-Datenverkehr über den TCP-Port 445 blockiert, fängt dies NTLM-Authentifizierungen an externe Dateifreigaben ebenfalls ab. Betroffen sind die Microsoft 365 Apps for Enterprise, Office 2019, Office LTSC 2021, Outlook 2013 Service Pack 1 und Outlook 2016.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Ja
    • CVSS v3.1: 9,8 (Basis); 9,1 (zeitlich)
  • CVE-2023-21708 ‐ Sicherheitsanfälligkeit in der Remoteprozeduraufruf-Runtime bezüglich Remotecodeausführung:
    Nicht authentifizierte Benutzer können von außen manipulierte RPC-Aufrufe an einen RPC-Host senden. Gelingt er Angriff, führt der Server den eingeschleusten Code im Kontext des RPC-Dienstes aus. Abhilfe schafft auch das Blockieren des TCP-Port 135. Betroffen sind Windows 10 und 11 sowie die Windows Server 2008 bis 2022. Diese Schwachstelle wurde bisher nicht angegriffen und auch nicht öffentlich dokumentiert und auch zukünftige Attacken gelten als unwahrscheinlich.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: unwahrscheinlicher
    • CVSS v3.1: 9,8 (Basis); 8,5 (zeitlich)
  • CVE-2023-23392 ‐ Sicherheitsanfälligkeit im HTTP-Protokollstack bezüglich Remotecodeausführung:
    Nicht authentifizierte Benutzer können von außen speziell präparierte Pakete an den HTTP-Protokollstapel (http.sys) eines Servers schicken, welcher den enthaltenen Schadcode dann ausführt. Dies funktioniert allerdings nur, wenn die Bindung HTTP/3 aktiviert ist gepufferte E/A verwendet werden. HTTP/3 wurde mit Windows Server 2022 eingeführt und kann dort über einen Registrierungsschlüssel aktiviert werden. Neben Windows Server 2022 ist auch Windows 11 betroffen. Diese Schwachstelle wurde bisher nicht angegriffen und auch nicht öffentlich dokumentiert, zukünftige Attacken gelten allerdings als wahrscheinlich.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: wahrscheinlicher
    • CVSS v3.1: 9,8 (Basis); 8,5 (zeitlich)
  • CVE-2023-23415 ‐ Sicherheitsanfälligkeit in Internet Control Message-Protokoll (ICMP) bezüglich Remotecodeausführung:
    Nicht authentifizierte Benutzer können von außen einen Low-Level-Protokollfehler, der ein fragmentiertes IP-Paket in seinem Header enthält, an den Zielcomputer senden. Ist auf dem Zielcomputer eine Anwendung mit einem Raw-Socket verbunden, wird der enthaltene Schadcode ausgeführt. Betroffen sind Windows 10 und 11 sowie die Windows Server 2008 bis 2022. Diese Schwachstelle wurde bisher nicht angegriffen und auch nicht öffentlich dokumentiert, zukünftige Attacken gelten allerdings als wahrscheinlich.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: wahrscheinlicher
    • CVSS v3.1: 9,8 (Basis); 8,5 (zeitlich)
  • CVE-2023-1017 ‐ Sicherheitsanfälligkeit in Microsoft Trusted Platform Module (TPM) bezüglich Rechteerweiterungen:
    Laut Microsoft können lokale Benutzer einer Gast-VM böswillige TPM-Befehle ausführen, welche Hyper-V als Schreibvorgang in der Root-Partition umsetzt. Tatsächlich steckt das Problem tiefer, nämlich in der Referenzumsetzung für TPM 2.0, welche die Trusted Computing Group (TCG) empfiehlt. Wenn sich ein Hersteller an diese hält, schreibt die Routine CryptParameterDecryption unkontrolliert zwei Byte über das Ende des eigentlichen Befehls hinaus. Ein Angreifer kann den TPM-Chip damit unbrauchbar machen oder eigenen Code ausführen lassen. Sofern die Firmware von diesem Fehler betroffen ist, lassen sich Windows 10 und 11 sowie die Windows Server von 2016 bis 2022 auf diese Weise attackieren. Diese Schwachstelle wurde bisher nicht angegriffen und auch nicht öffentlich dokumentiert und auch zukünftige Attacken gelten als unwahrscheinlich.
    • Angriffsvektor: Lokal
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Niedrig
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: unwahrscheinlicher
    • CVSS v3.1: 8,8 (Basis); 7,7 (zeitlich)
  • CVE-2023-1018 ‐ Sicherheitsanfälligkeit in Trusted Platform Module (TPM) 2.0 bezüglich Rechteerweiterungen:
    CVE-2023-1018 ist sozusagen das Gegenstück zu CVE-2023-1017, denn hier liest die Routine CryptParameterDecryption unkontrolliert zwei Byte über das Ende des eigentlichen Befehls hinaus. Abermals steckt der Fehler in der Referenzumsetzung für TPM 2.0, welche die Trusted Computing Group (TCG) empfiehlt. Sofern die Firmware von diesem Fehler betroffen ist, lassen sich unter Windows 10 und 11 sowie beim Windows Server von 2016 bis 2022 auf diese Weise Daten aus der Firmware abgreifen. Diese Schwachstelle wurde bisher nicht angegriffen und auch nicht öffentlich dokumentiert und auch zukünftige Attacken gelten als unwahrscheinlich.
    • Angriffsvektor: Lokal
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Niedrig
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: unwahrscheinlicher
    • CVSS v3.1: 8,8 (Basis); 7,7 (zeitlich)
  • CVE-2023-23416 ‐ Sicherheitsanfälligkeit im Windows-Kryptografiedienst bezüglich Remotecodeausführung:
    Wenn ein lokaler Benutzer dazu gebracht wird, ein bösartiges Zertifikat zu importieren, kann dabei Schadcode über den Kryptografiedienst von Windows ausgeführt werden. Betroffen sind Windows 10 und 11 sowie die Windows Server 2012 bis 2022. Diese Schwachstelle wurde bisher nicht angegriffen und auch nicht öffentlich dokumentiert, doch zukünftige Attacken gelten als wahrscheinlich.
    • Angriffsvektor: Lokal
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Niedrig
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: wahrscheinlicher
    • CVSS v3.1: 8,4 (Basis); 7,3 (zeitlich)
  • CVE-2023-23404 ‐ Sicherheitsanfälligkeit im Windows Point-to-Point-Tunneling-Protokoll bezüglich Remotecodeausführung:
    Ein nicht authentifizierter Angreifer kann von außen eine speziell gestaltete Verbindungsanforderung an einen RAS-Server senden, deren Schadcode vom Server ausgeführt wird. Um den Fehler im Point-to-Point-Tunneling-Protokoll ausnutzen zu können, muss der Angreifer allerdings eine Racebedingung gewinnen. Betroffen sind Windows 10 und 11 sowie die Windows Server 2012 bis 2022. Diese Schwachstelle wurde bisher nicht angegriffen und auch nicht öffentlich dokumentiert und auch zukünftige Attacken gelten als unwahrscheinlich.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Hoch
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: unwahrscheinlicher
    • CVSS v3.1: 8,1 (Basis); 7,1 (zeitlich)
  • CVE-2023-23411 ‐ Sicherheitsanfälligkeit in Windows Hyper-V bezüglich Denial-of-Service:
    Lokale Benutzer einer Gast-VM können die Funktionalität des Hyper-V-Hosts beeinträchtigen, im Erstfall ist das Host-System nicht mehr erreichbar. Betroffen sind Windows 10 und 11 sowie die Windows Server 2016 bis 2022. Diese Schwachstelle wurde bisher nicht angegriffen und auch nicht öffentlich dokumentiert und auch zukünftige Attacken gelten als unwahrscheinlich.
    • Angriffsvektor: Lokal
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Niedrig
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: unwahrscheinlicher
    • CVSS v3.1: 6,5 (Basis); 5,7 (zeitlich)

Weitere Schwachstellen inklusive der zweiten 0-Day-Lücke
22 der hochgefährlichen Sicherheitslücken fallen in die Kategorie der Remote-Code-Ausführungen und weitere 18 sind Rechteausweitungen. Dazu kommen 16 Datenlecks, elf Täuschungen (Spoofing), drei Möglichkeiten zum Blockieren von Diensten (Denial of Service) sowie eine Umgehung von Sicherheitsmaßnahmen. Der Fehler aus der Gefahrenstufe mittel, ebenfalls eine Umgehung von Sicherheitsmaßnahmen, wurde bereits im Vorfeld missbraucht. Es handelt sich also um eine 0-Day-Lücke:

  • CVE-2023-24880 ‐ Sicherheitsanfälligkeit in Windows SmartScreen bezüglich Umgehung von Sicherheitsfunktionen:
    0-Day-Lücke! Angreifer können bösartige Dateien erstellen, welche die MOTW-Schutzmechanismen (Mark of the Web) umgehen. Wird eine Datei aus dem Internet heruntergeladen, weist diese normalerweise als ADS (Alternativer Datenstrom) ZoneId den Wert 3 auf und es findet beim Zugriff eine Reputationsprüfung durch SmartScreen statt. Dies konnten die Angreifer hier vermeiden, so dass beispielsweise die geschützte Ansicht in Microsoft Office nicht zur Anwendung kommt. Betroffen sind neben Windows 10 und 11 auch die Windows Server von 2016 bis 2022.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Anforderung
    • Öffentlich gemacht: Ja
    • Ausgenutzt: Ja
    • CVSS v3.1: 5,4 (Basis); 5,0 (zeitlich)

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]