Microsoft hat im Oktober 103 Schwachstellen gestopft, darunter eine 0-Day-Lücke

Meldung von doelf, Mittwoch der 11.10.2023, 15:25:16 Uhr

logo

Microsoft hat am gestrigen Oktober-Patchday 103 Sicherheitslücken in Windows, Office, WordPad, den Active Directory Domain Services, Azure samt DevOps, SDK und Echtzeitbetriebssystem, der C++-Vorlagenbibliothek für Windows Runtime, dem Client-Server-Runtime-Subsystem (CSRSS), dem Common Data Model SDK, Dynamics, dem Exchange Server, QUIC, dem WDAC OLE DB-Anbieter für SQL, der Grafikkomponente, Skype for Business und dem SQL Server geschlossen. Im Falle eines Datenlecks in WordPad (CVE-2023-36563) wurde eine eine Ausnutzung der Sicherheitslücke erkannt, es handelt sich somit um eine 0-Day-Lücke. Hinzu kommen zwei Fehler in Drittanbieter-Software: Eine Typenverwirrung in der V8-Javascript-Engine vom Chromium (CVE-2023-5346), dem Unterbau des Webbrowsers Edge, und eine 0-Day-Lücke im HTTP /2-Protokoll (CVE-2023-44487).

Hier die Liste der verwundbaren Windows-Komponenten: Active Template Library, AllJoyn API, Bereitstellungsdienste, Client-Server-Laufzeit-Subsystem, Container Managerdienst, DHCP Server, Energieverwaltungsdienst, Fehlerberichterstattung, HTML-Plattformen, IIS, IKE-Erweiterung, Kernel, Layer-2-Tunneling-Protokoll, Mark of the Web (MOTW), Media Foundation, Message Queuing, Microsoft DirectMusic, Mixed Reality-Entwicklungstools, Named-Pipe-Dateisystem, NT Betriebssystem-Kernel, RDP, Remoteprozeduraufruf, Robustes Dateisystem (ReFS), Search Component, Setup Files Cleanup, TCP/IP, TPM, Treiber des gemeinsamen Protokolldateisystems, Virtual Trusted Platform Module und Win32K. Alleine zwanzig Sicherheitsmeldungen betreffen das Windows Message Queuing gefolgt vom Windows Layer-2-Tunneling-Protokoll mit neun Einträgen.

Im Folgenden betrachten wir die kritischen Sicherheitslücken sowie alle Fehler, welche bereits angegriffen werden (0 Day). Zwei der behobenen Schachstellen haben eine extrem hohe CVSS-v3.1-Wertung von 9,8 erhalten (CVE-2023-35349 und CVE-2023-36434), doch nur der erstgenannte Fehler wurde als kritisch klassifiziert:

  • CVE-2023-35349 ‐ Sicherheitsanfälligkeit in Microsoft Message Queuing bezüglich Remotecodeausführung:
    Wenn der Dienst Message Queuing aktiviert ist und auf dem TCP-Port 1801 lauscht, können nicht authentifizierten Angreifer aus der Ferne eigenen Code einschleusen und ausführen. Betroffen sind alle Versionen von Windows 10 und 11 sowie die Server von 2008 bis 2022. Diese Schwachstelle wurde bisher weder öffentlich dokumentiert noch ausgenutzt. Eine zukünftige Ausnutzung gilt als weniger wahrscheinlich.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • CVSS v3.1: 9,8 (Basis); 8,5 (zeitlich)

Vier weitere Lücken tragen die CVSS-v3.1-Wertung 8,8 (CVE-2023-36414, CVE-2023-36415, CVE-2023-36419 und CVE-2023-36577), sie wurden allesamt als wichtig (hohe Gefahr) eingestuft. Gleiches gilt für CVE-2023-36569 mit dem Schweregrad 8,4. Die neun Fehler im Windows Layer-2-Tunneling-Protokoll, welche eine CVSS-v3.1-Wertung von 8,1 erhalten haben, gelten hingegen als kritisch:

  • CVE-2023-38166, CVE-2023-41765, CVE-2023-41767, CVE-2023-41768, CVE-2023-41769, CVE-2023-41770, CVE-2023-41771, CVE-2023-41773 und CVE-2023-41774 ‐ Sicherheitsanfälligkeiten im Layer 2 Tunneling Protocol bezüglich Remotecodeausführung:
    Diese neun Schwachstellen lassen sich ohne Authentifizierung aus der Ferne ausnutzen und erfordern keine Nutzerinteraktion. Wenn es dem Angreifer gelingt, eine Race-Bedingung für sich zu entscheiden, reicht eine speziell gestaltete Verbindungsanforderung aus, um einem RAS-Server eigenen Code unterzuschieben. Betroffen sind alle Versionen von Windows 10 und 11 sowie die Server von 2008 bis 2022. Diese Schwachstellen wurden bisher weder öffentlich dokumentiert noch ausgenutzt und auch eine zukünftige Ausnutzung hält Microsoft für weniger wahrscheinlich.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Hoch
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • CVSS v3.1: 8,1 (Basis); 7,1 (zeitlich)

Die CVSS-v3.1-Einstufung 8,0 wurde nur einmal vergeben (CVE-2023-36778, wichtig), die Wertung 7,8 gibt es dafür gleich 27 mal (CVE-2023-36594, CVE-2023-36731, CVE-2023-36732, CVE-2023-36743, CVE-2023-36737, CVE-2023-36418, CVE-2023-36711, CVE-2023-41766, CVE-2023-36710, CVE-2023-36417, CVE-2023-36598, CVE-2023-36730, CVE-2023-36785, CVE-2023-36723, CVE-2023-36436, CVE-2023-36557, CVE-2023-36726, CVE-2023-36593, CVE-2023-36702, CVE-2023-36729, CVE-2023-36725, CVE-2023-36790, CVE-2023-36701, CVE-2023-36704, CVE-2023-36718, CVE-2023-36712 und CVE-2023-41772). All diese Korrekturen mit Ausnahme von CVE-2023-36718 (kritisch) werden als wichtig erachtet.

  • CVE-2023-36718 ‐ Sicherheitsanfälligkeit in Microsoft Virtual Trusted Platform Module bezüglich Remotecodeausführung:
    Um diese Sicherheitslücke zu missbrauchen, benötigt der Angreifer lokalen Gast-Zugriff auf eine virtuelle Maschine und muss komplexe Techniken zur Veränderung des Arbeitsspeichers durchführen. Hat er Erfolg, kann er aus der AppContainer-Isolation ausbrechen und eigenen Code ausführen. Betroffen sind alle Versionen von Windows 10 und 11 sowie die Server von 2016 bis 2022. Diese Schwachstellen wurden bisher weder öffentlich dokumentiert noch ausgenutzt und auch eine zukünftige Ausnutzung hält Microsoft für unwahrscheinlich.
    • Angriffsvektor: Lokal
    • Angriffskomplexität: Hoch
    • Erforderliche Berechtigungen: Niedrig
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Ja
    • CVSS v3.1: 7,8 (Basis); 6,8 (zeitlich)

Mit 14 Einträgen ist auch die CVSS-v3.1-Einstufung 7,5 prominent vertreten, die Lücken (CVE-2023-36435, CVE-2023-38171, CVE-2023-36585, CVE-2023-36709, CVE-2023-36703, CVE-2023-36431, CVE-2023-36579, CVE-2023-36581, CVE-2023-36606, CVE-2023-36720, CVE-2023-36438, CVE-2023-36602, CVE-2023-36603 und CVE-2023-36567) gelten ausnahmslos als hochgefährlich. Dies gilt ebenso für CVE-2023-36605 (7,4) und die 15 Einträge mit der CVSS-v3.1-Einstufung 7,3 (CVE-2023-36561, CVE-2023-36420, CVE-2023-36570, CVE-2023-36571, CVE-2023-36572, CVE-2023-36573, CVE-2023-36574, CVE-2023-36575, CVE-2023-36578, CVE-2023-36582, CVE-2023-36583, CVE-2023-36589, CVE-2023-36590, CVE-2023-36591 und CVE-2023-36592). Dreimal wurde die CVSS-v3.1-Wertung 7,2 (CVE-2023-36780, CVE-2023-36786 und CVE-2023-36789) und sechsmal die 7,0 (CVE-2023-38159, CVE-2023-36776, CVE-2023-36565, CVE-2023-36568, CVE-2023-36902 und CVE-2023-36721) vergeben, doch Microsoft bewertet keines dieser Probleme als kritisch. Erst bei CVE-2023-36697 (CVSS-v3.1: 6,8) handelt es sich wieder um ein kritisches Problem:

  • CVE-2023-36697 ‐ Sicherheitsanfälligkeit in Microsoft Message Queuing bezüglich Remotecodeausführung:
    Authentifizierte Domainbenutzer können diese Schwachstelle im Message Queuing missbrauchen, um dem Zielserver eigenen Code unterzuschieben. Zuvor muss ein Benutzer dazu gebracht werden, sich mit einem bösartigen oder manipulierten Server zu verbinden. Betroffen sind alle Versionen von Windows 10 und 11 sowie die Server von 2008 bis 2022. Dieser Bug wurde bisher weder öffentlich dokumentiert noch ausgenutzt und auch eine zukünftige Ausnutzung ist eher unwahrscheinlich.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Hoch
    • Benutzerinteraktion: Anforderung
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • CVSS v3.1: 6,8 (Basis); 5,9 (zeitlich)

Die CVSS-v3.1-Einstufung 6,5 finden wir in diesem Monat zehnmal (CVE-2023-36563, CVE-2023-36566, CVE-2023-36429, CVE-2023-36433, CVE-2023-36564, CVE-2023-29348, CVE-2023-36596, CVE-2023-36717, CVE-2023-36706 und CVE-2023-36707). Diese Updates sind fast alle wichtig, einzig CVE-2023-36566 gilt als kritisch. Doch auch CVE-2023-36563 ist einen zweiten Blick wert, denn hierbei handelt es sich um eine 0-Day-Lücke.

  • CVE-2023-36566 ‐ Sicherheitsanfälligkeit im Microsoft Common Data Model SDK bezüglich Denial-of-Service:
    Authentifizierte Angreifer können diese Sicherheitsanfälligkeit in der Microsoft Common Data Model SDK auslösen, um Funktionen zu blockieren. Betroffen sind die SDKs für C, Java, Python und TypeScript. Bisher wurde das Problem weder öffentlich dokumentiert noch angegriffen. In Redmond erwartet man auch in Zukunft keine Attacken auf diese Sicherheitslücke.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Niedrig
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • CVSS v3.1: 6,5 (Basis); 5,7 (zeitlich)
  • 0 Day! CVE-2023-36563 ‐ Sicherheitsanfälligkeit in Microsoft WordPad bezüglich Offenlegung von Informationen:
    Ein Angreifer kann einen lokalen Benutzer dazu verleiten, eine manipulierte WordPad-Datei zu öffnen. Hierdurch kann er NTLM-Hashes erbeuten und versuchen, die Kontrolle über das betroffene System zu erlangen. Betroffen sind alle Versionen von Windows 10 und 11 sowie die Server von 2008 bis 2022. Diese Schwachstelle wurde öffentlich dokumentiert und wird auch schon angegriffen.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Anforderung
    • Öffentlich gemacht: Ja
    • Ausgenutzt: Ja
    • CVSS v3.1: 6,5 (Basis); 5,9 (zeitlich)

Es verbleiben neun Fehler: CVE-2023-36416 (CVSS-v3.1: 6,1), CVE-2023-36713, CVE-2023-36728, CVE-2023-36724 und CVE-2023-36576 (CVSS-v3.1: 5,5), CVE-2023-36584 (CVSS-v3.1: 5,4), CVE-2023-41763 (CVSS-v3.1: 5,3), CVE-2023-36722 (CVSS-v3.1: 4,4) und CVE-2023-36698 (CVSS-v3.1: 3,6) fallen ohne Ausnahme in den Schweregrad Wichtig. Keine wurde im Vorfeld öffentlich dokumentiert oder ausgenutzt.

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]