Microsoft November-Update stopft 89 Schwachstellen inklusive zweier 0-Day-Lücken

Letzten Dienstag hatte Microsoft seine November-Updates veröffentlicht und wieder gab es zwei 0-Day-Lücken, also Schwachstellen, die Angreifer bereits im Vorfeld ausgenutzt hatten. Die 89 Sicherheitslücken stecken diesmal in Windows, Office, .NET, Visual Studio und Visual Studio Code, Airlift.microsoft.com, Azure CycleCloud und Azure Database für PostgreSQL, dem Exchange Server, der Grafikkomponente, LightGBM, dem PC Manager, dem SQL Server, TorchGeo und der Virtuellen Festplatte. Dazu kommen zwei Schwachstellen in Chrome (CVE-2024-10826 und CVE-2024-10827), welche Microsofts Webbrowser Edge (Chromium-basiert) betreffen, sowie eine Sicherheitslücke in OpenSSL (CVE-2024-5535).

Die Liste der verwundbaren Windows-Komponenten umfasst: Active Directory-Zertifikatdienste, CSC-Dienst, Defender Application Control (WDAC), DNS, DWM-Kernbibliothek, Hyper-V (Rolle), Kerberos, Kernel, NT Betriebssystem-Kernel, NTLM, Package Library Manager, Registrierung, Secure Kernelmodus, SMB, SMBv3 Client/Server, Taskplaner, Telefoniedienst, Update Stack, USB-Videotreiber, VMSwitch und Win32 Kernel Subsystem. Bei Office sind Excel und Word verwundbar. Besonders ins Auge stechen diesmal sage und schreibe 26 hochgefährliche Remote-Code-Ausführungen in Microsofts SQL-Server, die allesamt eine hohe CVSS-v3.1-Wertung von 8,8 erhalten haben.

Betrachten wir zunächst die beiden 0-Day-Lücken:

• CVE-2024-49039 ‐ Sicherheitsanfälligkeit im Windows-Taskplaner bezüglich Rechteerweiterungen:
  Diese Rechteerhöhung aufgrund einer fehlerhaften Authentifizierung lässt sich nur lokal ausnutzen, indem ein angemeldeter Benutzer mit geringen Berechtigungen eine spezielle Applikation ausführt. Gelingt der Angriff, kann sich der Benutzer ein mittleres Rechteniveau verschaffen und RPC-Funktionen (Remote Procedure Call) ausführen. Microsoft bewertet das Problem als hohes, aber nicht als kritisches Risiko. Entdeckt wurde der Angriff von Vlad Stolyarov und Bahare Sabouri, die für Googles Threat Analysis Group arbeiten. Betroffen sind Windows 10 und 11 sowie die Server von 2016 bis 2025.
  • Angriffsvektor: Lokal
  • Angriffskomplexität: Niedrig
  • Erforderliche Berechtigungen: Niedrig
  • Benutzerinteraktion: Keine
  • Öffentlich gemacht: Nein
  • Ausgenutzt: Ja
  • CVSS v3.1: 8,8 (Basis); 8,2 (zeitlich)
• CVE-2024-43451 ‐ Sicherheitsanfälligkeit in NTLM Hash Disclosure bezüglich Spoofing:
  Microsoft hatte seinen Internet Explorer zwar schon vor einiger Zeit in die Mottenkiste der Software-Geschichte gestopft, doch die diesem zugrunde liegende MSHTML-Plattform treibt unter Windows weiterhin ihr Unwesen. Wie schon im Oktober ermöglicht dies eine Nutzertäuschung (Spoofing), die über eine manipulierte Datei ausgelöst wird. Wenn ein Benutzer eine solche Datei mit einem einfachen Links- oder Rechtsklick auswählt, erhält der Angreifer Zugriff auf den NTLMv2-Hash des Benutzers und kann sich als dieser ausgeben. Betroffen sind Windows 10 und 11 sowie die Server von 2008 bis 2025.
  • Angriffsvektor: Netzwerk
  • Angriffskomplexität: Niedrig
  • Erforderliche Berechtigungen: Keine
  • Benutzerinteraktion: Anforderung
  • Öffentlich gemacht: Ja
  • Ausgenutzt: Ja
  • CVSS v3.1: 6,5 (Basis); 6,0 (zeitlich)

Kommen wir nun noch zu drei besonders ernsten Schwachstellen:

• CVE-2024-43602 ‐ Sicherheitsrisiko durch Remoteausführung in Azure CycleCloud:
  Mit einer CVSS-v3.1-Einstufung von 9,9 schrammt diese Remote-Code-Ausführung in Azure CycleCloud nur knapp an der Maximalwertung vorbei, dennoch betrachtet Microsoft diesen Fehler nicht als kritisch. Auslöser des Problems ist eine fehlerhaften Authentifizierung: Ein Benutzer mit Basisrechten kann die Konfiguration eines Azure CycleCloud Clusters über eine speziell präparierte Anfrage manipulieren und sich Root-Rechte verschaffen. Damit lassen sich beliebige Befehle auf jedem Azure CycleCloud Cluster der aktuellen Instanz ausführen und manchmal auch die Zugangsdaten des Administrators kompromittieren. Betroffen ist die Azure CycleCloud in den Versionen 8.0.0 bis 8.6.4.
  • Angriffsvektor: Netzwerk
  • Angriffskomplexität: Niedrig
  • Erforderliche Berechtigungen: Niedrig
  • Benutzerinteraktion: Keine
  • Öffentlich gemacht: Nein
  • Ausgenutzt: Nein
  • CVSS v3.1: 9,9 (Basis); 8,6 (zeitlich)
• CVE-2024-43498 ‐ Sicherheitsanfälligkeit in .NET und Visual Studio bezüglich Remote-Code-Ausführung:
  Die CVSS-v3.1-Einstufung von 9,8 liegt zwar minimal niedriger, doch diese Remote-Code-Ausführung betrachtet Microsoft als kritisch. Ausgelöst wird sie durch eine Typenverwechslung, die auftritt, wenn ein entfernter Angreifer eine manipulierte Anfrage an eine betroffene .NET-Webapp schickt. Alternativ kann der Angreifer eine präparierte Datei mit einer betroffenen Desktop-App öffnen. Betroffen sind .NET 9.0 unter Windows, macOS und Linux sowie Visual Studio 2022 in den Versionen 17.8 bis 17.11.
  • Angriffsvektor: Netzwerk
  • Angriffskomplexität: Niedrig
  • Erforderliche Berechtigungen: Keine
  • Benutzerinteraktion: Keine
  • Öffentlich gemacht: Nein
  • Ausgenutzt: Nein
  • CVSS v3.1: 9,8 (Basis); 8,5 (zeitlich)
• CVE-2024-43639 ‐ Windows KDC Proxy Remote Code Execution Vulnerability:
  Eine weitere kritische Remote-Code-Ausführung mit einer CVSS-v3.1-Einstufung von 9,8 betrifft alle Windows Server von 2012 bis 2025, die als Kerberos Key Distribution Center (KDC) Proxy Protocol Server konfiguriert sind. Gegen Domain-Controller funktioniert dieser Angriff nicht. Als Auslöser nennt Microsoft einen numerischen Kürzungsfehler im kryptografischen Protokoll von Kerberos, den ein nicht authentifizierter Benutzer mit einer speziell gestalteten Applikation auslösen kann. Gelingt der Angriff, lässt sich auf dem Zielsystem beliebiger Code ausführen.
  • Angriffsvektor: Netzwerk
  • Angriffskomplexität: Niedrig
  • Erforderliche Berechtigungen: Keine
  • Benutzerinteraktion: Keine
  • Öffentlich gemacht: Nein
  • Ausgenutzt: Nein
  • CVSS v3.1: 9,8 (Basis); 8,5 (zeitlich)