Microsoft Oktober-Update stopft 117 Schwachstellen inklusive zweier 0-Day-Lücken

Letzten Dienstag hatte Microsoft seine Oktober-Updates veröffentlicht und mein Arbeitsrechner wollte im Anschluss nicht mehr starten. Die Fehlersuche ist inzwischen abgeschlossen und eine Beteiligung von Microsoft konnte ausgeschlossen werden: Das PC-Netzteil hatte in einem Anflug von schlechtem Timing einen Fehler entwickelt, der außerhalb der UEFI-Oberfläche zu Spannungsschwankungen und einer Startschleife führte. Da bisher auch sonst keine gravierenden Probleme mit den Oktober-Updates bekannt sind, werfen wir heute einen Blick auf die Korrekturen.

Die 117 Sicherheitslücken stecken diesmal in Windows, Office, .NET inklusive .NET Framework, ActiveX, Azure (CLI, Monitor, Stack), BranchCache, dem Codeintegritätsschutz, DeepSpeed, Defender für Endpunkt, iSCSI (Internet Small Computer Systems Interface), der Grafikkomponente, der Management Console, dem Microsoft Configuration Manager, Outlook für Android, Power BI, dem Remotedesktopclient, dem RPC-Endpunktzuordnungsdienst, Service Fabric, dem Simple Certificate Enrollment-Protokoll, WDAC OLE DB-Anbieter für SQL, dem Visual C++ Redistributable Installer sowie Visual Studio und Visual Studio Code. Die Liste der verwundbaren Windows-Komponenten umfasst: BitLocker, Druckerspooler-Komponenten, EFI-Partition, Windows für mobiles Breitband, Hyper-V, Hyper-V (Rolle), Kerberos, Kernel, Kernelmodustreiber, Kryptografiedienste, lokale Sicherheitsautorität (LSA), MSHTML-Plattform, Netlogon, Netzwerkadressenübersetzung (NAT), NT Betriebssystem-Kernel, NTFS-Dateisystem, Online Certificate Status Protocol (OCSP), OpenSSH, Remotedesktop, Remotedesktopdienste, Remotedesktop-Lizensierungsdienst, Robustes Dateisystem (ReFS), Routing- und RAS-Dienst (RRAS), Secure Kernelmodus, Secure Kernelmodus, Shell, Sicherer Kanal, Skripterstellung, Speicherport-Treiber, Spracherkennung, Standard-basierter Dienst zur Speicherverwaltung, Storage, Sudo, Telefonieserver, Treiber des gemeinsamen Protokolldateisystems, Winlogon und den Zusatzfunktionstreiber für Winsock. Bei Office sind Excel, SharePoint und Visio verwundbar. Dazu kommen drei Schwachstellen in Chrome (CVE-2024-7025, CVE-2024-9369 und CVE-2024-9370), welche Microsofts Webbrowser Edge (Chromium-basiert) betreffen, sowie eine Sicherheitslücke in der cURL-Implementierung von Windows (CVE-2024-6197).

Betrachten wir nun die beiden 0-Day-Lücken:

• CVE-2024-43572 ‐ Sicherheitslücke durch Remotecodeausführung in Microsoft Management Console:
  Die korrekte Formatierung von Dateien des Typs Microsoft Saved Console (MSC) wurde unzureichend geprüft, so dass Angreifer der Microsoft Management Console mit Hilfe missgestalteter Dateien eigenen Code unterschieben konnten. Das Problem wurde bereits im Vorfeld öffentlich dokumentiert und es ist zur Ausnutzung gekommen. Microsoft wertet den Fehler als schwerwiegend, betroffen sind Windows 10 und 11 sowie die Server von 2008 bis 2022.
  • Angriffsvektor: Lokal
  • Angriffskomplexität: Niedrig
  • Erforderliche Berechtigungen: Keine
  • Benutzerinteraktion: Anforderung
  • Öffentlich gemacht: Ja
  • Ausgenutzt: Ja
  • CVSS v3.1: 7,8 (Basis); 7,2 (zeitlich)
• CVE-2024-43573 ‐ Windows MSHTML Platform Spoofing Vulnerability:
  Microsoft hatte seinen Internet Explorer zwar schon vor einiger Zeit in die Mottenkiste der Software-Geschichte gestopft, doch die diesem zugrunde liegende MSHTML-Plattform treibt unter Windows weiterhin ihr Unwesen. Erst kürzlich publik gemacht und ausgenutzt wurde eine unzureichende Eingabevalidierung, welche durch Cross-Site Scripting (XSS) eine Nutzertäuschung (Spoofing) ermöglicht. Microsoft bewertet diesen Fehler als mittelschwer und führt Windows 10 und 11 sowie die Server von 2012 R2 bis 2022 als betroffen auf.
  • Angriffsvektor: Netzwerk
  • Angriffskomplexität: Niedrig
  • Erforderliche Berechtigungen: Keine
  • Benutzerinteraktion: Anforderung
  • Öffentlich gemacht: Ja
  • Ausgenutzt: Ja
  • CVSS v3.1: 6,5 (Basis); 6,0 (zeitlich)

Kommen wir nun noch zu zwei besonders ernsten Schwachstellen:

• CVE-2024-43468 ‐ Sicherheitsrisiko durch Remotecodeausführung in Microsoft Configuration Manager:
  Der mit einer CVSS-v3.1-Wertung von 9,8 schwerwiegendste Fehler steckt im Microsoft Configuration Manager, er wurde seitens Microsoft als kritisch eingestuft. Auslöser ist eine unzureichende Prüfung von SQL-Befehlen, durch die spezielle Elemente durchrutschen und das Einschleusen und Ausführen von Angriffscode erlauben. Das ist simpel, erfordert keinerlei Berechtigung und auch keine Nutzerinteraktion. Betroffen ist der Microsoft Configuration Manager in den Versionen 2303, 2309 und 2403.
  • Angriffsvektor: Netzwerk
  • Angriffskomplexität: Niedrig
  • Erforderliche Berechtigungen: Keine
  • Benutzerinteraktion: Keine
  • Öffentlich gemacht: Nein
  • Ausgenutzt: Nein
  • CVSS v3.1: 9,8 (Basis); 8,5 (zeitlich)
• CVE-2024-38124 ‐ Sicherheitsrisiko durch Rechteerweiterungen in Windows Netlogon:
  Es folgt eine Rechteausweitung in Windows Netlogon (Schweregrad: Wichtig; CVSS v3.1: 9,0), über die sich ein Angreifer von einem benachbarten System aus die Rechte eines Domänen-Administrators verschaffen kann. Hierzu muss der Angreifer lediglich erraten, welcher Name einem neuen Domänen-Controller zugewiesen würde und seinen Computer entsprechend umbenennen. Dann richtet man für den falschen Domänen-Controller einen sicheren Kanal ein und hält diesen offen. Der zum Angriff verwendete PC kann anschließend wieder umbenannt werden. Betroffen sind alle Server von 2008 bis 2022.
  • Angriffsvektor: Angrenzend
  • Angriffskomplexität: Niedrig
  • Erforderliche Berechtigungen: Niedrig
  • Benutzerinteraktion: Keine
  • Öffentlich gemacht: Nein
  • Ausgenutzt: Nein
  • CVSS v3.1: 9,0 (Basis); 7,8 (zeitlich)

Gleich 19 Sicherheitslücken haben die CVSS-v3.1-Wertung 8,8 erhalten und elf davon stecken im Windows Routing- und RAS-Dienst (RRAS). Es handelt sich um Pufferüberläufe und unzureichende Eingabeprüfungen, die Microsoft allesamt als wichtig betrachtet. Auch die übrigen Fehler dieser Stufe wurden als wichtig eingestuft, es gibt allerdings eine Ausnahme:

• CVE-2024-43488 ‐ Sicherheitsrisiko in Visual Studio Code-Erweiterung für Arduino durch Remotecodeausführung:
  In der Visual Studio Code-Erweiterung für Arduino fehlten Authentifizierungen für kritische Funktionen. Hierdurch konnte ein nicht authentifizierter Angreifer eigenen Code über das Netzwerk einschleusen. Da Microsoft diese Erweiterung als veraltet betrachtet, wird sie nicht repariert. Stattdessen wurde Visual Studio Code abgesichert. Betroffene Entwickler sollen auf die Arduino IDE-Software umsteigen.
  • Angriffsvektor: Netzwerk
  • Angriffskomplexität: Niedrig
  • Erforderliche Berechtigungen: Keine
  • Benutzerinteraktion: Anforderung
  • Öffentlich gemacht: Nein
  • Ausgenutzt: Nein
  • CVSS v3.1: 8,8 (Basis); 7,7 (zeitlich)

Unter den übrigen Schwachstellen findet sich nur noch eine weitere kritische Lücke, sie trägt die CVSS-v3.1-Wertung 8,1:

• CVE-2024-43582 ‐ Sicherheitsanfälligkeit in Remotedesktopprotokoll-Server bezüglich Remotecodeausführung:
  Der Remotedesktopprotokoll-Server lauscht auf einem Websocket-Port, patzt aber bei der Verarbeitung eingehender Pakete. Wenn diese fehlerhaft gestaltet wurden, kann es zu einem Zugriff auf zuvor bereits gelöschte Objekte kommen (Use After Free), was Angreifer wiederum zum Platzieren von Schadcode missbrauchen können. Damit dies gelingt, müssen sie allerdings eine Race-Condition für sich entscheiden. Verwundbar sind Windows 10 und 11 sowie die Server 2019 und 2022.
  • Angriffsvektor: Netzwerk
  • Angriffskomplexität: Hoch
  • Erforderliche Berechtigungen: Keine
  • Benutzerinteraktion: Keine
  • Öffentlich gemacht: Nein
  • Ausgenutzt: Nein
  • CVSS v3.1: 8,1 (Basis); 7,1 (zeitlich)