Werbung
ALL-INKL.COM - Webhosting Server Hosting Domain Provider


 

Microsoft hat im September 79 Schwachstellen, darunter 4 0-Day-Lücken, gestopft

Meldung von doelf, Donnerstag der 12.09.2024, 13:37:03 Uhr

logo

In diesem Jahr freut man sich ja schon über Kleinigkeiten, wenn es um Microsoft und die Sicherheit geht, und so nehmen wir erleichtert zur Kenntnis, dass die CSS-Formatierung der Veröffentlichungshinweise diesmal funktioniert. Im August hatte das noch ganz anders ausgesehen. Mit den September-Updates werden 79 Sicherheitslücken gestopft, von denen vier bereits im Vorfeld angegriffen wurden. Die gefährlichste 0-Day-Lücke steckt im Windows-Update ist für Microsoft unfassbar peinlich.

Die 79 Sicherheitslücken stecken diesmal in Windows, Office, AutoUpdate (MAU), Azure (CycleCloud, Network Watcher, Stack und Web Apps), Dynamics Business Central, Dynamics 365 (lokal), der Grafikkomponente, der Management Console, Outlook für iOS, Power Automate, dem SQL Server und dem Streaming-Dienst. Die Liste der verwundbaren Windows-Komponenten umfasst: Admin Center, AllJoyn API, Authentifizierungsmethoden, DHCP Server, Einrichtung und -Bereitstellung, Hyper-V (Rolle), Installer, Kerberos, Kernelmodustreiber, Libarchive, Mark of the Web (MOTW), MSHTML-Plattform, Netzwerkadressenübersetzung (NAT), Netzwerkvirtualisierung, PowerShell, Remote Access Connection Manager, Remotedesktop-Lizensierungsdienst, Sicherheitszonen-Zuordnung, Standard-basierter Dienst zur Speicherverwaltung, Storage, TCP/IP, Update, Win32K GRFX und Win32K ICOMP. Bei Office sind Excel, Publisher, SharePoint und Visio verwundbar.

Betrachten wir nun die vier 0-Day-Lücken:

  • CVE-2024-43491 ‐ Sicherheitsrisiko in Microsoft Windows Update durch Remotecodeausführung:
    Die extrem hohe CVSS-v3.1-Wertung 9,8 wurde im September nur einmal vergeben, doch sie betrifft ausgerechnet eine der 0-Day-Lücken. Glücklicherweise tritt der kritische Fehler nur beim im Juli 2015 veröffentlichten Windows 10 Version 1507, das in Form von Windows 10 Enterprise 2015 LTSB und Windows 10 IoT Enterprise 2015 LTSB noch Updates erhält, auf. Weniger erfreulich ist der Umstand, dass Microsoft hier ein weiteres Eigentor geschossen hat: Seit einem halben Jahr, genauer gesagt seit dem 12. März 2024, stolpert der Servicing-Stack von Windows 10 Version 1507 über die zu hohen Versionsnummern der Sicherheits-Updates. Der Versuch, die neuen Flicken zu installieren scheitert, so dass stattdessen der Auslieferungszustand (RTM) von 2015 wiederhergestellt wird - inklusive aller darin enthaltenen Fehler und Schwachstellen!
    Bei den betroffenen Komponenten handelt es sich um die .NET Framework 4.6 Advanced Services (ASP.NET 4.6), die Active Directory Lightweight Directory Services, die Administrative Tools, den Internet Explorer 11, die Internet Information Services bzw. World Wide Web Services, den LPD Print Service, Microsofts Message Queue (MSMQ) Server Core, den MSMQ HTTP Support, den MultiPoint Connector, den SMB 1.0/CIFS File Sharing Support, die Windows-Funktion Fax and Scan, den Windows Media Player, den Work Folders Client und den XPS Viewer. Trotz aktivem Windows-Update stehen damit die Sicherheitslücken aus neun Jahren wieder zur Ausnutzung bereit! Um den Bug zu beseitigen, muss zunächst ein überarbeiteter Servicing-Stack (KB5043936) installiert werden, darauf folgt das eigentliche Sicherheits-Update (KB5043083).
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Ja
    • CVSS v3.1: 9,8 (Basis); 9,1 (zeitlich)
  • CVE-2024-38014 ‐ Sicherheitsanfälligkeit in Windows Installer bezüglich Rechteerweiterungen:
    Diese Rechteausweitung in Windows 10 und 11 sowie den Server-Versionen von 2008 bis 2022 ist auf lokale Nutzer beschränkt. Sie hat eine hohe CVSS-v3.1-Wertung von 7,8, steckt im Windows-Installer und ermöglicht es Angreifern, sich Systemrechte zu verschaffen. Der Angriff ist nicht sonderlich komplex und erfordert auch keine besonderen Berechtigungen, doch weitere Details gibt Microsoft nicht bekannt. Die Danksagung an Michael Baer von SEC Consult Vulnerability Lab offenbart weitere Informationen: Demnach nutzte Baer die Reparaturfunktion von MSI-Installationsdateien, welche auch normalen Nutzern zur Verfügung steht, um eine Eingabeaufforderungen mit vollen Systemrechten zu öffnen.
    • Angriffsvektor: Lokal
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Niedrig
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein (inzwischen schon, siehe Link)
    • Ausgenutzt: Ja
    • CVSS v3.1: 7,8 (Basis); 7,2 (zeitlich)
  • CVE-2024-38226 ‐ Sicherheitsanfälligkeit in Microsoft Publisher bezüglich Umgehung von Sicherheitsfunktionen:
    Diese 0-Day-Lücke trägt eine hohe CVSS-v3.1-Wertung von 7,3. Sie ermöglicht das Ausführen von Makros auch dann, wenn dies für Dokumente aus nicht vertrauenswürdigen Quellen explizit untersagt wurde. Betroffen sind der Microsoft Publisher 2016 sowie Office 2019 und Office LTSC 2021. Wie üblich muss der Angreifer sein Opfer dazu bringen, ein bösartiges Dokument herunterzuladen und lokal zu öffnen. Für einen erfolgreichen Angriff reicht es nicht aus, wenn lediglich die Vorschau auf das Dokument angezeigt wird.
    • Angriffsvektor: Lokal
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Niedrig
    • Benutzerinteraktion: Anforderung
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Ja
    • CVSS v3.1: 7,3 (Basis); 6,8 (zeitlich)
  • CVE-2024-38217 ‐ Sicherheitsanfälligkeit in Windows Mark of the Web bezüglich Umgehung von Sicherheitsfunktionen:
    Die letzte 0-Day-Lücke hat eine mittlere CVSS-v3.1-Wertung von 5,4 und auch sie ermöglicht das Umgehen der Sicherheitsfunktion Mark of the Web. Mit dieser werden potentiell unsichere Dateien markiert, welche aus dem Internet heruntergeladen wurden. Beim Zugriff auf solche Dateien zeigen die Windows Attachment Services eine Sicherheitswarnung an bzw. die SmartScreen-Applikation führt eine Reputationsprüfung durch. Angreifer können jedoch Dateien erstellen, die diese Sicherheitsmechanismen umgehen. Betroffen sind Windows 10 und 11 sowie den Server-Versionen von 2008 bis 2022.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Anforderung
    • Öffentlich gemacht: Ja
    • Ausgenutzt: Ja
    • CVSS v3.1: 5,4 (Basis); 5,0 (zeitlich)

Projekte von Freunden
Robert Mehl erbringt alle fotografischen und redaktionellen Dienstleistungen rund um das Bauwesen:
Wort und Bild aus einer Hand