Werbung
ALL-INKL.COM - Webhosting Server Hosting Domain Provider


 

Microsoft hat im Mai 60 Schwachstellen, darunter zwei 0-Day-Lücken, gestopft

Meldung von doelf, Donnerstag der 16.05.2024, 14:53:34 Uhr

logo

Microsoft hat am Mai-Patchday 60 Sicherheitslücken in Windows, Office, Edge (Chromium-basiert), .NET und Visual Studio, Azure Migrate, Bing, dem Brokering File System, Dynamics 365 Customer Insights, Intune, dem WDAC OLE DB-Anbieter für SQL sowie Power BI geschlossen. Mit CVE-2024-30040 und CVE-2024-30051 finden sich hierunter auch zwei 0-Day-Lücken. Hinzu kommen acht Fehler in Drittanbieter-Software: Sechs davon stecken in Chromium (CVE-2024-4331, CVE-2024-4368, CVE-2024-4558, CVE-2024-4559, CVE-2024-4671 und CVE-2024-4761), dem Unterbau des Webbrowsers Edge, und zwei in Github Visual Studio (CVE-2024-32002 und CVE-2024-32004).

Hier die Liste der verwundbaren Windows-Komponenten: Bereitstellungsdienste, CNG-Schlüsselisolationsdienst, DHCP Server, DWM-Kernbibliothek, Hyper-V, Kernel, Kryptografiedienste, Mark of the Web (MOTW), Minifiltertreiber für Cloud-Dateien (Cloud Files Mini Filter Driver), MSHTML-Plattform, NTFS-Dateisystem, Remote Access Connection Manager, Routing- und RAS-Dienst (RRAS), SCSI-Klassensystemdatei, Search Component, Taskplaner, Treiber des gemeinsamen Protokolldateisystems, Win32K (GRFX und ICOMP) und Windows für mobiles Breitband. Bei Office ist neben Excel auch SharePoint verwundbar.

Im Folgenden betrachten wir die Sicherheitslücken, sortiert nach ihrer CVSS-v3.1-Wertung: Die 8,8 kommt gleich sechsmal vor (CVE-2024-30007, CVE-2024-30006, CVE-2024-30010, CVE-2024-30017, CVE-2024-30040 und CVE-2024-30009), doch keine dieser Schwachstellen betrachtet man in Redmond als kritisch. Bei CVE-2024-30040 handelt es sich allerdings um eine 0-Day-Lücke, die bereits im Vorfeld ausgenutzt wurde:

  • CVE-2024-30040 ‐ Sicherheitsanfälligkeit in der Windows MSHTML-Plattform bezüglich Umgehung von Sicherheitsfunktionen:
    Ein nicht authentifizierter Benutzer kann in Microsoft 365 und Microsoft Office den Schutz vor anfälligen COM- oder OLE-Steuerelementen umgehen. Gelingt es dem Angreifer, einen lokalen Nutzer zum Öffnen einer bösartigen Datei zu überreden, kann darin versteckter Schadcode im Kontext des Benutzers ausgeführt werden. Betroffen sind Windows 10 und 11 sowie die Server von 2016 bis 2022. Laut Microsoft wird dieser Fehler bereits ausgenutzt.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Anforderung
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Ja
    • CVSS v3.1: 8,8 (Basis); 8,2 (zeitlich)

Zunächst hatte Microsoft auch CVE-2024-30044 mit einer CVSS-v3.1-Wertung von 8,8 versehen, diese gestern aber auf 7,2 reduziert. In der Übersicht wird allerdings noch die 8,8 angezeigt, weshalb wir diesen kritischen Fehler vorziehen:

  • CVE-2024-30044 ‐ Sicherheitsanfälligkeit in Microsoft SharePoint Server bezüglich Remotecodeausführung:
    Ein authentifizierter Benutzer mit den Berechtigungen des Site Owner oder höher kann eine speziell gestaltete Datei auf den Sharepoint-Server laden und durch spezielle API-Anfragen eine Deserialisierung der Dateiparameter auslösen. Damit wird es möglich, über das Netzwerk beliebigen Code im Kontext des Sharepoint-Servers auszuführen. Betroffen sind die SharePoint Server Subscription Edition, der SharePoint Server 2019 und der SharePoint Enterprise Server 2016. Diese Schwachstelle wurde bisher weder öffentlich dokumentiert noch ausgenutzt. Zukünftige Angriffe gelten allerdings als wahrscheinlich.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Hoch
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • CVSS v3.1: 7,2 (Basis); 6,3 (zeitlich)

CVE-2024-30020, ein schwerwiegender Stapelpufferüberlauf im Kryptografiedienst von Windows, hat die CVSS-v3.1-Wertung 8,1 erhalten. Dann folgt die Wertung 7,8 in fünfzehnfacher Ausführung (CVE-2024-30042, CVE-2024-29994, CVE-2024-30032, CVE-2024-30035, CVE-2024-30051, CVE-2024-30027, CVE-2024-26238, CVE-2024-30030, CVE-2024-30028, CVE-2024-30038, CVE-2024-30049, CVE-2024-30031, CVE-2024-30018, CVE-2024-29996 und CVE-2024-30025) und auch diese Schwachstellen gelten allesamt als hochgefährlich. Heraus sticht CVE-2024-30051 als zweite 0-Day-Lücke:

  • CVE-2024-30051 ‐ Sicherheitsanfälligkeit in der Windows DWM-Core-Bibliothek bezüglich Rechteerweiterungen:
    Ein lokaler Benutzer kann einen Stapelpuffer zum Überlauf bringen und dabei Systemrechte erlangen. Dieser Angriff erfordert weder spezielle Berechtigungen noch ist er sonderlich kompliziert. Er wurde bereits im Vorfeld dokumentiert und ausgenutzt. Betroffen sind Windows 10 und 11 sowie die Server von 2016 bis 2022.
    • Angriffsvektor: Lokal
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Niedrig
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Ja
    • Ausgenutzt: Ja
    • CVSS v3.1: 7,8 (Basis); 7,2 (zeitlich)

Weiter geht es mit der Wertung 7,6, welche zweimal vergeben wurde (CVE-2024-30047, CVE-2024-30048), und der 7,5, die siebenmal vorkommt (CVE-2024-30014, CVE-2024-30015, CVE-2024-30022, CVE-2024-30023, CVE-2024-30024, CVE-2024-30029 und CVE-2024-30037). Für CVE-2024-30033 wurde die CVSS-v3.1-Wertung 7,0 eingetragen. Microsoft bewertet diese Korrekturen ausnahmslos als wichtig, sie kümmern sich somit um schwerwiegende aber nicht kritische Probleme.

Gleiches gilt für elf Fehler der Kategorie 6,8 (CVE-2024-29997, CVE-2024-29998, CVE-2024-29999, CVE-2024-30000, CVE-2024-30001, CVE-2024-30002, CVE-2024-30003, CVE-2024-30004, CVE-2024-30005, CVE-2024-30012 und CVE-2024-30021), sechs Schwachstellen der Kategorie 6,5 (CVE-2024-30053, CVE-2024-30043, CVE-2024-30054, CVE-2024-30019, CVE-2024-30011 und CVE-2024-30036) sowie für CVE-2024-30045 (6,3), CVE-2024-30059 (6,1) und CVE-2024-30046 (5,9). Letzterer wurde allerdings vorab dokumentiert:

  • CVE-2024-30046 ‐ Sicherheitsanfälligkeit in Visual Studio bezüglich Denial-of-Service:
    Bei gleichzeitiger Ausführung unter Verwendung einer gemeinsam genutzten Ressource mit falscher Synchronisierung (Race Condition) lässt sich der Dienst blockieren. Um dieses Rennen zu gewinnen, muss der Benutzer zunächst viel Zeit investieren und dabei konstante oder intermittierende Daten senden. Betroffen sind .NET 7.0 und 8.0 sowie Visual Studio 2022 in den Versionen 17.4 bis 17.9. Diese DoS-Schwachstelle wurde im Vorfeld zwar dokumentiert aber noch nicht ausgenutzt.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Hoch
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Ja
    • Ausgenutzt: Nein
    • CVSS v3.1: 5,9 (Basis); 5,2 (zeitlich)

Bleiben noch CVE-2024-30008, CVE-2024-30016, CVE-2024-30034 und CVE-2024-30039 mit der CVSS-v3.1-Wertung 5,5 sowie CVE-2024-30041, CVE-2024-30055 und CVE-2024-30050 mit der Wertung 5,4. Die meisten dieser Korrekturen fallen in die Kategorie wichtig, lediglich CVE-2024-30050 (Mittel) und CVE-2024-30055 (Niedrig) sind harmloserer Natur.

Projekte von Freunden
Robert Mehl erbringt alle fotografischen und redaktionellen Dienstleistungen rund um das Bauwesen:
Wort und Bild aus einer Hand