Microsoft hat im März 60 Schwachstellen gestopft

Microsoft hat am März-Patchday 60 Sicherheitslücken in Windows, Office und SharePoint, .NET, Azure (Data Studio, Kubernetes Service, SDK), dem Authenticator, Dynamics, Edge für Android, dem Exchange Server, der Grafikkomponente, Intune, der Open Management Infrastructure, Outlook für Android, QUIC, Skype für Consumer, SONiC (Software for Open Networking in the Cloud), dem SQL Server, Teams für Android, dem WDAC ODBC-Treiber und dem WDAC OLE DB-Anbieter für SQL sowie Visual Studio Code geschlossen. Hinzu kommen vier Fehler in Drittanbieter-Software: Drei davon stecken in Chromium (CVE-2024-2173, CVE-2024-2174 und CVE-2024-2176), dem Unterbau des Webbrowsers Edge, und einer in bestimmten Prozessoren des Herstellers Intel (CVE-2023-28746).

Hier die Liste der verwundbaren Windows-Komponenten: AllJoyn API, Composite Image-Dateisystem, Compressed Folder, Defender, Druckerspooler-Komponenten, Fehlerberichterstattung, Hyper-V (Rolle), Hypervisor-geschützte Code-Integrität, Installer, Kerberos, Kernel, Minifiltertreiber für Clouddateien (Cloud Files Mini Filter Driver), NTFS-Dateisystem, ODBC-Treiber, OLE, SCSI-Klassensystemdatei, serieller USB-Treiber, Standard-basierter Dienst zur Speicherverwaltung, Telefonieserver, Update Stack, USB-Druckertreiber und USB-Hub-Treiber.

Im Folgenden betrachten wir die kritischen Sicherheitslücken, von denen es diesmal nur eine gibt. Fehler, welche bereits angegriffen werden (0 Day), meldet Microsoft für den März nicht. Zwei der behobenen Schachstellen haben eine sehr hohe CVSS-v3.1-Wertung von 9,8 bzw. 9,0 erhalten (CVE-2024-21334 und CVE-2024-21400), doch keiner dieser Fehler wurde als kritisch klassifiziert und ihre Ausnutzung gilt als weniger wahrscheinlich. Der Schweregrad 8,8 wurde in 14 Fällen vergeben (CVE-2024-26198, CVE-2024-21451, CVE-2024-21441, CVE-2024-21444, CVE-2024-21450, CVE-2024-26161, CVE-2024-26166, CVE-2024-21411, CVE-2024-26164, CVE-2024-26165, CVE-2024-21440, CVE-2024-26159, CVE-2024-26162 und CVE-2024-21435), doch auch diese Updates sind nur wichtig und Angriffe auf die Schwachstellen eher unwahrscheinlich. Erst eine Sicherheitsanfälligkeit in Windows Hyper-V mit der CVSS-Einstufung 8,1 wurde als kritisch klassifiziert:

• CVE-2024-21407 ‐ Sicherheitsanfälligkeit in Windows Hyper-V bezüglich Remotecodeausführung:
  Angreifer ohne besondere Berechtigungen können Hyper-V über das Netzwerk eigenen Code unterschieben, der dann vom Host-System ausgeführt wird. Dazu sendet ein authentifizierte Angreifer auf einer Gast-VM speziell gestaltete Dateivorgangsanforderungen an die Hardwareressourcen der VM. Im Vorfeld muss der Angreifer spezifische Informationen über die Zielumgebung sammeln und diese für seinen Angriff vorbereiten. Das macht den Angriff kompliziert und eine Ausnutzung unwahrscheinlich. Diese Schwachstelle wurde bisher weder öffentlich dokumentiert noch ausgenutzt. Betroffen sind Windows 10 und 11 sowie die Server von 2012 bis 2022.
  • Angriffsvektor: Netzwerk
  • Angriffskomplexität: Hoch
  • Erforderliche Berechtigungen: Keine
  • Benutzerinteraktion: Keine
  • Öffentlich gemacht: Nein
  • Ausgenutzt: Nein
  • CVSS v3.1: 8,1 (Basis); 7,1 (zeitlich)

Es folgen 16 Schwachstellen mit der CVSS-Einstufung 7,8 (CVE-2024-21437, CVE-2024-26170, CVE-2024-26182, CVE-2024-26199, CVE-2024-21426, CVE-2024-21434, CVE-2024-21330, CVE-2024-21418, CVE-2024-21431, CVE-2024-21436, CVE-2024-21446, CVE-2024-21442, CVE-2024-26169, CVE-2024-26173, CVE-2024-26176 und CVE-2024-26178), einmal die 7,6 (CVE-2024-21419) und sechsmal die 7,5 (CVE-2024-21392, CVE-2024-21421, CVE-2024-26190, CVE-2024-26204, CVE-2024-21438 und CVE-2024-21427). All diese Sicherheitslücken bergen ein hohes Risiko und wurden als wichtig klassifiziert. Keine wurde öffentlich dokumentiert oder bereits ausgenutzt. Dies gilt auch für zwei Bugs mit der CVSS-Einstufung 7,3 (CVE-2024-26203 und CVE-2024-21443), einen Fehler mit der Wertung 7,1 (CVE-2024-21390) und vier Lücken der Stufe 7,0 (CVE-2024-21433, CVE-2024-21439, CVE-2024-21432 und CVE-2024-21445). Auch CVE-2024-21429 (6,8), CVE-2024-26201 (6,6), CVE-2024-26185 und CVE-2024-26197 (6,5), CVE-2024-21430 (5,7), CVE-2024-26160, CVE-2024-21408, CVE-2024-20671, CVE-2024-26174, CVE-2024-26177 und CVE-2024-26181 (allesamt 5,5), CVE-2024-21448 (5,0) und CVE-2024-26167 (4,3) sind weder kritisch noch wurden sie im Vorfeld öffentlich dokumentiert oder ausgenutzt.

Die drei Sicherheitslücken in Chromium (CVE-2024-2173, CVE-2024-2174 und CVE-2024-2176) stellen ebenfalls nur eine hohe, jedoch keine kritische Gefahr dar. Die URL zu Intels Fehlerbericht namens Register File Data Sampling (CVE-2023-28746) hat Microsoft mal wieder fehlerhaft gesetzt und ein Minuszeichen unterschlagen. Register File Data Sampling (RFDS) ist eine Schwachstelle in der Architektur bestimmter Atom-Prozessoren von Intel, welche das Auslesen von Daten, welche zuvor in den Registern der CPU (Gleitkomma, Ganzzahlen und Vektoren) verarbeitet wurden. Für Abhilfe sorgen Microcode-Updates, welche das Löschen dieser Daten über den VERW-Befehl ermöglichen. Der Befehl selbst muss jedoch von der Software ausgelöst werden. Intel betrachtet das Problem als mittleres Risiko und hat die CVSS-Stufe 6,5 vergeben.