Werbung
AVMs güstiger DSL-Router mit Wi-Fi 6: FRITZ!Box 7530 AX (Modell für Deutschland)


 

Microsoft hat 38 (bzw. 40) Schwachstellen, darunter zwei 0-Day-Lücken, gestopft

Meldung von doelf, Mittwoch der 10.05.2023, 16:04:49 Uhr

logo

Microsoft hat am gestrigen Mai-Patchday 38 Sicherheitslücken in Windows, Office, der Graphics-Komponente, dem Bluetooth-Treiber, SysInternals, Teams und Visual Studio Code geschlossen. Zwei weitere Flicken, die den Webbrowser Edge (Chromium-basiert) betreffen, hatte Microsoft bereits am 5. Mai 2023 veröffentlicht. Sechs Schwachstellen wurden als kritisch eingestuft, von 33 geht eine hohe Gefahr aus und eine ist von mittlerer Schwere. Bei den beiden hochgefährlichen Fehlern CVE-2023-29336 und CVE-2023-24932 handelt es sich um 0-Day-Lücken, die bereits im Vorfeld ausgenutzt wurden.

Hier die Liste der verwundbaren Windows-Komponenten: Installer, iSCSI-Zieldienst, LDAP (Lightweight Directory Access-Protokoll), Medienbibliothek, MSHTML-Plattform, NFS (Network File System) samt NFS-Portmapper, NTLM (NT LAN Manager), OLE (Object Linking and Embedding), PGM (Reliable Multicast Programming), Remotedesktopclient, Remoteprozeduraufruf-Laufzeitumgebung, SSTP (Secure Socket Tunneling-Protokoll), Sicherer Start, SMB (Server Message Block), Win32K, Kernel und Sicherungsmodul. Seitens Office werden neben Office selbst auch Access, Excel, SharePoint und Word aufgeführt.

Betrachten wir zunächst die sechs kritischen Lücken, sortiert nach ihrer CVSS-Einstufung:

  • CVE-2023-24941 ‐ Sicherheitsanfälligkeit im Windows-Netzwerkdateisystem bezüglich Remotecodeausführung:
    Nicht authentifizierte Benutzer können aus dem Netz speziell gestaltete Aufrufe an den Network File System-Dienst (NFS) schicken, bei deren Verarbeitung der vom Angreifer eingeschleuste Code ausgeführt wird. Betroffen ist ausschließlich NFSV4.1. Wenn man NFSV4.1 deaktiviert und stattdessen NFSV2.0 oder NFSV3.0 verwendet, läuft diese Attacke ins Leere. Vorab sollte man allerdings sicherstellen, dass der Patch gegen CVE-2022-26937 aktiv ist. Diese wurde am 10. Mai 2022 veröffentlicht und schließt die gleiche Lücke in NFSV2.0 und NFSV3.0. Damals hatte Microsoft übrigens zum Wechsel auf NFSV4.1 geraten. Bisher wurde dieser Bug weder öffentlich dokumentiert noch angegriffen, doch in Redmond hält man zukünftige Angriffe für wahrscheinlich. Betroffen sind die Windows Server von 2012 bis 2022.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • CVSS v3.1: 9,8 (Basis); 8,5 (zeitlich)
  • CVE-2023-24943 ‐ Sicherheitsanfälligkeit in Windows Pragmatic General Multicast (PGM) bezüglich Remotecodeausführung:
    Nicht authentifizierte Benutzer können aus dem Netz speziell gestaltete Dateien über den Dienst Windows Message Queuing einer PGM Server-Umgebung schicken und damit die Ausführung von Schadcode provozieren. Microsoft rät in diesem Zusammenhang zum Umstieg auf neuere Technologien wie Unicast- oder Multicastserver. Bisher wurde dieser Bug weder öffentlich dokumentiert noch angegriffen und auch zukünftige Angriffe hält Microsoft für unwahrscheinlich. Betroffen sind Windows 10 und 11 sowie die Server von 2008 bis 2022.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • CVSS v3.1: 9,8 (Basis); 8,5 (zeitlich)
  • CVE-2023-29325 ‐ Sicherheitsanfälligkeit in Windows OLE bezüglich Remotecodeausführung:
    Nicht authentifizierte Benutzer können Outlook aus dem Netz mit Hilfe von Rich-Text-Inhalten (RTF) angreifen. Der Nutzer muss die E-Mail nicht einmal öffnen - für den Angriff reicht es aus, wenn die E-Mail im Vorschaufenster angezeigt wird. Microsoft empfiehlt daher, E-Mails grundsätzlich im Nur-Text-Format anzuzeigen. Das ist nicht nur sicherer, sondern bringt auch den Vintage-Look der 90er zurück. Damit der Schadcode ausgeführt wird, muss der Angreifer zunächst eine Race-Bedingung gewinnen und dann die Zielumgebung vorbereiten. Diese Schwachstelle wurde öffentlich dokumentiert. Bisher hat Microsoft zwar noch keine Angriffe registriert, doch in Redmond geht man von zukünftigen Angriffen aus. Betroffen sind Windows 10 und 11 sowie die Server von 2008 bis 2022.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Hoch
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Ja
    • Ausgenutzt: Nein
    • CVSS v3.1: 8,1 (Basis); 7,3 (zeitlich)
  • CVE-2023-24903 ‐ Sicherheitsanfälligkeit im Windows Secure Socket Tunneling Protocol (SSTP) bezüglich Remotecodeausführung:
    Nicht authentifizierte Benutzer können aus dem Netz speziell gestaltete SSTP-Pakete an einen SSTP-Server senden. Bei der Verarbeitung dieser Pakete führt der Server dann vom Angreifer eingeschleusten Code aus. Erschwert wird dieses Vorhaben allerdings dadurch, dass der Angreifer zunächst eine Racebedingung gewinnen muss. Bisher wurde dieser Bug weder öffentlich dokumentiert noch angegriffen und auch zukünftige Angriffe hält Microsoft für unwahrscheinlich. Betroffen sind Windows 10 und 11 sowie die Server von 2008 bis 2022.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Hoch
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • CVSS v3.1: 8,1 (Basis); 7,1 (zeitlich)
  • CVE-2023-28283 ‐ Sicherheitsanfälligkeit im Windows Lightweight Directory Access Protocol (LDAP) bezüglich Remotecodeausführung:
    Nicht authentifizierte Benutzer können aus dem Netz speziell kodierte LDAP-Aufrufe absetzen, die den LDAP-Dienst dazu bringen, den darin enthaltenen Schadcode auszuführen. Erschwert wird dieses Vorhaben allerdings dadurch, dass der Angreifer zunächst eine Racebedingung gewinnen muss. Bisher wurde dieser Bug weder öffentlich dokumentiert noch angegriffen und auch zukünftige Angriffe hält Microsoft für unwahrscheinlich. Betroffen sind Windows 10 und 11 sowie die Server von 2008 bis 2022.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Hoch
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • CVSS v3.1: 8,1 (Basis); 7,1 (zeitlich)
  • CVE-2023-24955 ‐ Sicherheitsanfälligkeit in Microsoft SharePoint Server bezüglich Remotecodeausführung:
    Der SharePoint Enterprise Server 2016, der SharePoint Server 2019 und die SharePoint Server Subscription Edition erlauben Angreifern das Ausführen eigenen Codes über das Netzwerk. Davor steht allerdings eine hohe Hürde, welche die Risikoeinstufung niedrig hält: Bevor der Angriff starten kann, muss der Angreifer als Site-Besitzer authentifiziert sein. Bisher wurde dieser Bug weder öffentlich dokumentiert noch angegriffen, doch zukünftige Angriffe hält man in Redmond für wahrscheinlich.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Hoch
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • CVSS v3.1: 7,2 (Basis); 6,3 (zeitlich)

Weitere Schwachstellen inklusive der beiden 0-Day-Lücken
Neun der hochgefährlichen Sicherheitslücken fallen in die Kategorie der Rechteausweitungen und weitere acht sind Datenlecks. Dazu kommen sechs Remote-Code-Ausführungen, fünf Möglichkeiten zum Blockieren von Diensten (Denial of Service), vier Umgehungen von Sicherheitsmaßnahmen und eine Täuschung (Spoofing). Eine weitere Umgehung von Sicherheitsmaßnahmen im Webbrowser Edge wurde als mittelschwer klassifiziert.

Zwei der hochgefährlichen Sicherheitslücken wurden bereits im Vorfeld ausgenutzt, es handelt sich also um 0-Day-Lücken:

  • CVE-2023-29336 ‐ Sicherheitsanfälligkeit in Win32k bezüglich Rechteerweiterungen:
    0-Day-Lücke! Lokale Angreifer ohne besondere Berechtigungen können durch Ausnutzung dieses Fehlers erhöhte Systemrechte erlangen. Erschwerend kommt hinzu, dass die Ausnutzung der Schwachstelle nicht sonderlich kompliziert ist. Genauere Details liefert Microsoft leider nicht. Betroffen sind Windows 10 und die Windows Server von 2008 bis 2016.
    • Angriffsvektor: Lokal
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Niedrig
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Ja
    • CVSS v3.1: 7,8 (Basis); 6,8 (zeitlich)
  • CVE-2023-24932 ‐ Sicherheitsanfälligkeit bei sicherem Start durch Umgehung der Sicherheitsfunktionen:
    0-Day-Lücke! Lokale Angreifer mit physischem Zugriff auf das Zielgerät oder Administratorrechten können den sicheren Start umgehen, indem sie eine entsprechende Startrichtlinie installieren. Das Update aktualisiert den Windows-Start-Manager, ist laut Microsoft jedoch standardmäßig nicht aktiviert. Betroffen sind Windows 10 und 11 sowie die Server von 2008 bis 2022.
    • Angriffsvektor: Lokal
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Hoch
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Ja
    • Ausgenutzt: Ja
    • CVSS v3.1: 6,7 (Basis); 6,2 (zeitlich)

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]