10. Juli 2024NewsroomEndpunktsicherheit/Schwachstelle
Microsoft hat im Rahmen seiner monatlichen Sicherheitsupdates Patches zur Behebung von insgesamt 143 Sicherheitslücken veröffentlicht, von denen zwei aktiv ausgenutzt wurden.
Fünf der 143 Mängel werden als kritisch eingestuft, 136 als wichtig und vier als mäßig. Die Korrekturen ergänzen 33 Schwachstellen, die im letzten Monat im Chromium-basierten Edge-Browser behoben wurden.
Die beiden Sicherheitsmängel, die ausgenutzt wurden, sind unten aufgeführt:
- CVE-2024-38080 (CVSS-Score: 7,8) – Sicherheitslücke in Windows Hyper-V bezüglich der Erhöhung von Berechtigungen
- CVE-2024-38112 (CVSS-Score: 7,5) – Windows MSHTML-Plattform-Spoofing-Schwachstelle
„Eine erfolgreiche Ausnutzung dieser Schwachstelle erfordert, dass ein Angreifer vor der Ausnutzung zusätzliche Maßnahmen ergreift, um die Zielumgebung vorzubereiten“, sagte Microsoft zu CVE-2024-38112. „Ein Angreifer müsste dem Opfer eine schädliche Datei senden, die das Opfer ausführen müsste.“
Der Check Point-Sicherheitsforscher Haifei Li, dem die Entdeckung und Meldung der Schwachstelle im Mai 2024 zugeschrieben wird, sagte, dass Bedrohungsakteure speziell gestaltete Windows-Internet-Shortcut-Dateien (.URL) nutzen, die Opfer beim Klicken auf eine bösartige URL umleiten Aufrufen des veralteten Internet Explorer (IE)-Browsers.
„Ein zusätzlicher Trick im IE wird verwendet, um den bösartigen .HTA-Erweiterungsnamen zu verbergen“, erklärte Li. „Durch das Öffnen der URL mit dem IE statt mit dem modernen und viel sichereren Chrome/Edge-Browser unter Windows verschaffte sich der Angreifer erhebliche Vorteile bei der Ausnutzung des Computers des Opfers, obwohl auf dem Computer das moderne Betriebssystem Windows 10/11 läuft.“
„CVE-2024-38080 ist ein Fehler bei der Erhöhung von Berechtigungen in Windows Hyper-V“, sagte Satnam Narang, leitender Forschungsingenieur bei Tenable. „Ein lokaler, authentifizierter Angreifer könnte diese Schwachstelle ausnutzen, um nach einer ersten Kompromittierung eines Zielsystems Berechtigungen auf die SYSTEM-Ebene zu erhöhen.“
Während die genauen Einzelheiten des Missbrauchs von CVE-2024-38080 derzeit nicht bekannt sind, stellte Narang fest, dass dies die erste der 44 Hyper-V-Schwachstellen ist, die seit 2022 in freier Wildbahn ausgenutzt wird.
Zwei weitere von Microsoft gepatchte Sicherheitslücken wurden zum Zeitpunkt der Veröffentlichung als öffentlich bekannt gelistet. Dazu gehört ein Seitenkanalangriff namens FetchBench (CVE-2024-37985, CVSS-Score: 5,9), der es einem Angreifer ermöglichen könnte, den Heap-Speicher eines privilegierten Prozesses anzuzeigen, der auf Arm-basierten Systemen ausgeführt wird.
Die zweite fragliche öffentlich bekannte Schwachstelle ist CVE-2024-35264 (CVSS-Score: 8,1), ein Fehler bei der Remotecodeausführung, der sich auf .NET und Visual Studio auswirkt.
„Ein Angreifer könnte dies ausnutzen, indem er einen http/3-Stream schließt, während der Anforderungstext verarbeitet wird, was zu einer Race Condition führt“, sagte Redmond in einem Advisory. „Dies könnte zur Remote-Codeausführung führen.“
Im Rahmen der Patch-Tuesday-Updates wurden außerdem 37 Fehler bei der Remotecodeausführung behoben, die sich auf den SQL Server Native Client OLE DB-Anbieter auswirken, 20 Schwachstellen bei der Umgehung der Secure Boot-Sicherheitsfunktion, drei Fehler bei der Eskalation von PowerShell-Berechtigungen und eine Spoofing-Schwachstelle im RADIUS-Protokoll (CVE-2024). -3596 auch bekannt als BlastRADIUS).
„(Die SQL Server-Fehler) betreffen insbesondere den OLE DB-Anbieter, daher müssen nicht nur SQL Server-Instanzen aktualisiert werden, sondern auch Clientcode, auf dem anfällige Versionen des Verbindungstreibers ausgeführt werden, muss behoben werden“, sagt Greg Wiseman, Lead Product Manager bei Rapid7 sagte.
„Zum Beispiel könnte ein Angreifer Social-Engineering-Taktiken nutzen, um einen authentifizierten Benutzer dazu zu verleiten, eine Verbindung zu einer SQL Server-Datenbank herzustellen, die so konfiguriert ist, dass sie bösartige Daten zurückgibt, was die Ausführung willkürlichen Codes auf dem Client ermöglicht.“
Abgerundet wird die lange Liste der Patches durch CVE-2024-38021 (CVSS-Score: 8,8), eine Schwachstelle bei der Remotecodeausführung in Microsoft Office, die es einem Angreifer bei erfolgreicher Ausnutzung ermöglichen könnte, hohe Berechtigungen wie Lesen, Schreiben und Löschen zu erlangen Funktionalität.
Morphisec, das die Schwachstelle Ende April 2024 an Microsoft gemeldet hatte, sagte, die Schwachstelle erfordere keine Authentifizierung und stelle aufgrund ihres Zero-Click-Charakters ein ernstes Risiko dar.
„Angreifer könnten diese Schwachstelle ausnutzen, um sich unbefugten Zugriff zu verschaffen, willkürlichen Code auszuführen und ohne jegliche Benutzerinteraktion erheblichen Schaden anzurichten“, sagte Michael Gorelik. „Das Fehlen von Authentifizierungsanforderungen macht es besonders gefährlich, da es einer weit verbreiteten Ausbeutung Tür und Tor öffnet.“
Die Korrekturen erfolgen, nachdem Microsoft Ende letzten Monats bekannt gab, dass es künftig CVE-Kennungen für Cloud-bezogene Sicherheitslücken herausgeben wird, um die Transparenz zu verbessern.
Software-Patches von anderen Anbietern
Neben Microsoft wurden in den letzten Wochen auch von anderen Anbietern Sicherheitsupdates veröffentlicht, um mehrere Schwachstellen zu beheben, darunter –
Fanden Sie diesen Artikel interessant? Folge uns auf Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.
