Microsoft veröffentlicht Patch-Updates neue Zero-Day-Schwachstellen
Microsoft hat mit seinen November-Updates Fixes für insgesamt 63 Sicherheitslücken in seiner Software veröffentlicht. Darunter sind drei Sicherheitslücken, die bereits aktiv von Angreifern ausgenutzt wurden. Von den 63 Schwachstellen wurden drei als kritisch, 56 als wichtig und vier als mäßig schwerwiegend eingestuft. Zum Zeitpunkt der Veröffentlichung waren zwei dieser Schwachstellen bereits öffentlich bekannt.
Die Schwachstellen kommen zu den mehr als 35 Sicherheitslücken hinzu, die seit der Veröffentlichung der Patch Tuesday-Updates für Oktober 2023 im Chromium-basierten Edge-Browser von Microsoft behoben wurden.7
Fünf Zero-Day-Schwachstellen sind besonders relevant:
- CVE-2023-36025 (CVSS-Score: 8.8): Ermöglicht das Umgehen der Windows SmartScreen-Sicherheitsfunktion (Bypass)
- CVE-2023-36033 (CVSS-Score: 7.8): Erhöht die Privilegien über die Windows DWM Core Library
- CVE-2023-36036 (CVSS-Score: 7.8): Ermöglicht eine Berechtigungserhöhung über den Windows Cloud Files Mini Filter Driver
- CVE-2023-36038 (CVSS-Score: 8.2): Eine ASP.NET Core Denial-of-Service-Schwachstelle
- CVE-2023-36413 (CVSS-Score: 6.5): Eine Sicherheitsanfälligkeit zur Umgehung der Microsoft Office-Sicherheitsfunktionen
Die Schwachstellen CVE-2023-36033 und CVE-2023-36036 könnten von Angreifern genutzt werden, um SYSTEM-Privilegien zu erhalten. CVE-2023-36025 ermöglicht die Umgehung der SmartScreen-Prüfungen von Windows Defender und der damit verbundenen Eingabeaufforderungen. „Der Benutzer müsste auf eine speziell gestaltete Internet-Verknüpfung (.URL) oder einen Hyperlink, der auf eine Internet-Verknüpfungsdatei verweist, klicken, um von einem Angreifer kompromittiert zu werden“, so Microsoft zu CVE-2023-36025.
CVE-2023-36025 ist die dritte Windows SmartScreen Zero-Day-Schwachstelle, die 2023 in freier Wildbahn ausgenutzt wurde. Im Dezember 2022 hat Microsoft die Sicherheitslücke CVE-2022-44698 (CVSS-Score: 5.4) gepatcht, während CVE-2023-24880 (CVSS-Score: 5.1) im März und CVE-2023-32049 (CVSS-Score: 8.8) im Juli gepatcht wurden.
Der Windows-Hersteller hat keine weiteren Informationen zu den verwendeten Angriffsmechanismen und den Bedrohungsakteure gegeben, die diese möglicherweise als Waffe einsetzen. Die aktive Ausnutzung der Schwachstellen zur Privilegienerweiterung deutet jedoch darauf hin, dass sie wahrscheinlich in Verbindung mit einem Fehler zur Remote-Code-Ausführung verwendet werden.
„In den letzten zwei Jahren gab es 12 Schwachstellen in der DWM Core Library, die zu einer Ausweitung von Privilegien führten. Dies ist jedoch die erste, die in freier Wildbahn als Zero-Day ausgenutzt wurde“, so Satnam Narang, Senior Staff Research Engineer bei Tenable.
Die Entwicklung hat die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) dazu veranlasst, die drei Schwachstellen in ihren KEV-Katalog (Known Exploited Vulnerabilities) aufzunehmen und die Bundesbehörden aufzufordern, die Korrekturen bis zum 5. Dezember 2023 anzuwenden.
Ebenfalls von Microsoft gepatcht wurden zwei kritische Schwachstellen im Protected Extensible Authentication Protocol und Pragmatic General Multicast (CVE-2023-36028 und CVE-2023-36397, CVSS-Score: 9.8), die ein Bedrohungsakteur zur Ausführung von Schadcode ausnutzen könnte.
Das November-Update enthält außerdem einen Patch für CVE-2023-38545 (CVSS-Score: 9.8), einen kritischen Heap-basierten Pufferüberlauf in der curl-Bibliothek, der im vergangenen Monat bekannt wurde, sowie eine Sicherheitslücke in Azure CLI (CVE-2023-36052, CVSS-Score: 8.6), durch die Informationen offengelegt werden.
„Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, könnte Passwörter und Benutzernamen im Klartext aus Protokolldateien auslesen, die von den betroffenen CLI-Befehlen erstellt und von Azure DevOps und/oder GitHub Actions veröffentlicht wurden“, so Microsoft.
Aviad Hahami, ein Forscher bei Palo Alto Networks, der das Problem gemeldet hat, erklärte, dass die Schwachstelle es einem Angreifer ermöglichen könnte, auf gespeicherte Anmeldeinformationen in Protokolldateien zuzugreifen. Dies könnte dem Angreifer erlauben, seine Berechtigungen zu erweitern und weitere Angriffe durchzuführen.
Als Reaktion darauf hat Microsoft Änderungen an mehreren Azure CLI-Befehlen vorgenommen, um Azure CLI (Version 2.54) gegen eine ungewollte Nutzung zu härten, die zur Preisgabe von Geheimnissen führen könnte.
In den letzten Wochen haben verschiedene Hersteller neben Microsoft Sicherheitsupdates veröffentlicht, um diverse Schwachstellen zu beheben. Zu diesen Herstellern gehören unter anderem Adobe, AMD (einschließlich CacheWarp), Android, Apache-Projekte, Apple, Aruba Networks, Arm, ASUS, Atlassian, Cisco, CODESYS, Dell, Drupal, F5, Fortinet, GitLab, Google Chrome, Hitachi Energy, HP, IBM, Intel (einschließlich Reptar), Jenkins, Juniper Networks, Lenovo, verschiedene Linux-Distributionen wie Debian, Oracle Linux, Red Hat, SUSE und Ubuntu, MediaTek, Mitsubishi Electric, NETGEAR, NVIDIA, Palo Alto Networks, Qualcomm, Samsung, SAP, Schneider Electric, Siemens, SolarWinds, SonicWall, SysAid, Trend Micro, Veeam, Veritas, VMware, WordPress, Zimbra, Zoom und Zyxel.