Microsoft veröffentlicht Patches für 90 Schwachstellen – auch kritische

Microsoft musste mal wieder im großen Stil Sicherheitslöcher stopfen. Besonders gravierend sind die sechs bereits aktiv ausgenutzten Zero-Days:

• CVE-2024-38189: Remote-Code-Ausführung in Microsoft Project (CVSS-Score: 8.8)
• CVE-2024-38178: Speicherbeschädigung im Windows Scripting Engine (CVSS-Score: 7.5)
• CVE-2024-38193: Privilegieneskalation im Windows Ancillary Function Driver für WinSock (CVSS-Score: 7.8)
• CVE-2024-38106: Privilegieneskalation im Windows Kernel (CVSS-Score: 7.0)
• CVE-2024-38107: Privilegieneskalation im Windows Power Dependency Coordinator (CVSS-Score: 7.8)
• CVE-2024-38213: Umgehung der Windows Mark of the Web Sicherheitsfunktion (CVSS-Score: 6.5)

CVE-2024-38213 ermöglicht es Angreifern, die SmartScreen-Schutzmechanismen zu umgehen. Dazu müssen die Angreifer dem Benutzer eine schadhafte Datei schicken und ihn dazu bringen, diese zu öffnen. Peter Girnus von Trend Micro hat die Schwachstelle entdeckt und gemeldet. Es wird vermutet, dass diese Lücke möglicherweise auch dazu genutzt werden kann, um Sicherheitsmaßnahmen von CVE-2024-21412 oder CVE-2023-36025 zu umgehen, die zuvor von den Betreibern der DarkGate-Malware ausgenutzt wurden.

Die U.S. Cybersecurity and Infrastructure Security Agency (CISA) hat die genannten Schwachstellen in ihren Katalog der bekannten ausgenutzten Schwachstellen (KEV) aufgenommen und fordert alle Bundesbehörden auf, die Patches bis zum 3. September 2024 anzuwenden.

Als öffentlich bekannt werden vier Schwachstellen gelistet:

• CVE-2024-38200: Spoofing-Schwachstelle in Microsoft Office (CVSS-Score: 7.5)
• CVE-2024-38199: Remote-Code-Ausführung im Windows Line Printer Daemon (LPD) Service (CVSS-Score: 9.8)
• CVE-2024-21302: Privilegieneskalation im Windows Secure Kernel Mode (CVSS-Score: 6.7)
• CVE-2024-38202: Privilegieneskalation im Windows Update Stack (CVSS-Score: 7.3)

„Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er ein Opfer dazu verleitet, eine speziell präparierte Datei zu öffnen, wahrscheinlich durch eine Phishing-E-Mail“, erklärte Scott Caveza, Mitarbeiter bei Tenable, zu CVE-2024-38200. „Wird die Schwachstelle erfolgreich ausgenutzt, könnte das Opfer NTLM-Hashes offenlegen, die ein Angreifer dann verwenden könnte, um weiter in ein Netzwerk einzudringen, zum Beispiel durch NTLM-Relay- oder Pass-the-Hash-Angriffe.“

Das Update behebt auch eine Schwachstelle im Print Spooler (CVE-2024-38198, CVSS-Score: 7.8), die es Angreifern ermöglicht, SYSTEM-Rechte zu erlangen. „Für eine erfolgreiche Ausnutzung dieser Schwachstelle muss ein Angreifer eine Rennbedingung gewinnen“, so Microsoft.

Eine weitere wichtige Schwachstelle ist CVE-2024-38173 (CVSS-Score: 6.7), die Microsoft Outlook betrifft und es einem Angreifer ermöglicht, Remote-Code auszuführen. Morphisec, das die Schwachstelle im Juni 2024 entdeckte und meldete, beschreibt sie als ähnlich wie CVE-2024-30103 und als „Zero-Click-Schwachstelle“, die „keine Benutzerinteraktion benötigt, wenn die automatische E-Mail-Öffnen-Funktion von Microsoft aktiviert ist.“

Microsoft hat bisher keine Updates für die Schwachstellen CVE-2024-38202 und CVE-2024-21302 veröffentlicht. Diese Schwachstellen könnten ausgenutzt werden, um sogenannte Downgrade-Angriffe auf die Windows-Update-Architektur durchzuführen, bei denen aktuelle Betriebssystemdateien durch ältere Versionen ersetzt werden.

Diese Meldung folgt einem Bericht von Fortra über eine Denial-of-Service (DoS)-Schwachstelle im Common Log File System (CLFS)-Treiber (CVE-2024-6768, CVSS-Score: 6.8), die zu einem Systemabsturz und einem Blue Screen of Death (BSoD) führen kann.

Auf Nachfrage teilte ein Microsoft-Sprecher mit, dass das Problem „nicht die Kriterien für eine sofortige Bearbeitung gemäß unseren Schweregrad-Richtlinien erfüllt und wir es für ein zukünftiges Produktupdate in Betracht ziehen werden.“

„Die beschriebene Technik setzt voraus, dass ein Angreifer bereits die Kontrolle über den Zielcomputer hat und verleiht keine höheren Berechtigungen. Wir empfehlen unseren Kunden, gute Sicherheitsgewohnheiten im Internet zu pflegen und besonders vorsichtig bei der Ausführung von Programmen zu sein, die nicht vom Nutzer erkannt werden“, fügte der Sprecher hinzu.

Weitere Software-Patches wurden im Zuge des Microsoft-Patchings auch von anderen Anbietern veröffentlicht. Dazu zählen:

• Adobe
• AMD
• Apple
• Arm
• Bosch
• Broadcom (VMware)
• Cisco
• Citrix
• D-Link
• Dell
• Drupal
• F5
• Fortinet
• GitLab
• Google Android
• Google Chrome
• Google Cloud
• Google Wear OS
• HMS Networks
• HP
• HP Enterprise (Aruba Networks)
• IBM
• Intel
• Ivanti
• Jenkins
• Juniper Networks
• Lenovo
• Linux-Distributionen Amazon Linux, Debian, Oracle Linux, Red Hat, Rocky Linux, SUSE und Ubuntu
• MediaTek
• Mitel
• MongoDB
• Mozilla Firefox, Firefox ESR und Thunderbird
• NVIDIA
• Progress Software
• Qualcomm
• Rockwell Automation
• Samsung
• SAP
• Schneider Electric
• Siemens
• SonicWall
• Splunk
• Spring Framework
• T-Head
• Trend Micro
• Zoom
• Zyxel

In einer Erklärung teilte Trend Micro mit, dass CVE-2024-38213 keine Umgehung von CVE-2024-21412 ist und dass jede Datei auf einem WebDAV-Share von der Schwachstelle betroffen ist. „CVE-2024-38213 zeigt gut, wie wir die Entdeckung von Zero-Day-Schwachstellen nutzen, um unsere Sicherheitsforschung zu verbessern“, sagte das Unternehmen. „Dieser Fall verdeutlicht auch, wie problematisch enge oder unzureichende Patches sein können.“

Die Schwachstelle CVE-2024-38213, die den Codenamen copy2pwn trägt, „führt dazu, dass eine Datei von einem WebDAV-Share lokal kopiert wird, ohne die Mark of the Web-Schutzmaßnahmen anzuwenden“, so die Zero Day Initiative (ZDI). Sie wurde von den DarkGate-Betreibern ausgenutzt.

„Dateien, die von WebDAV-Shares kopiert und eingefügt wurden, erhielten keine Mark of the Web-Kennzeichnung. Das bedeutet, dass Benutzer Dateien von einem WebDAV-Share auf ihren Desktop kopieren konnten und diese Dateien anschließend ohne die Schutzmaßnahmen von Windows Defender SmartScreen oder Microsoft Office Protected View geöffnet werden konnten.“