Microsofts März-Updates beheben 61 Sicherheitslücken
Am vergangenen Dienstag hat Microsoft sein neuestes Sicherheitsupdate veröffentlicht und dabei gleich 61 Sicherheitslücken in seiner Software geschlossen. Besonders brisant sind zwei kritische Probleme in Windows Hyper-V, die potenziell zu Denial-of-Service (DoS) und der Ausführung von Code aus der Ferne führen könnten.
Von den insgesamt 61 Schwachstellen, die Microsoft mit seinem neuesten Sicherheitsupdate behoben hat, werden zwei als besonders kritisch eingestuft, 58 als wichtig und eine als weniger schwerwiegend. Zum Zeitpunkt der Veröffentlichung des Updates waren laut Microsoft keine der Schwachstellen öffentlich bekannt oder wurden aktiv ausgenutzt. Allerdings schätzen Experten bei sechs davon, dass eine zeitnahe Ausnutzung durchaus wahrscheinlich ist.
Diese Korrekturen kommen zusätzlich zu den 17 Sicherheitslücken hinzu, die im Chromium-basierten Edge-Browser von Microsoft bereits seit den letzten Patch Tuesday-Updates im Februar 2024 behoben wurden.
Die beiden Spitzenreiter auf der Liste der kritischen Schwachstellen sind CVE-2024-21407 und CVE-2024-21408, die beide Hyper-V betreffen und entweder zur Ausführung von Remote Code oder zu einer Denial-of-Service-Situation führen können.
Das Update von Microsoft behebt auch Sicherheitslücken in anderen Bereichen, wie der Privilegienerweiterung im Azure Kubernetes Service Confidential Container (CVE-2024-21400, CVSS-Score: 9.0), im Windows Composite Image File System (CVE-2024-26170, CVSS-Score: 7.8) und im Authenticator (CVE-2024-21390, CVSS-Score: 7.1).
Um die Schwachstelle CVE-2024-21390 auszunutzen, muss ein Angreifer entweder bereits bösartige Software auf dem Gerät installiert haben oder Zugriff auf das Gerät erlangt haben. Zudem muss das Opfer die Authenticator-App schließen und erneut öffnen.
Microsoft erklärt, dass die Ausnutzung dieser Schwachstelle es einem Angreifer ermöglichen könnte, Zugriff auf die Mehrfaktor-Authentifizierungscodes des Opfers zu erhalten und Konten in der Authenticator-App zu verändern oder zu löschen, ohne die App zu stoppen oder zu blockieren.
„Obwohl es unwahrscheinlich ist, dass diese Schwachstelle ausgenutzt wird, suchen Angreifer immer nach Möglichkeiten, die Mehrfaktor-Authentifizierung zu umgehen“, so Satnam Narang, Senior Staff Research Engineer bei Tenable.
„Wenn sie jedoch unentdeckt bleiben wollen, könnten sie Zugriff erhalten und Mehrfaktor-Authentifizierungscodes stehlen, um sich in sensible Konten einzuloggen, Daten zu stehlen oder Konten zu übernehmen, indem sie Passwörter ändern und das Mehrfaktor-Authentifizierungsgerät ersetzen, wodurch der Benutzer ausgesperrt wird.“
Eine weitere wichtige Schwachstelle betrifft einen Fehler in der Print Spooler-Komponente (CVE-2024-21433, CVSS-Score: 7.0), der es einem Angreifer ermöglichen könnte, SYSTEM-Rechte zu erlangen, allerdings nur, wenn er extrem schnell ist.
Das Update behebt auch eine Schwachstelle im Exchange Server (CVE-2024-26198, CVSS-Score: 8.8), die von einem nicht authentifizierten Angreifer ausgenutzt werden kann, indem er eine speziell gestaltete Datei in einem Online-Verzeichnis platziert und ein Opfer dazu verleitet, sie zu öffnen. Dies führt dann zur Ausführung von bösartigen DLL-Dateien.
Die Schwachstelle mit der höchsten Bewertung, CVE-2024-21334 (CVSS-Score: 9.8), betrifft einen Fall von Remotecodeausführung in der Open Management Infrastructure (OMI). Laut Redmond könnte ein entfernter, nicht authentifizierter Angreifer über das Internet auf die OMI-Instanz zugreifen und speziell gestaltete Anfragen senden, um eine Use-after-free-Schwachstelle auszulösen.
„Im Vergleich zu den letzten vier Jahren war das erste Quartal des Patch Tuesday 2024 ruhiger“, so Narang. „In den Jahren 2020 bis 2023 wurden im Durchschnitt 237 CVEs im ersten Quartal gepatcht. Im ersten Quartal 2024 hat Microsoft nur 181 CVEs gepatcht. Die durchschnittliche Anzahl der im März gepatchten CVEs lag in den letzten vier Jahren bei 86.“
Neben Microsoft haben auch andere Unternehmen in den letzten Wochen Sicherheitsupdates veröffentlicht, um verschiedene Schwachstellen zu beheben. Dazu gehören unter anderem Adobe, AMD, Android, Apple, Arcserve Unified Data Protection, Aruba Networks, Arm, Bosch, Canon, Cisco, Citrix, CODESYS, Dell, Drupal, F5, Fortinet, GitLab, Google Chrome, Google Cloud, Google Wear OS, Hikvision, Hitachi Energy, HP, IBM, Intel, Jenkins, JetBrains TeamCity, Lenovo, die Linux-Distributionen von Debian, Oracle Linux, Red Hat, SUSE und Ubuntu, außerdem MediaTek, Mitsubishi Electric, MongoDB, Mozilla Firefox, Firefox ESR und Thunderbird, NETGEAR, NVIDIA, OpenNMS, Progress Software OpenEdge, QNAP, Qualcomm, Samsung, SAP, Schneider Electric, Siemens, SolarWinds, SonicWall, Spring Framework, Synology, VMware, Zoom und Zyxel.