Windows-Update vom Januar behebt 48 neue Sicherheitslücken
Microsoft hat im Januar 2024 im Rahmen seines monatlichen Patch-Dienstags insgesamt 48 Sicherheitslücken in seiner Software behoben. Zwei davon gelten als besonders kritisch, und 46 werden als ernst eingestuft. Es gibt keine Hinweise darauf, dass eine der Schwachstellen bis zum Patch-Tag öffentlich bekannt war oder bereits aktiv ausgenutzt wurde. Damit war dies der zweite Patch-Dienstag in Folge ohne Zero-Days.
Zusätzlich zu den neun Sicherheitslücken, die seit den Dezember 2023 Patch Tuesday-Updates im Chromium-basierten Edge-Browser behoben wurden, hat Microsoft im Januar 2024 insgesamt 48 weitere Korrekturen veröffentlicht. Darunter war auch die Behebung einer besonders kritischen Zero-Day-Schwachstelle (CVE-2023-7024, CVSS-Score: 8.8), die laut Google bereits aktiv in der realen Anwendungsumgebung ausgenutzt wurde.
Einige der kritischsten Schwachstellen in den aktuellen Patches sind:
CVE-2024-20674 (CVSS-Punktzahl: 9.0): Hier handelt es sich um eine Sicherheitslücke, die es ermöglicht, Windows Kerberos-Sicherheitsfunktionen zu umgehen.
CVE-2024-20700 (CVSS-Punktzahl: 7.5): Diese Schwachstelle betrifft die Remotecodeausführung bei Windows Hyper-V. Microsoft warnt davor, dass die Authentifizierungsfunktion umgangen werden kann, wodurch eine Identitätsübernahme möglich wird.
Microsoft erklärt in einem Advisory zu CVE-2024-20674: „Ein authentifizierter Angreifer könnte diese Sicherheitsanfälligkeit ausnutzen, indem er einen Machine-in-the-Middle (MitM)-Angriff oder eine andere Spoofing-Technik im lokalen Netzwerk durchführt und dann eine bösartige Kerberos-Nachricht an den betroffenen Client-Computer sendet, um sich als Kerberos-Authentifizierungsserver auszugeben.“
Für einen erfolgreichen Angriff ist es allerdings erforderlich, zunächst Zugang zum abgesicherten Netzwerk zu haben. Ein Sicherheitsforscher, der auf X unter dem Namen ldwilmore34 publiziert, wird für die Entdeckung und Meldung dieser Schwachstelle anerkannt.
Im Gegensatz dazu erfordert CVE-2024-20700 weder eine Authentifizierung noch eine Benutzerinteraktion, um Remotecodeausführung zu ermöglichen. Allerdings ist das Ausnutzen einer sogenannten „Race Condition“ eine Voraussetzung für einen Angriff.
Adam Barnett, leitender Softwareingenieur bei Rapid7, sagte dazu: „Es ist nicht klar, wo genau sich der Angreifer befinden muss – das lokale Netzwerk (LAN), auf dem sich der Hypervisor befindet, oder ein virtuelles Netzwerk, das vom Hypervisor erstellt und verwaltet wird – oder in welchem Kontext die Remotecodeausführung stattfinden würde.“
Andere wichtige Schwachstellen in den aktuellen Patches sind:
CVE-2024-20653 (CVSS-Score: 7.8): Hier handelt es sich um eine Schwachstelle zur Privilegienerweiterung, die den Treiber Common Log File System (CLFS) betrifft.
CVE-2024-0056 (CVSS-Score: 8.7): Diese Sicherheitsumgehung betrifft System.Data.SqlClient und Microsoft.Data.SqlClient. Laut Redmond könnte ein erfolgreicher Angriff dazu führen, dass ein Angreifer einen MitM-Angriff durchführt und den TLS-Verkehr zwischen dem Client und dem Server entschlüsselt, liest und manipuliert.
Microsoft hat darauf hingewiesen, dass die Funktion zum Einfügen von FBX-Dateien in Word, Excel, PowerPoint und Outlook in Windows wegen einer Sicherheitslücke (CVE-2024-20677, CVSS-Score: 7.8) standardmäßig deaktiviert wird. Diese Schwachstelle könnte zu Remotecodeausführung führen.
In einer separaten Warnung betont das Unternehmen: „3D-Modelle in Office-Dokumenten, die zuvor aus einer FBX-Datei eingefügt wurden, funktionieren weiterhin wie erwartet, solange die Option ‚Link to File‘ beim Einfügen nicht ausgewählt wurde. Als Ersatz für die Verwendung in Office wird das GLB-Format (Binary GL Transmission Format) empfohlen.“
Es ist interessant zu beobachten, dass Microsoft im letzten Jahr einen ähnlichen Schritt unternommen hat, als das SketchUp (SKP)-Dateiformat in Office deaktiviert wurde, nachdem Zscaler 117 Sicherheitslücken in Microsoft 365-Anwendungen entdeckt hatte.
Software-Patches von anderen Anbietern
Außer von Microsoft wurden in den letzten Wochen auch von anderen Herstellern wichtige Sicherheitsupdates veröffentlicht, um verschiedene Schwachstellen zu beheben, darunter Adobe, AMD, Android, Arm, ASUS, Bosch, Cisco, Dell, F5, Fortinet, Google Chrome, Google Cloud, HP, IBM, Intel, Lenovo, MediaTek, NETGEAR, Qualcomm, Samsung, SAP, Schneider Electric, Siemens, Splunk, Synology, Trend Micro, Zimbra und Zoom – außerdem die Linux Distributionen von Debian, Oracle, Red Hat, SUSE und Ubuntu.