Microsoft gibt 5 Zero-Days in umfangreichem Juli-Sicherheitsupdate bekannt

Microsoft gibt 5 Zero-Days in umfangreichem Juli-Sicherheitsupdate bekannt

Zeitstempel: 11. Juli 2023, 6:16 Uhr
Microsoft veröffentlicht 5 Zero-Days im umfangreichen Juli-Sicherheitsupdate PlatoBlockchain Data Intelligence. Vertikale Suche. Ai.

Microsoft's Sicherheitsupdate vom Juli enthält Korrekturen für satte 130 einzigartige Schwachstellen, von denen Angreifer bereits fünf aktiv ausnutzen.

Neun der Mängel stufte das Unternehmen als kritisch ein, 121 davon als mäßig oder wichtig. Die Schwachstellen betreffen eine Vielzahl von Microsoft-Produkten, darunter Windows, Office, .Net, Azure Active Directory, Druckertreiber, DMS-Server und Remotedesktop. Das Update enthielt die übliche Mischung aus RCE-Fehlern (Remote Code Execution), Sicherheitsumgehungs- und Privilegieneskalationsproblemen, Fehlern bei der Offenlegung von Informationen und Denial-of-Service-Schwachstellen.

„Dieses Volumen an Korrekturen ist das höchste, das wir in den letzten Jahren gesehen haben, obwohl es'Es ist nicht ungewöhnlich, dass Microsoft kurz vor der Black Hat USA-Konferenz eine große Anzahl von Patches ausliefert“, sagte Dustin Childs, Sicherheitsforscher bei der Zero Day Initiative (ZDI) von Trend Micro, in einem Blogbeitrag.

Unter dem Gesichtspunkt der Patch-Priorisierung verdienen die fünf Zero-Days, die Microsoft diese Woche bekannt gegeben hat, laut Sicherheitsforschern sofortige Aufmerksamkeit.

Die schwerwiegendste davon ist CVE-2023-36884, ein RCE-Fehler (Remote Code Execution) in Office und Windows HTML, für den Microsoft im Update dieses Monats keinen Patch bereitstellte. Das Unternehmen identifizierte eine von ihm verfolgte Bedrohungsgruppe, Storm-0978, als Ausnutzer der Schwachstelle in einer Phishing-Kampagne, die auf Regierungs- und Verteidigungsorganisationen in Nordamerika und Europa abzielte.

Bei der Kampagne verbreitet der Bedrohungsakteur eine Hintertür namens RomCom über Windows-Dokumente mit Themen im Zusammenhang mit dem Ukrainischen Weltkongress. „Sturm-0978'„Die gezielten Operationen haben sich vor allem auf Regierungs- und Militärorganisationen in der Ukraine sowie auf Organisationen in Europa und Nordamerika ausgewirkt, die möglicherweise in ukrainische Angelegenheiten verwickelt sind.“ Das sagte Microsoft in einem Blog Beitrag, der das Sicherheitsupdate vom Juli begleitete. „Erkannte Ransomware-Angriffe haben sich unter anderem auf die Telekommunikations- und Finanzbranche ausgewirkt.“

Dustin Childs, ein weiterer Forscher am ZDI, warnte Organisationen, CVE-2023-36884 als „kritisches“ Sicherheitsproblem zu behandeln, obwohl Microsoft selbst es als relativ weniger schwerwiegenden, „wichtigen“ Fehler eingestuft hat. „Microsoft hat die seltsame Maßnahme ergriffen, dieses CVE zu veröffentlichen ohne ein Patch. Das'„Das wird noch kommen“, schrieb Childs in einem Blogbeitrag. „Klar, da'Hinter diesem Exploit steckt viel mehr, als gesagt wird.“

Bei zwei der fünf Sicherheitslücken, die aktiv ausgenutzt werden, handelt es sich um Sicherheitslücken. Eine davon betrifft Microsoft Outlook (CVE-2023-35311) und das andere betrifft Windows SmartScreen (CVE-2023-32049). Beide Schwachstellen erfordern eine Benutzerinteraktion, was bedeutet, dass ein Angreifer sie nur ausnutzen kann, indem er einen Benutzer dazu verleitet, auf eine schädliche URL zu klicken. Mit CVE-2023-32049 wäre ein Angreifer in der Lage, die Eingabeaufforderung „Datei öffnen – Sicherheitswarnung“ zu umgehen, während CVE-2023-35311 Angreifern die Möglichkeit bietet, ihren Angriff über die Eingabeaufforderung „Sicherheitshinweis“ von Microsoft Outlook zu verschleiern.

„Es ist wichtig zu beachten, dass [CVE-2023-35311] ausdrücklich die Umgehung der Sicherheitsfunktionen von Microsoft Outlook ermöglicht und keine Remote-Codeausführung oder Rechteausweitung ermöglicht“, sagte Mike Walters, Vizepräsident für Schwachstellen- und Bedrohungsforschung bei Action1. „Daher kombinieren Angreifer es wahrscheinlich mit anderen Exploits für einen umfassenden Angriff. Die Sicherheitslücke betrifft alle Versionen von Microsoft Outlook ab 2013“, bemerkte er in einer E-Mail an Dark Reading.

Kev Breen, Leiter der Cyber-Bedrohungsforschung bei Immersive Labs, bewertete die andere Zero-Day-Sicherheitsumgehung - CVE-2023-32049 – ein weiterer Fehler, den Bedrohungsakteure höchstwahrscheinlich als Teil einer breiteren Angriffskette nutzen werden.

Die beiden anderen Zero-Days in den neuesten Patches von Microsoft ermöglichen beide eine Rechteausweitung. Forscher der Threat Analysis Group von Google haben einen davon entdeckt. Der Fehler, verfolgt als CVE-2023-36874handelt es sich um ein Problem der Rechteerweiterung im Windows-Fehlerberichterstattungsdienst (WER), das Angreifern die Möglichkeit gibt, Administratorrechte auf anfälligen Systemen zu erlangen. Ein Angreifer benötigt lokalen Zugriff auf ein betroffenes System, um die Schwachstelle auszunutzen, den er sich über andere Exploits oder den Missbrauch von Anmeldeinformationen verschaffen könnte.

„Der WER-Dienst ist eine Funktion in Microsoft Windows-Betriebssystemen, die automatisch Fehlerberichte sammelt und an Microsoft sendet, wenn bestimmte Software abstürzt oder auf andere Arten von Fehlern stößt“, sagte Tom Bowyer, Sicherheitsforscher bei Automox. „Diese Zero-Day-Schwachstelle wird aktiv ausgenutzt. Wenn Ihr Unternehmen also WER nutzt, empfehlen wir, das Patch innerhalb von 24 Stunden durchzuführen“, sagte er.

Der andere Fehler bei der Erhöhung von Berechtigungen im Juli-Sicherheitsupdate, den Angreifer bereits aktiv ausnutzen, ist CVE-2023-32046 in Microsofts Windows MSHTM-Plattform, auch bekannt als „Trident“-Browser-Rendering-Engine. Wie bei vielen anderen Fehlern erfordert auch dieser ein gewisses Maß an Benutzerinteraktion. Um den Fehler in einem E-Mail-Angriffsszenario auszunutzen, müsste ein Angreifer einem Zielbenutzer eine speziell gestaltete Datei senden und den Benutzer dazu bringen, sie zu öffnen. Bei einem webbasierten Angriff müsste ein Angreifer eine bösartige Website hosten – oder eine kompromittierte Website verwenden –, um eine speziell gestaltete Datei zu hosten und dann ein Opfer dazu zu verleiten, sie zu öffnen, sagte Microsoft.

RCEs im Windows-Routing, RAS-Dienst

Sicherheitsforscher wiesen auf drei RCE-Schwachstellen im Windows Routing and Remote Access Service (RRAS) hin (CVE-2023-35365, CVE-2023-35366 und CVE-2023-35367) ebenso wie alle anderen vorrangige Aufmerksamkeit verdienen. Microsoft hat alle drei Schwachstellen als kritisch eingestuft und alle drei haben einen CVSS-Score von 9.8. Der Dienst ist auf Windows Server nicht standardmäßig verfügbar und ermöglicht es Computern, auf denen das Betriebssystem ausgeführt wird, grundsätzlich, als Router, VPN-Server und Einwahlserver zu fungieren, sagte Bowyer von Automox. „Ein erfolgreicher Angreifer könnte Netzwerkkonfigurationen ändern, Daten stehlen, auf andere kritischere/wichtigere Systeme ausweichen oder zusätzliche Konten für dauerhaften Zugriff auf das Gerät erstellen."

Mängel im SharePoint-Server

Microsofts riesiges Juli-Update enthielt Korrekturen für vier RCE-Schwachstellen im SharePoint-Server, der in letzter Zeit zu einem beliebten Angriffsziel geworden ist. Microsoft hat zwei der Fehler als „wichtig“ eingestuft (CVE-2023-33134 und CVE-2023-33159) und die anderen beiden als „kritisch“ (CVE-2023-33157 und CVE-2023-33160). „Alle erfordern eine Authentifizierung des Angreifers oder eine Aktion des Benutzers, die glücklicherweise das Risiko einer Sicherheitsverletzung verringert“, sagte Yoav Iellin, leitender Forscher bei Silverfort. „Da SharePoint jedoch vertrauliche Daten enthalten kann und normalerweise von außerhalb des Unternehmens offengelegt wird, sollten diejenigen, die die lokale oder hybride Version verwenden, ein Update durchführen.“

Organisationen, die Vorschriften wie FEDRAMP, PCI, HIPAA, SOC2 und ähnliche Vorschriften einhalten müssen, sollten darauf achten CVE-2023-35332: ein Fehler bei der Umgehung der Sicherheitsfunktion des Windows-Remotedesktopprotokolls, sagte Dor Dali, Forschungsleiter bei Cyolo. Die Schwachstelle hängt mit der Verwendung veralteter und veralteter Protokolle zusammen, darunter Datagram Transport Layer Security (DTLS) Version 1.0, die ein erhebliches Sicherheits- und Compliance-Risiko für Unternehmen darstellen, sagte er. In Situationen, in denen eine Organisation nicht sofort aktualisieren kann, sollte sie die UDP-Unterstützung im RDP-Gateway deaktivieren, sagte er.

Darüber hinaus Microsoft veröffentlichte ein Advisory über seine Untersuchung aktueller Berichte über Bedrohungsakteure, die von Microsoft zertifizierte Treiber verwenden's Windows Hardware Developer Program (MWHDP) in Post-Exploit-Aktivitäten.

Zeitstempel:

Mehr von Dunkle Lektüre