Einschätzung von Akamai zum Patch Tuesday im Juli 2024
Viele Länder feiern im Juli ihren Unabhängigkeitstag. Und was könnte die Feierlichkeiten besser ins Rollen bringen als eine Flut von CVEs? Am Patch Tuesday im Juli 2024 wurden 137 Schwachstellen gepatcht. Dazu gehörten auch fünf kritische Sicherheitslücken auf dem Microsoft SharePoint Server, im Windows Remote Desktop Lizenzservice und in der Windows Codecs-Bibliothek.
Darüber hinaus wurde eine Schwachstelle bezüglich der Erhöhung von Berechtigungen (EoP) in Windows Hyper-V und eine Spoofing-Schwachstelle in der Windows MSHTML-Plattform gemeldet, die im Internet beobachtet wurden. Gepatcht wurde auch eine Schwachstelle in Windows-Designs, die von Akamai-Forscher Tomer Peled gemeldet wurde.
Wie jeden Monat hat sich die Akamai Security Intelligence Group auf die Suche nach den wichtigsten gepatchten Schwachstellen gemacht.
In diesem Blogbeitrag bewerten wir, wie kritisch die Schwachstellen und wie alltäglich die betroffenen Anwendungen und Services sind. Daraus ergibt sich eine realistische Perspektive auf die Fehler, die behoben wurden. Diese Einblicke erscheinen innerhalb weniger Tage nach jedem Patch Tuesday.
Dies ist ein fortlaufend aktualisierter Bericht, und wir werden ihm weitere Informationen hinzufügen, während unsere Forschung voranschreitet – schauen Sie also wieder vorbei!
Diesen Monat konzentrieren wir uns auf die folgenden Bereiche, in denen Fehler gepatcht wurden:
Schwachstellen, die im freien Internet entdeckt wurden
CVE-2024-38080 – Windows Hyper-V (CVSS 7,8)
Windows Hyper-V ist der native Hypervisor in Windows. Sie ermöglicht das Hosten virtueller Maschinen (Gäste) auf einem einzelnen Host-Rechner. Virtualisierungen sind in Unternehmensnetzwerken sehr häufig, da dadurch Hardwarekosten eingespart werden können.
Unsere Beobachtungen zeigen, dass 84 % der Umgebungen über Computer mit aktiviertem Hyper-V (Hosts) verfügten.
CVE-2024-38080 ist eine lokale EoP-Schwachstelle, die es Angreifern ermöglicht, nach erfolgreicher Ausnutzung SYSTEMBERECHTIGUNGEN zu erlangen. Es ist immer noch unklar, ob die Schwachstelle auf Hostcomputern oder Gastcomputern besteht und wie sie ausgenutzt wird. Microsoft zufolge wurde eine erfolgreiche Ausnutzung dieser Schwachstelle im Internet beobachtet.
Erkennung
Um Hyper-V-Hosts zu erkennen, können Sie die folgende osquery verwenden:
SELECT
name, statename
FROM
windows_optional_features
WHERE
name LIKE 'Microsoft-Hyper-V%'
AND state = 1
Akamai Guardicore Segmentation -Kunden können diese Abfrage mit der Insight-Funktion ausführen.
CVE-2024-38112 — Windows MSHTML-Plattform (CVSS 7,5)
MSHTML ist ein Webseiten-Renderer für das Windows-Betriebssystem. Er bietet eine COM-Schnittstelle (Component Object Model), über die Programme Web-Rendering-Funktionen hinzufügen können. Er wird von Internet Explorer, dem Internet-Explorer-Modus von Microsoft Edge, Microsoft Outlook und verschiedenen anderen Programmen verwendet.
Auf der MSHTML-Plattform wurden in der Vergangenheit mehrere Schwachstellen gefunden (darunter einige durch Akamai-Forscher). Sie stellt ein attraktives Ausbeutungsziel für Angreifer dar, weil sie Abwehrmechanismen umgehen kann und eine in Windows integrierte Funktion ist.
Eine ausführlichere technische Analyse der CVE finden Sie im Blogbeitrag von Haifei Li.
Von Forschern von Akamai entdeckte Schwachstellen
CVE-2024-38030 – Windows-Designs (CVSS 6,5)
Microsoft Designs ist eine Funktion in Windows, mit der Nutzer unter anderem die Art und Weise ändern können, in der Symbole oder Schriftarten angezeigt werden. Es ist ein integrierter Bestandteil von Windows.
Der Forscher von Akamai Tomer Peled fand CVE-2024-38030, eine Spoofing-Schwachstelle mit einem CVSS-Wert von 6,5. Bei der erfolgreichen Ausnutzung dieser Schwachstelle wird der Patch für CVE-2024-21320, die ebenfalls von Peled entdeckt wurde, umgangen.
Beim Patch für CVE-2024-21320 wurde die Funktion PathIsUNC eingeführt, um prüfen zu können, ob ein bestimmter Pfad in einer Design-Datei ein UNC-Pfad ist. Zum Leidwesen von Microsoft hat James Forshaw bereits eine Möglichkeit erörtert, diese Funktion zu umgehen. Dies könnte unseren Schätzungen zufolge das erste Mal sein, dass diese Umgehung zur Ausnutzung von Windows-Funktionen verwendet wird.
Windows Remote Desktop Lizenzservice
Der Windows Remote Desktop Lizenzservice wird als Teil der Windows Remote Desktop Services (RDS) bereitgestellt. RDS ist eine Virtualisierungslösung zur Bereitstellung und Verwaltung virtueller Remote-Desktops für Nutzer.
Der Lizenzservice wird zur Ausgabe und Verwaltung von Clientzugriffslizenzen verwendet, die erforderlich sind, um eine Verbindung zu virtuellen, über die Desktop Services generierten Desktops herzustellen.
In diesem Monat gibt es drei kritische Schwachstellen für Remotecodeausführung sowie vier Denial-of-Service-Schwachstellen im Windows Remote Desktop Lizenzservice.
| CVE-Nummer | Auswirkung |
|---|---|
| CVE-2024-38077 | Remotecodeausführung |
| CVE-2024-38074 | |
| CVE-2024-38076 | |
| CVE-2024-38071 | Denial of Service |
| CVE-2024-38072 | |
| CVE-2024-38073 | |
| CVE-2024-38099 |
Abwehr
Microsoft empfiehlt, den Service zu deaktivieren, wenn er nicht mehr verwendet wird. Da immer mehr Unternehmen auf die Cloud umsteigen, ist es möglich, dass Ihre RDS-Bereitstellung ebenfalls in die Cloud verschoben wurde und der Lizenzserver vor Ort nicht mehr benötigt wird. Wir haben festgestellt, dass 50 % der Umgebungen über einen Server verfügen, auf dem ein Remote Desktop Lizenzservice (TermServLicensing) ausgeführt wird.
Sie können die folgende osquery verwenden, um den Service zu erkennen und seinen Status zu ermitteln:
SELECT
status, pid, start_type
FROM
services
WHERE
name='TermServLicensing'
Darüber hinaus können Sie einen Remoteprozeduraufruf (RPC) ausführen, um über das Netzwerk auf den Lizenzservice zuzugreifen. Er verwendet kurzlebige Ports und eine benannte Pipe (\\pipe\\HydraLsPipe) für die Kommunikation, was die Nachverfolgung mit der Zeit erschwert. Sie können die Ereignisverfolgung von Windows (Event Tracing for Windows, ETW) zur Überwachung des RPC-Traffics verwenden oder den Zugriff auf die RPC-Schnittstelle mit RPC-Filternbeschränken. Die Schnittstellen-UUID lautet {3d267954-eeb7-11d1-b94e-00c04fa3080d}.
Microsoft Windows Codecs-Bibliothek
Die Microsoft Windows Codecs-Bibliothek umfasst die in Windows integrierten Codecs. Codecs werden verwendet, um verschiedene Medienformate wie Bilder, Videos, Audiodateien und Schriftarten zu codieren und zu decodieren.
In diesem Monat wurde eine kritische Schwachstellen für Remotecodeausführung ( CVE-2024-38060) gemeldet, die laut FAQ ausgenutzt werden kann, indem ein schädliches TIFF-Bild auf einen Server hochgeladen wird. Der TIFF-Codec ist Teil der Windows-Bilderstellungskomponente (Windows Imaging Component, WIC) und ist in Windows integriert. Somit wirkt er sich auf alle Windows-Installationen und alle damit ausgeführten Programme aus, die die WIC für die Analyse von TIFF-Bildern verwenden.
Sie können die folgende osquery verwenden, um Prozesse zu erkennen, die die Codec-Bibliothek-DLL geladen haben:
SELECT
name, pid, proc.path
FROM
process_memory_map AS pmm
JOIN processes AS procUSING(pid)
WHERE
pmm.path LIKE '%windowscodecs.dll'
Es gibt auch zwei CVEs bezüglich der Offenlegung von Informationen: CVE-2024-38055 legt Teile des Windows-Kernelspeichers offen und CVE-2024-38056 kann Teile des Heap-Speichers, vermutlich von Prozessen, die die Codecs-Bibliothek verwenden, offenlegen.
Zuvor behandelte Services
Viele CVEs im aktuellen Patch Tuesday beziehen sich auf Systeme, die wir bereits beschrieben haben. Wenn Sie an unserer Analyse oder allgemeinen Empfehlungen zu diesen Services interessiert sind, empfehlen wir Ihnen unsere Blogeinträge mit Einschätzungen zum Patch Tuesday.
| Service | CVE-Nummer | Auswirkung | Erforderlicher Zugriff |
|---|---|---|---|
| Microsoft SharePoint Server | CVE-2024-38023 | Remotecodeausführung | Netzwerk, SiteOwner-Berechtigungen |
| CVE-2024-38024 | |||
| CVE-2024-32987 | Offenlegung von Informationen | Netzwerk, Authentifizierung erforderlich | |
| Windows Cryptographic Services | CVE-2024-30098 | Umgehung von Sicherheitsfunktionen | Netzwerk, erfordert SHA1-Kollision |
| Windows iSCSI | CVE-2024-35270 | Denial of Service | Lokales Netzwerk |
| DHCP-Server-Service | CVE-2024-38044 | Remotecodeausführung | Netzwerk, erfordert bestimmte DHCP-Berechtigungen, vermutlich DHCP-Administratorrechte |
| Microsoft Defender for IoT | CVE-2024-38089 | Erhöhung von Berechtigungen | Netzwerk |
Diese Zusammenfassung gibt einen Überblick über unser aktuelles Verständnis der verfügbaren Informationen und über unsere Empfehlungen. Unsere Überprüfung läuft und alle hierin enthaltenen Informationen können sich jederzeit ändern. Besuchen Sie uns auch auf X (ehemals Twitter) und erhalten Sie Echtzeit-Updates.