Einschätzung von Akamai zum Patch Tuesday im April 2024
Wir wünschen ein frohes Eid al-Fitr-, Pessach- oder Osterfest! Im April gibt es traditionell viele Gründe zum Feiern – und Microsoft verschönert diese festliche Zeit mit einem bunten Strauß von CVEs. Beim Patch Tuesday im April 2024 wurden insgesamt 147 CVEs behoben, darunter drei kritische beim Microsoft Defender for IoT. Darüber hinaus gab es eine CVE im freien Internet: Ein Microsoft-Zertifikat als Signatur schädlicher Payloads.
In diesem Blogbeitrag bewerten wir, wie kritisch die Schwachstellen und wie alltäglich die betroffenen Anwendungen und Services sind. Daraus ergibt sich eine realistische Perspektive auf die Fehler, die behoben wurden. Diese Einblicke erscheinen innerhalb weniger Tage nach jedem Patch Tuesday.
Dies ist ein fortlaufend aktualisierter Bericht, und wir werden ihm weitere Informationen hinzufügen, während unsere Forschung voranschreitet – schauen Sie also wieder vorbei!
Diesen Monat konzentrieren wir uns auf die folgenden Bereiche, in denen Fehler gepatcht wurden
Proxytreiber
Sophos X-Ops hat eine schädliche Payload erkannt, die mit einer Signatur von Microsoft Windows Hardware Compatibility Publisher signiert wurde, um sich als legitim zu tarnen. Die Ergebnisse wurden Microsoft mitgeteilt und mit CVE-2024-26234 wird das betreffende Zertifikat widerrufen, sodass es nicht mehr als vertrauenswürdig angesehen wird.
Mit Insight ist es möglich, gezielt nach Payloads zu suchen, die mit der betroffenen Signatur signiert sind. Betroffene Kunden können die folgende Abfrage ausführen, um festzustellen, ob ein Prozess ausgeführt wird, der mit dem widerrufenen Zertifikat signiert ist:
SELECT issuer_name, path
FROM authenticode
WHERE
path IN (SELECT DISTINCT path FROM processes)
AND
serial_number = '3300000057ee4d659a923e7c10000000000057'
AND
subject_name = 'Microsoft Windows Hardware Compatibility Publisher'
Microsoft Defender for IoT
Microsoft Defender for IoT ist eine Sicherheitsplattform, die zum Schutz industrieller Netzwerkkomponenten wie IoT-Geräten, industriellen Steuerungssystemen und Betriebstechnologien beiträgt. In diesem Monat wurden drei kritische Sicherheitslücken bezüglich der Remotecodeausführung (Remote Code Execution – RCE) sowie drei wichtige Schwachstellen bezüglich der Erhöhung von Berechtigungen (EOP) gepatcht.
Die Schwachstellen betrafen verschiedene Komponenten des Defender for IoT-Stacks. CVE-2024-21322 ist eine RCE, die über die Portal-Webanwendung ausgenutzt wird, während bei CVE-2024-21323 ein Sensoraktualisierungspaket ausgenutzt wird. Alle Sicherheitslücken könnten komponentenunabhängig über das Netzwerk ausgenutzt werden, daher ist es möglich, sie zu entdecken und das Risiko teilweise zu mindern, indem Netzwerksegmentierung verwendet wird.
CVE-Nummer |
Auswirkung |
|---|---|
Remotecodeausführung |
|
Erhöhung von Berechtigungen |
|
Windows Routing and Remote Access Service (RRAS)
Der Windows Routing and Remote Access Service (RRAS) ist ein Windows-Service, der es dem Betriebssystem ermöglicht, sich wie ein Router zu verhalten und Standorte über VPNs oder DFÜs zu verbinden. In diesem Monat gibt es drei kritische Schwachstellen bei diesem Service, die alle mit einem CVSS-Wert von 8,8 bewertet wurden. Die Patchnotes sind nicht sehr aufschlussreich. Sie besagen lediglich, dass die RCE-Schwachstellen von einem schädlichen Server auf einem ahnungslosen Client ausgelöst wurden. Daher können einige der Risiken, die durch diese Sicherheitslücke entstehen, durch Zero Trust und Segmentierung gemindert werden.
RRAS ist nicht auf allen Windows-Servern verfügbar. Es gehört zur Rolle „Remotezugriff“ und muss speziell installiert werden. Nach unseren Untersuchungen sind bei etwa 12 % der überwachten Umgebungen Windows-Server mit der Rolle „Remotezugriff“ installiert.
Neben RRAS sind im April-Patch auch mehrere CVEs für den Remote Access Connection Manager enthalten. Die beiden Services hängen zusammen, denn der Connection Manager wird unter anderem dafür verwendet, Verbindungsprofile zum RRAS zu organisieren.
CVE-Nummer |
Komponente |
Auswirkung |
|---|---|---|
RRAS |
Remotecodeausführung |
|
Connection Manager |
Erhöhung von Berechtigungen |
|
Offenlegung von Informationen |
||
Windows-Authentifizierung
Windows-Authentifizierung ist ein ziemlich weit gefasster Begriff, da Windows eine Reihe verschiedener Authentifizierungsmethoden, Protokolle und Anbieter unterstützt. Die beiden CVEs in der Windows-Authentifizierung betreffen zwei ganz unterschiedliche Komponenten.
CVE-2024-21447 ist eine EOP-Schwachstelle im User-Manager-Service, die möglicherweise durch unzureichende Verzeichnisbeschränkungen verursacht wird. Es ist eine Backdoor für CVE-2023-36047 und wurde anscheinend ursprünglich als Teillösung implementiert.
CVE-2024-29056 scheint jedoch ein Problem bei der Implementierung der Kerberos PAC-Validierung darzustellen, wie aus dem FAQ-Abschnitt und dem dazugehörigen Artikel in der Wissensdatenbank hervorgeht. Möglicherweise hängt diese Sicherheitslücke auch mit den anderen Kerberos-CVEs zusammen.
CVE-Nummer |
Komponente |
Auswirkung |
|---|---|---|
User Manager |
Erhöhung von Berechtigungen |
|
Kerberos-PAC-Validierung |
||
Windows Kerberos |
Denial of Service |
Zuvor behandelte Services
Viele CVEs im aktuellen Patch Tuesday beziehen sich auf Systeme, die wir bereits beschrieben haben. Wenn Sie an unserer Analyse oder allgemeinen Empfehlungen zu diesen Services interessiert sind, empfehlen wir Ihnen, unsere vorherigen Einschätzungen zum Patch Tuesday zu lesen.
Service |
CVE-Nummer |
Auswirkung |
Erforderlicher Zugriff |
|---|---|---|---|
Offenlegung von Informationen |
Lokal |
||
Remotecodeausführung |
Lokal, Nutzerinteraktion erforderlich |
||
Netzwerk |
|||
Umgehung von Sicherheitsfunktionen |
Netzwerk, Nutzerinteraktion erforderlich |
Diese Zusammenfassung gibt einen Überblick über unser aktuelles Verständnis der verfügbaren Informationen und über unsere Empfehlungen. Unsere Überprüfung läuft und alle hierin enthaltenen Informationen können sich jederzeit ändern. Besuchen Sie uns auch auf X (ehemals Twitter) und erhalten Sie Echtzeit-Updates.