Einschätzung von Akamai zum Patch Tuesday im August 2023

Von einem Akamai-Forscher gemeldete Sicherheitslücke

CVE-2023-35384 – Windows HTML-Plattformen (CVSS 5.4)

Trotz des niedrigen Schweregrads, der dieser Schwachstelle zugewiesen wurde, sind ihr Hintergrund und die damit verbundenen Folgen durchaus interessant. Ben Barnea hat diese Schwachstelle bei seiner Analyse zum Patch Tuesday für Mai entdeckt und sie wurde diesen Monat behoben.

Zunächst hat Microsoft CVE-2023-2339‏7 gepatcht. Dabei handelte es sich um eine Schwachstelle, die aufgrund einer kritischen Erhöhung von Berechtigungen (Elevation of Privilege – EoP) in Outlook entstand und im freien Internet ausgenutzt wurde. Diese Schwachstelle ermöglichte es Angreifern, dem Opfer eine E-Mail zu senden, eine SMB-Verbindung zum eigenen, durch die Angreifer gesteuerten Server herzustellen und infolgedessen NTLM-Anmeldedaten abzufangen (und möglicherweise zu entschlüsseln oder weiterzugeben). Es handelte sich um eine Null-Klick-Schwachstelle, die von jedem beliebigen Ort im Internet aus durch nicht authentifizierte Angreifer ausgenutzt werden konnte.

Als Problembehebung für CVE-2023-2339‏7 wurde ein Prüfmechanismus hinzugefügt, mit dem Pfade als lokal, Intranet, Internet usw. klassifiziert wurden. Dieser Prüfmechanismus konnte jedoch durch Angabe eines speziell gestalteten Pfads umgangen werden, wie in einem vorherigen Blogbeitragerläutert und demonstriert.

Mit der in diesem Monat vorgestellten CVE-2023-35384 kann die Problembehebung von Microsoft weiter umgangen werden. Das alles hört sich verwirrend an? Lassen Sie uns die Dinge ordnen:

Wir planen, Details zu CVE-2023-35384 bekanntzugeben und die Ausnutzung der Schwachstelle in überraschender Weise zu veranschaulichen. Achten Sie daher auf die Veröffentlichung.

Im freien Internet ausgenutzte Schwachstelle

CVE-2023-38180 – .NET Core und Visual Studio (CVSS 7.5)

Dies ist eine DoS-Schwachstelle, es wurden jedoch keine Anmerkungen, FAQs oder Bestätigungen zusammen mit dieser CVE veröffentlicht. Daher ist es fast unmöglich, über deren Ursache zu spekulieren. Da es sich bei dem Angriffsvektor jedoch um ein Netzwerk handelt, gibt es einige Hinweise. Haftungsausschluss: Der folgende Absatz ist rein spekulativ.

Laut den Ergebnissen unserer Tests auf lokal installierten Instanzen von Visual Studio scheint diese CVE nicht auf eingehende Verbindungen zu reagieren (obwohl beim Prozess ausgehende Verbindungen beobachtet werden konnten). Daher wird der Angriffsvektor wahrscheinlich nicht dadurch erreicht, dass Angreifer direkt über das Netzwerk auf den Prozess zugreifen, sondern indem sie eine schädliche Datei an das Opfer senden, die dann einen Absturz der Instanz von Visual Studio und .NET Core verursacht.

Microsoft Message Queuing

In diesem Monat wurden 11 Schwachstellen des Microsoft Message Queuing Service (MSMQ) gepatcht. Drei kritische Schwachstellen bezüglich der Remotecodeausführung (Remote Code Execution – RCE) von 9,8, sechs DoS-Schwachstellen (Denial of Service) und zwei Schwachstellen bei der Offenlegung von Informationen. 

Der MSMQ-Service ist eine optionale Funktion in Windows, die verwendet wird, um Nachrichten über verschiedene Anwendungen hinweg zu übermitteln. Obwohl die Funktion optional ist, wird sie von vielen Unternehmensanwendungen für Windows, wie z. B. Microsoft Exchange Server, im Hintergrund genutzt. Wir konnten beobachten, dass der Service in fast 69 % der Umgebungen installiert ist, in der Regel auf mehr als einem Computer.

Da der MSMQ-Service über den Port 1801 zugänglich ist, aber nicht von einer großen Zahl von Kunden aufgerufen werden sollte (da er hauptsächlich von der Unternehmensanwendung selbst genutzt wird), empfehlen wir, den willkürlichen Netzwerkzugriff auf den Port und den Service einzuschränken. Versuchen Sie, ihn mithilfe von Richtlinien für Zulassungslisten zu segmentieren, sodass der Zugriff nur auf die Computer ermöglicht wird, die ihn tatsächlich benötigen. Hilfe zur Segmentierung finden Sie in unserem Blogbeitrag (Mikro-)Segmentierung aus praktischer Sicht (insbesondere in den Abschnitten Ringfencing für Anwendungen und Mikrosegmentierung ).

Microsoft Exchange Server

Diesen Monat gab es sechs CVEs im Microsoft Exchange-Server – vier von ihnen ermöglichen die Remotecodeausführung auf dem Remoteserver, bei den anderen beiden handelt es sich um EoP- bzw. Spoofing-Schwachstellen. Wir konnten feststellen, dass etwa 28 % der Umgebungen über lokal installierte Microsoft Exchange-Server verfügen.

Die EoP-CVE, CVE-2023-21709, ist in der Tat die CVE mit dem höchsten CVSS-Score (9,8), obwohl sie als „Wichtig“ und nicht als „Kritisch“ eingestuft wurde. Laut Microsoft könnte die Schwachstelle es Angreifern ermöglichen, das Passwort eines Exchange-Nutzers per Brute-Force-Angriff zu erlangen und sich mit dessen Anmeldedaten anzumelden. Der Schweregrad „Wichtig“ ist darauf zurückzuführen, dass Brute-Force-Angriffe bei Nutzern mit komplexen Passwörtern eigentlich nicht funktionieren sollten. 

Für diese CVE reicht ein einfaches Patching nicht aus. Microsoft stellt ein weiteres Skript – CVE-2023-21709.ps1– zur Verfügung, das Administratoren nach der Installation des Patches ausführen müssen. Alternativ funktioniert der folgende Befehl:

Microsoft erwähnt auch, dass anstelle von Patching das Ausführen des Skripts (oder des obigen Befehls) die Schwachstelle beheben kann, aber genau wie wir empfiehlt Microsoft dringend, das Patching so schnell wie möglich durchzuführen.

Zuvor behandelte Services

Viele CVEs im aktuellen Patch Tuesday beziehen sich auf Systeme, die wir bereits beschrieben haben. Wenn Sie an unserer Analyse oder allgemeinen Empfehlungen zu diesen Services interessiert sind, empfehlen wir Ihnen, unsere vorherigen Einschätzungen zum Patch Tuesday zu lesen.