Einschätzung von Akamai zum Patch Tuesday im August 2024
Las Vegas wird derzeit buchstäblich von Hackern überflutet, die überall Schwachstellen ausnutzen. In der Hackerszene geht es hoch her, wie dieser Patch Tuesday zeigt: Ganze sechs Schwachstellen wurden aktiv im Internet ausgenutzt. Von den 89 CVEs, die am Patch Tuesday im August 2024 bekannt gegeben wurden, wurden vier öffentlich gemacht und eine wurde auf der Black Hat präsentiert. Diesen Monat gibt es auch eine Empfehlung.
Wie jeden Monat hat sich die Akamai Security Intelligence Group auf die Suche nach den wichtigsten gepatchten Schwachstellen gemacht.
In diesem Blogbeitrag bewerten wir, wie kritisch die Schwachstellen und wie alltäglich die betroffenen Anwendungen und Services sind. Daraus ergibt sich eine realistische Perspektive auf die Fehler, die behoben wurden. Diese Einblicke erscheinen innerhalb weniger Tage nach jedem Patch Tuesday.
Dies ist ein fortlaufend aktualisierter Bericht, und wir werden ihm weitere Informationen hinzufügen, während unsere Forschung voranschreitet – schauen Sie also wieder vorbei!
Diesen Monat konzentrieren wir uns auf die folgenden Bereiche, in denen Fehler gepatcht wurden:
- fehlerhafter Speicher einer Scripting-Engine (im freien Internet ausgenutzt)
- Umgehung der „Mark of the Web“-Sicherheitsfunktion von Windows (im freien Internet ausgenutzt)
- Windows TCP/IP
- Windows Netzwerkvirtualisierung
- Windows Routing and Remote Access Service (RRAS)
- Microsoft Outlook
Schwachstellen, die im freien Internet entdeckt wurden
CVE-2024-38178 – Fehlerhafter Speicher einer Scripting-Engine (CVSS 7,5)
„Windows-Skriptsprachen“ kann sich auf mehrere Implementierungen von Skriptsprachen innerhalb von Windows beziehen, z. B. VBScript, JavaScript oder andere. Wir haben festgestellt, dass sich die Datei jscript9.dll geändert hat. Wir gehen folglich davon aus, dass sich die behobene Schwachstelle in der Komponente JScript befindet.
JScript ist die Implementierung des ECMAScript von Microsoft – der Standard, der auch hinter JavaScript steckt und von Internet Explorer verwendet wird. Chakra ist ebenfalls eine JavaScript-Engine, die von JScript abgeleitet ist und von Microsoft Edge Legacy verwendet wird (neuere Versionen von Edge basieren auf Chromium). Beide sind als DLLs implementiert, die nutzerfreundlich als jscript9.dll und chakra.dll bezeichnet werden.
Laut Empfehlung muss das Opfer auf einen Link klicken und Edge im Internet Explorer-Modus verwenden, um einen Angriff zu ermöglichen. Wir vermuten, dass diese Schwachstelle auch auf andere Weise ausgelöst werden kann, möglicherweise über Office.
CVE-2024-38213 – Windows Mark of the Web (CVSS 6,5)
Wir möchten hervorheben, dass diese Schwachstelle bereits im Juni 2024 behoben,die Empfehlung jedoch erst im August 2024 veröffentlicht wurde.
Hierbei handelt es sich um eine Schwachstelle durch Umgehung von Sicherheitsfunktionen, die die Sicherheitswarnung von SmartScreen überspringt, wenn potenziell schädliche Dateien geöffnet werden, die aus dem Internet heruntergeladen wurden. In diesem Szenario ist Windows SmartScreen dafür verantwortlich, eine Warnmeldung anzuzeigen. Um diese Schwachstelle auszunutzen, muss der Angreifer eine Datei auf eine bestimmte Weise erstellen, was dann dazu führt, dass Windows SmartScreen die Datei nicht prüft. So wird die Warnmeldung umgangen.
Dies ist nicht das erste Mal, dass derartige Schwachstellen in SmartScreen aktiv von Cyberkriminellen ausgenutzt worden sind. Auch die Patches vom November 2023 und Februar 2024 enthielten Korrekturen für Sicherheitslücken, die als aktiv ausgenutzt gemeldet wurden.
Es gab noch vier weitere Schwachstellen, die aktiv im Internet ausgenutzt wurden.
Windows TCP/IP
Der TCP/IP-Stack in Windows ist eine Kernkomponente der Netzwerkfunktionalität des Betriebssystems. Er verarbeitet den Transport von Daten über Netzwerke mithilfe der TCP/IP-Protokollsuite, die die Grundlage für die Kommunikation im Internet und den meisten lokalen Netzwerken bildet.
Im Windows-Betriebssystem ist der TCP/IP-Stack im Treiber tcpip.sys implementiert. Dieses Kernelmodul ist für die Verarbeitung von Netzwerkprotokollen verantwortlich – einschließlich TCP über Transportschichten wie IPv4 und IPv6.
CVE-2024-38063 (CVSS 9,8) ist eine kritische Schwachstelle in diesem Netzwerkstack, die es nicht authentifizierten Angreifern ermöglicht, speziell erstellte IPv6-Pakete zu senden, die wiederum zu Remotecodeausführung führen können.
Ein bemerkenswerter Blogbeitrag vom Team des Microsoft Security Response Center behandelt zuvor aufgedeckte CVEs in dieser Komponente, bei der schädliche Pakete Remotecodeausführung (Remote Code Execution, RCE) sowie DoS-Angriffe (Denial of Service) ermöglicht haben. Der CVSS-Score zeigt an, dass die Angriffskomplexität im Gegensatz zu den vorherigen Erkenntnissen gering ist (AC:L).
Laut Microsoft sind Computer mit deaktiviertem IPv6 vor dieser Schwachstelle geschützt. Wir glauben, dass diese Schwachstelle von Cyberkriminellen ausgenutzt werden könnte, weil IPV6 weit verbreitet ist, der Angriff nicht besonders komplex ist und nicht authentifizierte Angreifer darauf zugreifen können. Patchen Sie also unbedingt Ihre Computer!
Sie können die folgende OSQuery verwenden, um Netzwerkadapter zu erkennen, die aktiviert sind und eine IPv6-Adresse haben:
SELECT interface_details.connection_id, interface_addresses.address
FROM interface_details
JOIN interface_addresses ON interface_addresses.interface =
interface_details.interface
WHERE enabled=1 AND interface_addresses.address like "%::%";
Windows Netzwerkvirtualisierung
Die Windows Netzwerkvirtualisierung (WNV) ist eine Funktion innerhalb des Hyper-V-Netzwerkvirtualisierungsframeworks, mit der virtuelle Maschinen (VMs) so kommunizieren können, als befänden sie sich im selben Subnetz, selbst wenn sie sich in verschiedenen Subnetzen oder physischen Netzwerken befinden. Dies wird durch die Entkopplung virtueller Netzwerke vom physischen Netzwerk erreicht, sodass VMs zwischen physischen Hosts wechseln können, ohne dabei die Netzwerkkonfigurationen zu ändern.
WNV verwendet NVGRE (Network Virtualization Generic Routing Encapsulation) oder VXLAN (Virtual Extensible LAN), um Pakete einzukapseln, und bietet dadurch Isolierung, Skalierbarkeit und mehrmandantenfähige Unterstützung in Cloudumgebungen.
CVE-2024-38159 und CVE-2024-38160 könnten beide zu einem Gast-zu-Host-Escape führen, was wiederum in einer RCE enden könnte. Obwohl beide Schwachstellen einen CVSS-Score von 9,1 aufweisen, betreffen sie nur Windows Server 2016 und Windows 10 (1607).
Microsoft schlägt vor, die Schachstellen zu beseitigen, indem entweder die Hyper-V-Maschinen auf einer anderen virtuellen Plattform wie VMware ausgeführt werden oder die Hyper-V-basierte Virtualisierung vollständig aufgegeben wird.
Windows Routing and Remote Access Service (RRAS)
Der Windows Routing and Remote Access Service (RRAS) ist ein Windows-Service, der es dem Betriebssystem ermöglicht, sich wie ein Router zu verhalten und Standorte über VPNs oder DFÜs zu verbinden. In diesem Monat gibt es sechs Schwachstellen bei diesem Service, die alle mit einem CVSS-Score von 8,8 bewertet wurden.
Die Patchnotes sind nicht sehr aufschlussreich. Sie besagen lediglich, dass die RCE-Schwachstellen von einem schädlichen Server auf einem ahnungslosen Client ausgelöst wurden. Daher können einige der Risiken, die durch diese Sicherheitslücken entstehen, durch Zero Trust und Segmentierung gemindert werden.
Der RRAS ist nicht auf allen Windows-Servern verfügbar. Er gehört zur Rolle „Remotezugriff“ und muss speziell installiert werden. Nach unseren Beobachtungen sind bei etwa 12 % der überwachten Umgebungen Windows-Server mit der Rolle „Remotezugriff“ installiert.
Microsoft Outlook
Es scheint, dass kein Patch Tuesday ohne eine Outlook-Schwachstelle auskommt. CVE-2024-38173 ist eine RCE-Sicherheitslücke in Outlook. Obwohl der Vorschaubereich ein Angriffsvektor ist, sind für diese Schwachstelle die Anmeldedaten des Opfers nötig.
Um die Schachstelle auszulösen, wird ein schädliches Formular in Exchange hochgeladen. Wenn das Outlook des Opfers sich mit Exchange synchronisiert, lädt es das schädliche Formular herunter, was zu einer Codeausführung auf dem Computer des Opfers führen kann. Diese Schwachstelle wurde von Morphisec entdeckt und wir glauben, dass sie der Schwachstelle CVE-2024-30103ähnelt.
Zuvor behandelte Services
Viele CVEs im aktuellen Patch Tuesday beziehen sich auf Systeme, die wir bereits beschrieben haben. Wenn Sie an unserer Analyse oder allgemeinen Empfehlungen zu diesen Services interessiert sind, empfehlen wir Ihnen, unsere vorherigen Einschätzungen zum Patch Tuesday zu lesen.
Diese Zusammenfassung gibt einen Überblick über unser aktuelles Verständnis der verfügbaren Informationen und über unsere Empfehlungen. Unsere Überprüfung läuft und alle hierin enthaltenen Informationen können sich jederzeit ändern. Besuchen Sie uns auch auf X (ehemals Twitter) und erhalten Sie Echtzeit-Updates.