Einschätzung von Akamai zum Patch Tuesday im Dezember 2023
Dies ist der letzte Patch Tuesday des Jahres. Und Microsoft ist offenbar schon in den Weihnachtsferien, denn diesen Monat waren nur 33 gepatchte CVEs zu verzeichnen. Akamai hat sich jedoch noch nicht verabschiedet. Eine CVE, die von unserem Kollegen Ben Barneaentdeckt wurde, ist Teil des Patches.
Wie jeden Monat hat sich die Akamai Security Intelligence Group auf die Suche nach den wichtigsten gepatchten Schwachstellen gemacht. Von den 33 CVEs, die diesen Monat gepatcht wurden, sind vier kritisch, jedoch ermöglichen nur drei die Remote-Ausführung von Code (Remote Code Execution – RCE), wobei der höchste CVSS-Wert 9,6 beträgt. In diesem Monat wurde keine CVE als öffentlich bekannt gemeldet und keine wurde aktiv ausgenutzt.
In diesem Bericht bewerten wir, wie kritisch die Schwachstellen und wie alltäglich die betroffenen Anwendungen und Services sind. Daraus ergibt sich eine realistische Perspektive auf die Fehler, die behoben wurden. Diese Einblicke erscheinen innerhalb wenige Tage nach jedem Patch Tuesday.
Dies ist ein aktualisierter Bericht, und wir werden ihm weitere Informationen hinzufügen, während unsere Forschung voranschreitet – schauen Sie also wieder vorbei!
Diesen Monat konzentrieren wir uns auf die folgenden Bereiche, in denen Fehler gepatcht wurden:
Windows MSHTML-Plattform
Dies ist eine RCE-Schwachstelle in der MSHTML-Komponente, die von Akamai-Forscher Ben Barnea entdeckt wurde.
MSHTML ist ein Webseiten-Renderer für das Windows-Betriebssystem. Er bietet eine COM-Schnittstelle (Component Object Model), über die Programme Web-Rendering-Funktionen hinzufügen können. Er wird von Internet Explorer, dem Internet-Explorer-Modus von Microsoft Edge, Microsoft Outlook und verschiedenen anderen Programmen verwendet.
Wie in den Empfehlungen von Microsoft erwähnt, kann diese Schwachstelle gegen Outlook Clients eingesetzt und ausgelöst werden, bevor die E-Mail angezeigt wird. Die Schwachstelle ist leicht auslösbar und erzeugt Sicherheitslücken in Bezug auf fehlerhafte Speicher, die Ausnutzung ist jedoch komplex.
In den kommenden Wochen werden wir weitere technische Details, einschließlich Informationen zu einem zusätzlichen Vektor (neben E-Mails), der diese Schwachstelle auslöst, bekannt geben.
Microsoft Edge (Chromium-basiert)
Microsoft Edge ist ein proprietärer plattformübergreifender Webbrowser. Obwohl dieser ursprünglich mit proprietären Tools entwickelt wurde, portierte Microsoft den Browser 2020 vollständig, um Googles Open-Source-Projekt Chromium zu nutzen.
Diesen Monat gibt es drei CVEs in Verbindung mit Microsoft Edge – zwei Schwachstellen bezüglich der Offenlegung von Informationen mit niedrigem Schweregrad, CVE-2023-38174 und CVE-2023-36880sowie eine Schwachstelle bezüglich der Erhöhung von Berechtigungen (EOP) mit mittlerem Schweregrad, CVE-2023-35618. Alle diese Schwachstellen haben gemeinsam, dass der Angreifer den Nutzer dazu bringen muss, eine Website zu besuchen oder einen Link zu öffnen, um so zum Opfer eines Phishing-Angriffs zu werden.
Obwohl die EOP-Schwachstelle lediglich mit mittlerem Schweregrad eingestuft wird, ist ihr CVSS-Wert mit 9,6 sehr hoch. Der Grund für diese Diskrepanz ist die Komplexität, die erforderlich ist, um die Schwachstelle auszulösen. Laut Microsoft muss der Angreifer zur Auslösung der Schwachstelle den Nutzer dazu verleiten, eine Webseite oder einen Server zu öffnen, die speziell gestaltete Inhalte hostet, und ihn dann dazu bringen, eine eigens erstellte Datei zu öffnen. Aufgrund dieses mehrstufigen Prozesses wurde der Schweregrad gemäß den Richtlinien für das Bounty Programmvon Microsoft heruntergestuft.
Microsoft Edge wird standardmäßig mit dem Betriebssystem Windows geliefert. Nach unseren Beobachtungen ist es der am häufigsten verwendete Browser in Unternehmensnetzwerken – 52 % der Computer, auf denen ein Browser ausgeführt wird, verwenden Edge.
Microsoft Power Platform Connector
Microsoft Power Platform ist eine Reihe von Tools und Produkten, die bei der Entwicklung von Business Intelligence und Anwendungen unterstützen. Ein Connector ist ein Proxy oder ein API-Wrapper, der die Kommunikation zwischen Power Platform-Produkten und zugrunde liegenden Diensten ermöglicht.
Diesen Monat gibt es lediglich eine kritische CVE, CVE-2023-36019, mit einem Basiswert von 9,6. Die CVE ermöglicht Angreifern, Links, Anwendungen oder Dateien zu manipulieren, um Nutzer glauben zu machen, dass sie mit einer legitimen Anwendung interagieren. Da in den Patch-Hinweisen nutzerdefinierte Konnektoren erwähnt werden (Konnektoren, die Sie selbst erstellen, wenn keine Optionen von Microsoft verfügbar sind), gehen wir davon aus, dass die Schwachstelle dort auftritt. In den Patch-Hinweisen wird auch erwähnt, dass nutzerdefinierte Konnektoren aktualisiert werden müssen, um eine Weiterleitungs-URI pro Konnektor zu erhalten.
Wir vertreten die Hypothese, dass Konnektoren ihre Weiterleitungs-URIs freigeben konnten, wodurch Angreifer Konnektoren oder Ziele fälschen konnten, um Nutzer dazu zu bringen, sich mit dem falschen Ort zu verbinden.
Microsoft hat angegeben, dass betroffene Kunden über das Microsoft 365 Admin Center oder über Service Health im Azure Portal kontaktiert wurden.
Internetverbindungsfreigabe (Internet Connection Sharing, ICS)
Internetverbindungsfreigabe (Internet Connection Sharing, ICS) ist ein Windows-Service, der es einem mit dem Internet verbundenen Computer ermöglicht, seine Internetverbindung mit anderen Computern im lokalen Netzwerk zu teilen. Der Computer, auf dem der ICS-Service ausgeführt wird, stellt DHCP- und NAT-Services (Dynamic Host Configuration Protocol und Network Address Translation) für angrenzende Computer bereit, die den Service verwenden.
Diesen Monat gibt es drei CVEs, zwei kritische RCE-Schwachstellen mit einem CVSS-Wert von 8,8 und eine weitere Denial-of-Service-Schwachstelle (CVE-2023-35642) mit einem CVSS-Wert von 6,5 und dem Schweregrad „wichtig“.
Beide kritischen Schwachstellen treten im DHCP-Teil des ICS-Service auf. CVE-2023-35641 erfordert, dass der Angreifer ein speziell erstelltes DHCP-Paket sendet, um die Remote-Ausführung von Code (RCE) zu bewirken.
CVE-2023-35630 erfordert, dass der Angreifer ein Optionslängenfeld in einer DHCPv6-Eingabenachricht ändert – DHCPV6_MESSAGE_INFORMATION_REQUEST. Beide Schwachstellen ermöglichen es Angreifern, die Ausführung von Remote-Code auf dem ICS-Service-Computer zu erreichen.
ICS ist standardmäßig auf modernen Windows-Installationen (Workstations und Server) verfügbar und wird normalerweise als „Trigger-Start“ festgelegt, d. h. er würde nach einer RPC-Verbindung mit der IP NAT Helper RPC-Serverschnittstelle gestartet.
Sie können die folgende Abfrage in der Insight-Funktion von Akamai Guardicore Segmentation verwenden, um nach dem ICS-Service und dessen Status zu suchen:
SELECT status, start_type FROM services WHERE name='SharedAccess'
Wir haben festgestellt, dass bei 27 % der Umgebungen ein ICS-Service auf einigen der Geräte ausgeführt wurde. In der Regel wurde der ICS-Service bei weniger als 1 % der Geräte in einem einzigen Netzwerk ausgeführt.
Zuvor behandelte Services
Viele CVEs im aktuellen Patch Tuesday beziehen sich auf Systeme, die wir bereits beschrieben haben. Wenn Sie an unserer Analyse oder allgemeinen Empfehlungen zu diesen Services interessiert sind, empfehlen wir Ihnen, unsere vorherigen Einschätzungen zum Patch Tuesday zu lesen.
Service |
CVE-Nummer |
Auswirkung |
Erforderlicher Zugriff |
|---|---|---|---|
Denial of Service |
Netzwerk |
||
Denial of Service |
Netzwerk |
||
Offenlegung von Informationen |
|||
Remotecodeausführung |
Netzwerk |
||
Diese Zusammenfassung gibt einen Überblick über unser aktuelles Verständnis der verfügbaren Informationen und über unsere Empfehlungen. Unsere Überprüfung läuft und alle hierin enthaltenen Informationen können sich jederzeit ändern. Besuchen Sie uns auch auf X (ehemals Twitter) und erhalten Sie Echtzeit-Updates.
