Sie sind an Cloud Computing interessiert? Legen Sie jetzt los

Einschätzung von Akamai zum Patch Tuesday im Dezember 2024

In diesem Monat gibt es insgesamt 71 CVEs in 32 verschiedenen Komponenten. 17 dieser CVEs sind kritisch und einer wurde bereits in der Praxis beobachtet.
In diesem Monat gibt es insgesamt 71 CVEs in 32 verschiedenen Komponenten. 17 dieser CVEs sind kritisch und einer wurde bereits in der Praxis beobachtet.

Was ist der Sinn von Adventskalendern? Wir wollen alles auf einmal, und zwar sofort. Und damit meinen wir CVEs. In diesem Monat gibt es insgesamt 71 CVEs in 32 verschiedenen Komponenten. 17 dieser CVEs sind kritisch und einer wurde bereits in der Praxis beobachtet.

In diesem Blogbeitrag bewerten wir, wie kritisch die Schwachstellen und wie alltäglich die betroffenen Anwendungen und Services sind. Daraus ergibt sich eine realistische Perspektive auf die Fehler, die behoben wurden. Diese Einblicke erscheinen innerhalb weniger Tage nach jedem Patch Tuesday.

Dies ist ein fortlaufend aktualisierter Bericht, und wir werden ihm weitere Informationen hinzufügen, während unsere Forschung voranschreitet – schauen Sie also wieder vorbei!

Diesen Monat konzentrieren wir uns auf die folgenden Bereiche, in denen Fehler gepatcht wurden:

Windows Common Log File System Driver

Das Common Log File System ist eine API in Windows, die hochleistungsfähige Protokollierungsfunktionen bietet. Für die Interaktion mit dieser Datei verwenden Entwickler und Programme die DLL-Datei Clfsw32.dll, bei der es sich um eine Komponente im Nutzermodus handelt. Hinter den Kulissen ist die Logik jedoch in einem Kernel-Treiber implementiert – clfs.sys. Die Schwachstellen, die diesen Monat gepatcht wurden, befinden sich wahrscheinlich in diesem Kernel-Treiber.

Dies ist erwähnenswert, da Angreifer diesen legitimen Treiber möglicherweise sogar auf einem gepatchten System über eine als Technik zur Eskalation von Berechtigungen verwenden können. Dies geschieht über einen Angriff der Kategorie „Bring Your Own Vulnerable Driver“ (BYOVD) .

Es gibt drei CVEs – alle für die lokale Berechtigungseskalation. Nur einer davon – CVE-2024-49138 – wurde in der Praxis beobachtet.

CVE-Nummer

Auswirkung

CVE-2024-49138

Erhöhung von Berechtigungen

CVE-2024-49090

CVE-2024-49088

Windows LDAP (Lightweight Directory Access Protocol)

Das Windows LDAP (Lightweight Directory Access Protocol) ist ein Open-Source-Protokoll, das zur Verbindung mit und Abfrage von Verzeichnisdiensten und Datenbanken entwickelt wurde. Der Domain Controller von Active Directory verfügt über eine LDAP-Serverimplementierung, damit vorhandene Programme und Server, die LDAP verwenden, den vorhandenen Domain Controller ohne einen separaten Server nutzen können.

In diesem Monat gibt es vier Sicherheitslücken im LDAP-Service, die nicht gepatchte Domain Controller betreffen. Bei zwei davon handelt es sich um RCE-Sicherheitsanfälligkeiten (Remotecodeausführung) und bei den beiden anderen um DoS-Sicherheitsanfälligkeiten (Denial of Service). Für keine der vier Schwachstellen ist eine Authentifizierung erforderlich.

CVE-Nummer

Auswirkung

CVE-2024-49112

Remotecodeausführung

CVE-2024-49127

CVE-2024-49121

Denial of Service

CVE-2024-49113

Es gibt auch eine weitere RCE-Schwachstelle – CVE-2024-49124 – die dem LDAP-Client zugeordnet ist. Die Notizen beziehen sich jedoch auf die Ausnutzung auf der Serverseite. Es ist derzeit unklar, ob es sich um den Client oder den Server handelt.

Wir können unseren Domain Controller nicht patchen und so Ausfallzeiten riskieren. Können die Sicherheitslücken anderweitig behoben werden?

Nicht wirklich. Da der Domain Controller in alle Teile der Domain integriert ist, lässt sich der Zugriff auf den Controller praktisch unmöglich einschränken, ohne dabei den normalen Netzwerkbetrieb zu beeinträchtigen. Selbst die Rückverfolgung der Schwachstellen kann schwierig sein, da sie keine Authentifizierung erfordern. Notfallteams sollten nach kurzlebigen LDAP-Sitzungen suchen, die keine Antwort vom Server erhalten. Dies könnte auf einen Exploit-Versuch hindeuten.

Stellen Sie in jedem Fall sicher, dass die Domain Controller nicht über das Internet zugänglich sind.

Windows Remote Desktop Services

Windows Remote Desktop wird für die Remotedesktopverbindung zwischen Windows-Computern über RDP (Remote Desktop Protocol) verwendet. In diesem Monat gibt es mehrere Schwachstellen in verschiedenen Komponenten von Windows Remote Desktop, daher werden wir sie alle gemeinsam besprechen.

Die wichtigsten sind natürlich die neun kritischen RCE-Schwachstellen auf dem Remote-Desktop-Server. Ein Angreifer muss „nur“ eine Verbindung zu einem RDP-Server herstellen, ihn mit fehlerhaften Paketen spammen und eine Race-Bedingung überwinden, die dann für die RCE genutzt werden kann.

Da RDP in Netzen sehr verbreitet ist und zur lateralen Netzwerkbewegung genutzt werden kann, empfehlen wir entsprechende Regeln zu erstellen. Wir haben festgestellt, dass 96 % der Netzwerke Windows-RDP-Traffic aufwiesen und dass bei 20 % der Netzwerke Teile des Traffic nicht eingeschränkt waren. Das Gute daran ist, dass sich die meisten CVEs speziell auf Server mit der „Remote Desk Gateway“-Rolle beziehen, obwohl sie als alle Windows Remote Desktop Services betreffend bezeichnet werden. Remote-Desktop-Gateways sind weniger häufig und unserer Beobachtung nach verfügten nur 36 % der Umgebungen über solche Gateways.

Durch die Beschränkung des RDP-Zugriffs auf Nutzergeräte oder nur auf vorab autorisierte Server (wie Jumpboxen) kann das Risiko dieser Schwachstellen erheblich verringert werden. Einige schnell umsetzbare Maßnahmen in Bezug auf RDP behandeln wir in unserem Blogbeitrag zur Segmentierung. Unabhängig von den Richtlinien empfehlen wir Ihnen, den Patch so bald wie möglich aufzuspielen.

Microsoft Message Queuing (MSMQ)

Der Microsoft Message Queuing-(MSMQ-)Service ist eine optionale Funktion in Windows, die verwendet wird, um anwendungsübergreifend Nachrichten zu übermitteln. Obwohl die Funktion optional ist, wird sie von vielen Unternehmensanwendungen für Windows, wie z. B. Microsoft Exchange Server, im Hintergrund genutzt. Wir konnten beobachten, dass der Service in fast 70% der Umgebungen installiert ist, in der Regel auf mehr als einem Computer.

In diesem Monat gibt es zwei kritische RCE-Sicherheitslücken im Netzwerk, mit der Angreifer Code per Remote-Zugriff ausführen können, indem sie ein speziell gestaltetes Paket an den MSMQ-Server des Opfers senden – und das ohne Authentifizierung. Es gibt außerdem eine weitere DoS-Schwachstelle.

Da der MSMQ-Service über den Port 1801 zugänglich ist, aber nicht oft von einer großen Zahl von Kunden aufgerufen wird (weil er hauptsächlich von der Unternehmensanwendung selbst genutzt wird), empfehlen wir, den willkürlichen Netzwerkzugriff auf den Port und den Service einzuschränken. Versuchen Sie, den Service mithilfe von Richtlinien für Zulassungslisten zu segmentieren, sodass der Zugriff nur auf die Geräte ermöglicht wird, die ihn tatsächlich benötigen. Um mehr zu erfahren, können Sie unseren Blogbeitrag zur Segmentierung lesen, insbesondere die Abschnitte zu Ringfencing für Anwendungen und Mikrosegmentierung .

CVE-Nummer

Auswirkung

CVE-2024-49118

Remotecodeausführung

CVE-2024-49122

CVE-2024-49096

Denial of Service

Windows Local Security Authority Subsystem Service (LSASS)

Der Local Security Authority Subsystem Service (LSASS) ist ein Kernprozess des Windows-Betriebssystems. Er wird im Nutzermodus ausgeführt, aber als geschützter Prozess. Er ist für den Zugriff und die Sicherheit verantwortlich, d. h. für die Nutzeranmeldung, die Kennwortüberprüfung und die Verwaltung von Sicherheitstokens.

Eine gängige Taktik, die von Angreifern und Red Teamern verwendet wurde, bestand darin, den Speicher des Prozesses abzulegen, um an die darin gespeicherten Nutzerpasswörter zu gelangen. Microsoft hat dem ein Ende gesetzt, indem dem Prozess immer mehr Sicherheitsmechanismen hinzugefügt wurden. Unter anderem wurde er zu einem geschützten Prozess gemacht und kürzlich wurde auch Hyper-V verwendet, um den Prozess vom normalen Nutzermodus zu isolieren. So wichtig ist der Prozess.

Als Prozess, der für Anmeldungen verantwortlich ist, befolgt er auch immer die einigen Netzwerkkomponenten, nämlich in Form von RPC-Servern. Der kritische RCE in diesem Monat – CVE-2024-49126 – dreht sich um eine der folgenden Komponenten: Eine Race-Bedingung kann es einem Remoteangreifer ermöglichen, beliebigen Code auf dem Prozess auszuführen, ohne sich authentifizieren zu müssen.

Zuvor behandelte Services

Viele CVEs im aktuellen Patch Tuesday beziehen sich auf Systeme, die wir bereits beschrieben haben. Wenn Sie an unserer Analyse oder allgemeinen Empfehlungen zu diesen Services interessiert sind, empfehlen wir Ihnen, unsere vorherigen Einschätzungen zum Patch Tuesday zu lesen.

Service

CVE-Nummer

Auswirkung

Erforderlicher Zugriff

Microsoft SharePoint

CVE-2024-49070                   

Beliebige Codeausführung

Netzwerk; Nutzer muss schädliche Datei öffnen

CVE-2024-49068                                            

Erhöhung von Berechtigungen

Netzwerk

CVE-2024-49064

Offenlegung von Informationen

CVE-2024-49062

Windows Routing and Remote Access Service (RRAS)

CVE-2024-49085

Remotecodeausführung

Netzwerk

CVE-2024-49086

CVE-2024-49089

CVE-2024-49102

CVE-2024-49104

CVE-2024-49125

Windows Hyper-V

CVE-2024-49117

Remotecodeausführung

Lokal; Gast-zu-Host

Windows Task Scheduler

CVE-2024-49072

Erhöhung von Berechtigungen

Lokal

Windows Cloud Files Mini Filter Driver

CVE-2024-49114

Erhöhung von Berechtigungen

Lokal

Diese Zusammenfassung gibt einen Überblick über unser aktuelles Verständnis der verfügbaren Informationen und über unsere Empfehlungen. Unsere Überprüfung läuft und alle hierin enthaltenen Informationen können sich jederzeit ändern. Besuchen Sie uns auch auf X (ehemals Twitter) und erhalten Sie Echtzeit-Updates.