Einschätzung von Akamai zum Patch Tuesday im Februar 2023
Ein großer Strauß Patches zum Valentinstag: Microsoft stellt etwa 80 gepatchte CVEs bereit, von denen neun als kritisch und fünf mit einem hohen CVSS-Wert von 9,8 eingestuft wurden. Drei der gepatchten CVEs sollen bereits aktiv ausgenutzt worden sein, sodass es sich um gepatchte Zero-Day-Angriffe handelt.
Wie jeden Monat hat sich die Akamai Security Intelligence Group auf die Suche nach den wichtigsten gepatchten Schwachstellen gemacht.
Hinweis: Es gibt ein Problem mit dem aktuellen Patch bei Windows Server 2022 VMs, auf denen Secure Boot unter VMware ESXi Version 7.0.x und niedriger ausgeführt wird. Diese werden möglicherweise nicht gestartet, nachdem KB5022842 installiert wurde.
In diesem Bericht bewerten wir, wie kritisch die Schwachstellen und wie alltäglich die betroffenen Anwendungen und Services sind, und bieten realistische Perspektive auf die Fehler, die behoben wurden. Diese Einblicke erscheinen innerhalb weniger Tage nach jedem Patch Tuesday.
Dies ist ein aktualisierter Bericht, und wir werden ihm weitere Informationen hinzufügen, während unsere Forschung voranschreitet – schauen Sie also wieder vorbei!
In diesem Bericht konzentrieren wir uns auf die folgenden Bereiche, in denen Fehler gepatcht wurden:
Schwachstellen, die aktiv ausgenutzt werden
CVE-2023-21823
Los geht es mit der Schwachstelle in der Windows-Grafikkomponente, die zum Ausführen von Code aus der Ferne (Remote Code Execution, RCE) ausgenutzt werden kann. Die Schwachstelle bezieht sich zwar auf Remote-Angriffe, der Angriffsvektor wird jedoch als lokal angegeben. Deshalb ist davon auszugehen, dass es sich eher um eine Schwachstelle in Hinblick auf eine beliebigen Codeausführung (Arbitrary Code Execution, ACE) handelt, bei der der Nutzer dazu gebracht wird, mit einer heruntergeladenen Datei zu interagieren.
Interessant ist, dass diese CVE auch Microsoft Office-, iOS- und Android-Versionen betrifft. Daher wird das Update nicht nur über Windows Update, sondern auch über den Microsoft Store, Google Play und den App Store bereitgestellt. Wenn Sie automatische Updates in einem der Stores deaktiviert haben, denken Sie daran, die Updates auf Ihren Geräten auszuführen.
CVE-2023-21715
Hierbei handelt es sich um eine Schwachstelle durch eine Sicherheitsumgehung in Microsoft Publisher. Genauer gesagt geht es um „Mark-of-the-Web“ (MOTW). Normalerweise werden aus dem Internet heruntergeladene Dateien intern markiert, sodass diese (oder die darin enthaltenen Makros) durch das Betriebssystem und Programme mit größerer Vorsicht behandelt und nicht automatisch ausgeführt werden. Allerdings konnte Microsoft Publisher MOTW bisher nicht verarbeiten, sodass die Makroausführung in Dateien ermöglicht wurde, die aus dem Internet heruntergeladen wurden. Dieses Problem wurde mit dieser CVE behoben. Der Sicherheitsexperte Haifei Li hat dazu eine detailliertere Analyse auf Twitter veröffentlicht.
CVE-2023-23376
Durch diese Schwachstelle im Windows Common Log File System-Treiber können Angreifer ihre Berechtigungen erhöhen und SYSTEM-Rechte erlangen. Derzeit sind keine weiteren Details bekannt.
Microsoft Protected Extensible Authentication Protocol
Das Protected Extensible Authentication Protocol (PEAP) schließt das Extensible Authentication Protocol (EAP) bei einer TLS-Sitzung ein. EAP dient zur Authentifizierung von Geräten und Verbindungen zu Netzwerken und wird auch bei der WLAN-Netzwerkauthentifizierung verwendet.
Windows-Server können optional mit dem Network Policy Server (NPS) konfiguriert werden, der Anfragen für Netzwerkzugriffe über EAP und PEAP überprüft und zulässt. Der NPS ist nicht standardmäßig aktiviert und muss manuell installiert und konfiguriert werden. Unseren Beobachtungen zufolge verfügten nur 21 % der Netzwerke über NPS-Server.
Da der NPS im Netzwerk eine zentrale Rolle spielen und auch Authentifizierungsanfragen verarbeiten soll, kann es problematisch sein, Segmentierungsrichtlinien auf ihn anzuwenden. Microsoft schlägt stattdessen als mögliche Abwehrmaßnahme vor, PEAP bei Protokollverhandlungen nicht zuzulassen und zwei Quellen bei der Umsetzung bereitzustellen.
Diesen Monat gibt es insgesamt sechs CVEs. Davon wurden drei als kritisch eingestuft (jeweils RCE mit einem Wert von 9,8) und drei als wichtig (RCE, DoS und Offenlegung von Informationen mit einem Wert von 7,5).
CVE-Nummer |
Schweregrad |
Basiswert |
Auswirkung |
|---|---|---|---|
Kritisch |
9,8 |
Remotecodeausführung |
|
Wichtig |
7,5 |
||
Denial of Service |
|||
Offenlegung von Informationen |
Windows iSCSI
iSCSI ist ein Protokoll, das für die Verbindung mit SCSI-Speichergeräten verwendet wird. In Windows erfolgt die Umsetzung des Verfahrens über den iSCSI Initiator -Prozess und den Microsoft iSCSI Initiator Service. Der Prozess und der Service werden nicht standardmäßig ausgeführt – beide müssen manuell ausgeführt und konfiguriert werden. Aus unseren Beobachtungen geht hervor, dass nur 3 % der Netzwerke auf Geräten mit Windows iSCSI ausgeführt werden.
Diesen Monat gibt es eine kritische RCE -Schwachstelle und drei DoS-CVEs. Auch wenn dies nicht ausdrücklich erwähnt wird, gehen wir davon aus, dass sich die CVEs auf den Microsoft iSCSI Initiator Service beziehen. Zudem ist angegeben, dass nur 32-Bit-Computer für die RCE anfällig sind.
F: Über meine Computer werden gerade Valentinstagskarten mit niedlichen Tieren verschickt, sodass keine Patches installiert und keine Neustarts ausgeführt werden können. Kann ich in der Zwischenzeit trotzdem etwas tun, um die Computer zu schützen?
Glücklicherweise wird der iSCSI-Service nicht standardmäßig ausgeführt. Daher sollte es möglich sein, Geräte zuzuordnen, auf denen der Service ausgeführt wird, und Segmentierungsrichtlinien für diese zu erstellen. Es sollte nicht allzu viele eingehende Verbindungen zum iSCSI-Service geben, sodass durch Mikrosegmentierung der Zugriff auf den Service von außerhalb des Computers beschränkt werden kann. Dadurch gewinnen Sie etwas Zeit, um den Computer für die Anwendung der Patches freizugeben.
Um Geräte zuzuordnen, die iSCSI ausführen, können Sie nach Verbindungen über die TCP-Ports 860 und 3260 (die Standard-iSCSI-Ports) suchen. Es ist auch möglich, nach dem Service selbst zu suchen – Microsoft iSCSI Initiator Service.
Dazu kann diese OSQuery-Abfrage genutzt werden:
select pid from services where display_name = "Microsoft iSCSI Initiator Service" and status="RUNNING";
Laut FAQ zu RCE-Sicherheitslücken ist dies darüber hinaus durch Senden einer DHCP-Anfrage an den iSCSI-Service möglich. Wenn Sie über Netzwerktransparenz verfügen, können Sie überprüfen, ob Ihre iSCSI-Geräte DHCP normal empfangen (UDP-Ports 67, 68). Falls nicht (bzw. nur im begrenzten Umfang), lässt sich auch darauf eine Segmentierung anwenden. Dies sollte vor dem Patching zusätzlich zur Abwehr von Angriffen beitragen.
Microsoft SQL-Server
In diesem Monat gibt es drei RCE-CVEs im Hinblick auf den SQL-Server von Microsoft. Zwei davon (mit einem CVSS-Basiswert von 8,8) beziehen sich auf die optionale Funktion SQL Data Quality Services (DQS). Die dritte CVE weist einen CVSS-Wert von 7,8 auf. Aus unseren Beobachtungen geht hervor, dass in 60 % der Netzwerke MSSQL-Server und in 40 % DQS installiert sind.
SQL-Server enthalten in der Regel vertrauliche Informationen und sollten daher segmentiert und mit Zugriffsbeschränkungen versehen werden, um Datendiebstahl zu verhindern. Wenn Sie bisher noch keine entsprechenden Strategien umsetzen, ist dies eine gute Gelegenheit, dies nachzuholen. Ordnen Sie Ihre vorhandenen MSSQL-Server zu (durch eine Suche nach dem MSSQL-Service oder nach Verbindungen über die Ports 1433, 1434). Erstellen Sie nach der Zuordnung vorhandener Server Segmentierungsrichtlinien auf der Grundlage des vorhandenen Daten-Traffic und anderer Segmente, die Zugriff haben sollen (z. B. IT für alle oder Finanzabteilung für Finanzabteilung usw.). Dies ist auch eine gute Gelegenheit, um zu prüfen, wer unbefugt auf Datenbanken zugreift.
In diesem Monat gibt es sieben weitere CVEs, die sich auf SQL in OLE und ODBC beziehen. Wir haben diese bereits in früheren Ankündigungen behandelt, und unsere Empfehlungen haben sich nicht geändert (und auch die CVEs scheinen ähnlich zu sein). Weitere Informationen finden Sie unter Zuvor behandelte Services.
Microsoft PostScript-Druckertreiber
PostScript ist eine Programmiersprache, die für Beschreibungen eines Seitenlayouts verwendet wird. Sie wird von vielen Druckern unterstützt (insbesondere von hochwertigen Druckern für den Büro-/Geschäftsgebrauch, weniger von Modellen für den privaten Gebrauch).
Der PostScript-Druckertreiber ist die Systemkomponente in Windows (pscript5.dll), mit der Drucker mit PostScript angesteuert werden. Unseren Beobachtungen zufolge verfügten etwa 30 % der Netzwerke über Computer mit dem PostScript-Druckertreiber.
Da bekannt ist, dass viele Angreifer Drucker als Einfallstor nutzen, sollten Sie das Drucken von Valentinstagskarten kurz unterbrechen, um Ihre Druckerserver zu patchen oder anderweitig zu schützen.
CVE-Nummer |
Angriffsvektor |
Abwehr |
|---|---|---|
Ein authentifizierter Angreifer kann eine speziell entwickelte Datei an einen freigegebenen Drucker senden. Dies führt zu einer RCE auf dem gemeinsam verwendeten Server. |
Beschränken Sie freigegebene Drucker, oder führen Sie eine Segmentierung auf den freigegebenen Servern für Drucker durch, um den unberechtigten Zugriff auf diese zu beschränken. Da der Angreifer authentifiziert werden muss, können auch Nutzerzugriffskontrollen oder -prüfungen Warnungen bei ungewöhnlichem Verhalten ausgeben. |
|
Der Angriffsvektor wird als lokal und als ACE aufgeführt. Dies bedeutet in der Regel, dass ein Nutzer eine Datei aus dem Internet öffnet, was zur Ausführung eines Codes führt. In diesem Fall könnte dies der Druck eines schädlichen, speziell entwickelten Dokuments sein. |
Um das Risiko zu mindern, bieten sich Kontrollen von heruntergeladenen Dateien oder E-Mail-Dateiscanner an. Zudem scheint diese CVE eher auf Desktop-/Nutzergeräte zuzutreffen. Diese sind in der Regel einfacher zu patchen als kritische Server. |
|
Laut FAQ wird der dynamische Speicher offengelegt, wenn ein Nutzer auf einen von einem Angriff betroffenen Drucker zugreift. |
Da Ihre Drucker üblicherweise bekannt sein sollten, sollte es möglich sein, Segmentierungsregeln hinzuzufügen, um den Zugriff auf „neue“ Drucker zu verhindern und dieses Risiko zu mindern. |
Microsoft Word
Es wurde eine kritische RCE-CVE (mit einem CVSS-Wert von 9,8) für Microsoft Word bekanntgegeben, die sich auf RTF-Dateien bezieht. (Wer mag keine roten, dornigen Blumen am Valentinstag?)
In diesem Fall können speziell gestaltete RTF-Dateien die Ausführung von Befehlen auslösen, wenn Word diese öffnet. Dies betrifft auch den Vorschaubereich und SharePoint. Glücklicherweise hat Microsoft zwei mögliche Abhilfemaßnahmen bereitgestellt:
Zuvor behandelte Services
Viele CVEs im aktuellen Patch Tuesday beziehen sich auf Systeme, die wir bereits beschrieben haben. Wenn Sie an unserer Analyse oder allgemeinen Empfehlungen zu diesen Services interessiert sind, empfehlen wir Ihnen, unsere vorherigen Beiträge zu lesen.
Service |
CVE-Nummer |
Auswirkung |
Erforderlicher Zugriff |
|---|---|---|---|
Remotecodeausführung |
Netzwerkzugriff über einen authentifizierten Nutzer mit Berechtigungen zum Verwalten von Listen |
||
Remotecodeausführung |
Das Opfer muss über OLEDB eine Verbindung zu einem schädlichen SQL-Server herstellen. |
||
Remotecodeausführung |
Das Opfer muss eine Verbindung zu einem schädlichen SQL-Server über ODBC herstellen. |
||
Remotecodeausführung |
Netzwerk; erfordert Authentifizierung |
||
Netzwerk; erfordert, dass der Angreifer als Administrator authentifiziert wird |
|||
Spoofing |
Netzwerkzugriff und -Authentifizierung. Der Nutzer muss zudem auf den schädlichen Link klicken. |
||
Diese Zusammenfassung gibt einen Überblick über unser aktuelles Verständnis der verfügbaren Informationen und über unsere Empfehlungen. Unsere Überprüfung läuft und alle hierin enthaltenen Informationen können sich jederzeit ändern.