Einschätzung von Akamai zum Patch Tuesday im Februar 2024
Ein Strauß Rosen ist ein schönes Geschenk – aber in unserer Arbeit ist ein Patch praktischer. Wie jeden Monat hat sich die Akamai Security Intelligence Group auf die Suche nach den wichtigsten gepatchten Schwachstellen gemacht. Von den 73 CVEs in diesem Monat sind 5 kritisch und zwei weitere CVEs wurden in der Praxis bereits ausgenutzt: CVE-2024-21351 in Windows SmartScreen und CVE-2024-21412 in Internetverknüpfungsdateien. Bei beiden handelt es sich um Schwachstellen durch Umgehung von Sicherheitsfunktionen, die es Angreifern ermöglichen, Sicherheitsprüfungen zu umgehen, die Nutzer vor dem Zugriff auf potenziell schädliche Dateien warnen.
In diesem Blogbeitrag bewerten wir, wie kritisch die Schwachstellen und wie alltäglich die betroffenen Anwendungen und Services sind. Daraus ergibt sich eine realistische Perspektive auf die Fehler, die behoben wurden. Diese Einblicke erscheinen innerhalb weniger Tage nach jedem Patch Tuesday.
Dies ist ein fortlaufend aktualisierter Bericht, und wir werden ihm weitere Informationen hinzufügen, während unsere Forschung voranschreitet – schauen Sie also wieder vorbei!
Diesen Monat konzentrieren wir uns auf die folgenden Bereiche, in denen Fehler gepatcht wurden:
Schwachstellen, die aktiv ausgenutzt werden
CVE-2024-21351 – Windows SmartScreen (CVSS 7,6)
Hierbei handelt es sich um eine Schwachstelle durch Umgehung von Sicherheitsfunktionen, die die Sicherheitswarnung von SmartScreen überspringt, wenn potenziell schädliche Dateien geöffnet werden, die aus dem Internet heruntergeladen wurden. In diesem Szenario ist Windows SmartScreen dafür verantwortlich, eine Warnmeldung anzuzeigen. Um diese Schwachstelle auszunutzen, muss der Angreifer eine Datei auf eine bestimmte Weise erstellen, was dann dazu führt, dass Windows SmartScreen die Datei nicht prüft. So wird die Warnmeldung umgangen. Den CVE-Hinweisen zufolge ist es auch möglich, über diese Schwachstelle Code in den SmartScreen-Prozess einzuschleusen.
Dies ist nicht das erste Mal, dass derartige Schwachstellen in SmartScreen aktiv von Cyberkriminellen ausgenutzt worden sind. Im Patch vom November 2023 war auch eine Reparatur für eine Schwachstelle durch Umgehung von Sicherheitsfunktionen enthalten, von der gemeldet wurde, dass sie aktiv ausgenutzt wurde.
CVE-2024-21412 – Internetverknüpfungsdateien (CVSS 8,1)
Internetverknüpfungsdateien sind .url-Dateien, die auf Internetadressen verweisen. Die Schwachstelle umgeht einige Sicherheitsprüfungen, die beim Doppelklicken auf diese Dateien durchgeführt werden sollten, ähnlich wie die oben erwähnte SmartScreen CVE (tatsächlich war die CVE in SmartScreen von November 2023 speziell für Internetverknüpfungsdateien gedacht, und diese CVE ergab sich ebenfalls aus diesem Patch). Um die Schwachstelle auszunutzen, müssen die Verknüpfungsdateien auf spezifische Weise gestaltet sein und das Opfer muss sie anklicken. Sie war Teil einer Kampagne von Water Hydra. Weitere Informationen dazu finden Sie in Peter Girnus Beitrag auf der Plattform X (ehemals Twitter) oder im Blog von Trend Micro zu beobachten und zu verhindern.
Windows Exchange Server und Microsoft Outlook
Obwohl Exchange Server und Outlook zwei getrennte Produkte sind, besteht zwischen ihnen doch ein so enger Zusammenhang (Exchange Server ist der E-Mail-Server und Outlook der E-Mail-Client), dass wir beschlossen haben, sie gemeinsam zu behandeln. In Outlook wurden drei CVEs gepatcht, eines davon war kritisch und in Exchange Server gab es eine weitere kritische CVE.
CVE-2024-21413 ist eine kritische Schwachstelle für Remotecodeausführung in Outlook, die es Angreifern (laut Microsoft-Hinweisen) ermöglicht, die geschützte Ansicht von Office zu umgehen und Dokumente im Bearbeitungsmodus statt im schreibgeschützten Modus zu öffnen. So könnten Angreifen Sicherheitsmechanismen umgehen und Anmeldedaten stehlen, die sie dann zur Remoteausführung von Code verwenden könnten. Diese Schwachstelle wurde von Haifei Li von Check Point Research gefunden. In diesem Blogbeitrag finden Sie auch weitere Informationen über die Schwachstelle.
CVE-2024-21410 ist eine weitere kritische Schwachstelle für Remotecodeausführung, diesmal jedoch im Windows Exchange Server. Um diese Schwachstellen auszunutzen, muss der Angreifer eine Art Man-in-the-Middle-Channel einrichten, um Anmeldedaten an den Exchange Server weiterzuleiten und sich als das Opfer zu authentifizieren. Die Angreifer könnten dann im Namen des Opfers berechtigte Aktionen durchführen. Microsoft empfiehlt die Aktivierung von erweitertem Schutz zur Authentifizierung und Patching, um das Risiko zu mindern. In unseren überwachten Umgebungen haben wir erlebt, dass 27 % der Unternehmensnetzwerke über einen Exchange-Server vor Ort verfügen.
CVE-Nummer |
Komponente |
Auswirkung |
Erforderlicher Zugriff |
|---|---|---|---|
Windows Exchange Server |
Erhöhung von Berechtigungen |
Netzwerk |
|
Microsoft Outlook |
Remotecodeausführung |
||
Erhöhung von Berechtigungen |
Lokal |
Windows OLE und ODBC
Windows OLE und ODBC sind beide API‑Spezifikationen, die entwickelt wurden, um die Verbindung zwischen einem Datenkonsumenten und einer Datenquelle zu abstrahieren. Während ODBC älter und prozedural ist, ist OLE neuer, wird mithilfe des Component Object Model (COM) implementiert und unterstützt auch nicht relationale Datenbanken.
In diesem Monat wurden 18 CVEs gepatcht. 16 davon betrafen OLE und 2 ODBC. Alle CVEs sind für Angriffe auf den Datenbankclient durch die Remoteausführung von Code bestimmt. Angreifer müssen ihre Opfer dazu bringen, sich mit einer schädlichen Datenbank zu verbinden, die die Angreifer kontrollieren. Von dort aus können sie speziell gestaltete Pakete senden, um die Remoteausführung von Code auf dem Client des Opfers auszulösen. Fast alle CVEs haben einen CVSS-Wert von 8,8.
Mögliche Abwehrmechanismen
Die Auswirkungen aller Schwachstellen lassen sich durch Segmentierung reduzieren. Erstellen Sie eine Allowlist von bekannten SQL-Servern in der Organisation, die sicherstellt, dass keine Verbindungen zu externen, unbekannten Servern hergestellt werden, wodurch die oben beschriebene Angriffskette verhindert wird.
CVE-Nummer |
Komponente |
|---|---|
Microsoft WDAC ODBC-Treiber |
|
Microsoft ODBC-Treiber |
|
Windows OLE |
|
Microsoft WDAC OLE DB-Anbieter für SQL Server |
|
Zuvor behandelte Services
Viele CVEs im aktuellen Patch Tuesday beziehen sich auf Systeme, die wir bereits beschrieben haben. Wenn Sie an unserer Analyse oder allgemeinen Empfehlungen zu diesen Services interessiert sind, empfehlen wir Ihnen, unsere vorherigen Einschätzungen zum Patch Tuesday zu lesen.
Service |
CVE-Nummer |
Auswirkung |
Erforderlicher Zugriff |
|---|---|---|---|
Erhöhung von Berechtigungen |
Lokal |
||
Beliebige Codeausführung |
|||
Remotecodeausführung |
Netzwerk |
||
Internetverbindungsfreigabe (Internet Connection Sharing, ICS) |
Denial of Service |
Netzwerk |
|
Denial of Service |
Netzwerk |
Diese Zusammenfassung gibt einen Überblick über unser aktuelles Verständnis der verfügbaren Informationen und über unsere Empfehlungen. Unsere Überprüfung läuft und alle hierin enthaltenen Informationen können sich jederzeit ändern. Besuchen Sie uns auch auf X (ehemals Twitter) und erhalten Sie Echtzeit-Updates.
