Einschätzung von Akamai zum Patch Tuesday im Januar 2023
Microsofts Patch Tuesday für Januar 2023 wurde veröffentlicht und wir bei Akamai Security Research haben uns auf die Suche nach den faszinierendsten gepatchten Schwachstellen gemacht. Microsoft scheint voller Tatendrang ins neue Jahr zu starten, da in diesem Monat fast doppelt so viele CVEs gepatcht wurden wie im Dezember. Akamai Security Research ist ebenfalls motiviert in das Jahr gestartet. Wir konnten zwei der Sicherheitslücken, die diesen Monat gepatcht wurden, offenlegen – siehe hierzu die folgende kurze Beschreibung.
In diesem Bericht bewerten wir, wie kritisch die Schwachstellen und wie alltäglich die betroffenen Anwendungen und Services sind, und bieten realistische Perspektive auf die Fehler, die behoben wurden. Diese Einblicke erscheinen innerhalb weniger Tage nach jedem Patch Tuesday.
Dies ist ein aktualisierter Bericht, und wir werden ihm weitere Informationen hinzufügen, während unsere Forschung voranschreitet – schauen Sie also wieder vorbei!
Neben den von Akamai offengelegten Sicherheitslücken konzentrieren wir uns in diesem Bericht auf die folgenden Bereiche, in denen Bugs gepatcht wurden:
Von Akamai offengelegte Sicherheitslücken
Die folgenden beiden Sicherheitslücken wurden verantwortungsbewusst gegenüber Microsoft offengelegt und im aktuellen Patch behoben. Wir geben in Kürze weitere Informationen zu diesen Sicherheitslücken bekannt, damit alle betreffenden Systeme gepatcht werden können. Derzeit können wir die Lücken nur kurz beschreiben.
SMB Witness Service Remote-EOP
CVE-2023-21549, CVSS-Score 8,8
Eine weitere Sicherheitslücke, die mit unserem RPC-Toolkit offengelegt wurde. Das SMB Service Witness-Protokoll wird als Teil von SMB Cluster-Fileservern verwendet.
LSM lokale EOP
CVE-2023-21771, CVSS-Score 7,0
Eine weitere Sicherheitslücke in einer der LSM-RPC-Schnittstellen. Die Sicherheitslücke lässt sich nur lokal auslösen. Um die Lücke auszunutzen, muss eine leicht zu erreichende Racebedingung überwunden werden.
Da die Funktion mit der betreffenden Sicherheitslücke nicht bei jeder Windows-Architektur vorhanden ist, sind nur die folgenden Versionen betroffen:
Windows Server 2022
Windows 10 Versionen 21H2 und 22H2
Windows 11 Versionen 21H2 und 22H2
Windows Layer 2 Tunneling-Protokoll
Das L2TP (Layer 2 Tunneling-Protokoll) wird zur Unterstützung von VPNs verwendet. In Windows gehört es zum Remotezugriffsserver (Remote Access Server, RAS), ähnlich wie SSTP und PPP (die in vorherigen Monatenbeschrieben wurden). Remote Access Server ist eine Windows Server-Rolle, die Remote-Clients die Verbindung zum LAN ermöglicht, ähnlich wie bei einem VPN. Die Serverrolle muss aktiv hinzugefügt werden.
In diesem Monat gibt es bei diesem Service fünf kritische Sicherheitslücken, die alle einen CVSS-Score von 8,1 aufweisen und eine Remotecodeausführung (Remote Code Execution, RCE) zulassen.
Bei vier der Sicherheitslücken (CVE-2023-21546, CVE-2023-21679, CVE-2023-21555 und CVE-2023-21556) muss der Angreifer eine Racebedingung überwinden, um die jeweilige Sicherheitslücke auszulösen. Bei der anderen CVE, CVE-2023-21543, muss laut MSRC (Microsoft Security Response Center) keine Racebedingung überwunden werden. Der Angreifer muss vor der Ausnutzung der Sicherheitslücke jedoch weitere Schritte ausführen.
Unser VPN-Server darf nicht ausfallen. Können wir Angriffe, neben Patching, auch anderweitig abwehren?
Da L2TP zur Unterstützung von VPN-Servern verwendet wird, ist es praktisch unmöglich, den Internetzugang auf L2TP zu beschränken. Es gibt daher neben Patching kaum Optionen zur Risikominderung. Wenn Sie wissen, dass in bestimmten Teilen der Welt keine Ihrer Mitarbeiter tätig sind (z. B., wenn alle Ihre Mitarbeiter in den USA sitzen), können Sie den Zugriff von bestimmten Standorten aus auf Grundlage der Geo-IP beschränken. Jedoch lässt sich auch diese Aufgabe sehr schwer eindämmen.
Da alle CVEs Racebedingungen oder zusätzliche Schritte erfordern, kann davon ausgegangen werden, dass ihre Ausnutzung zu einem Anstieg der Netzwerkaktivität führt. Mit einer Überwachung der Netzwerkaktivität können Warnmeldungen zu möglichen Ausnutzungsversuchen ausgegeben werden.
Windows Lightweight Directory Access-Protocol
Das LDAP (Lightweight Directory Access Protocol) ist ein Open-Source-Protokoll, das zur Verbindung mit und Abfrage von Verzeichnisdiensten und Datenbanken entwickelt wurde. Der Domain Controller von Active Directory verfügt über eine LDAP-Serverimplementierung, damit vorhandene Programme und Server, die LDAP verwenden, das vorhandene AD ohne einen separaten Server nutzen können.
In diesem Monat gibt es zwei Sicherheitslücken im LDAP-Service, die nicht gepatchte Domain Controller betreffen. CVE-2023-21557 ist eine DoS-Sicherheitslücke (Denial of Service), die vor der Authentifizierung ausgenutzt werden kann. Die Empfehlung des MSRC besagt zudem, dass eine erfolgreiche Ausnutzung dieser Sicherheitslücke auch zu einer Offenlegung von Informationen führen kann. Das MSRC liefert jedoch keine genaueren Informationen zur Art der betreffenden Daten. CVE-2023-21676 ist eine Sicherheitslücke, die Remotecodeausführung ermöglicht, obwohl eine vorherige Authentifizierung erforderlich ist.
Wir können unseren Domain Controller nicht patchen und so Ausfallzeiten riskieren. Können die Sicherheitslücken anderweitig behoben werden?
Nicht wirklich. Da der Domain Controller in alle Teile der Domain integriert ist, lässt sich der Zugriff auf den Controller praktisch unmöglich einschränken, ohne dabei den normalen Netzwerkbetrieb zu beeinträchtigen. Da CVE-2023-21676 einen authentifizierten Nutzer erfordert, kann dies den IT-Teams bei der Verfolgung helfen (hilft jedoch weniger bei der Prävention).
Microsoft Cryptographic Services
Der Name Cryptographic Services ist etwas uneindeutig, da er sich auf viele Teile des Betriebssystems beziehen kann. (Er sollte sich nur auf einen Teil beziehen – CryptSvc, den eigentlichen Cryptographic Service – dessen Datei wurde jedoch nicht gepatcht.) Es gibt nur eine CVE, bei der der betroffene Teil des Systems angegeben wird – CVE-2023-21561 mit CSRSS.
In diesem Monat gibt es sechs CVEs, drei für die lokale Erhöhung von Berechtigungen und drei für die lokale Offenlegung von Informationen. Diese Sicherheitslücken betreffen alle Windows-Geräte, unabhängig davon, ob es sich um Server oder Desktops handelt. Patching ist daher entscheidend.
CVE-Nummer |
Auswirkung |
|---|---|
| CVE-2023-21561 | Erhöhung von Berechtigungen von AppContainer zu SYSTEM |
| CVE-2023-21730 | Erhöhung von Berechtigung zu SYSTEM |
| CVE-2023-21551 | |
| CVE-2023-21559 | Offenlegung kryptografischer Windows-Geheimnisse |
| CVE-2023-21540 | |
| CVE-2023-21550 |
Zuvor behandelte Services
Viele CVEs im aktuellen Patch Tuesday beziehen sich auf Systeme, die wir bereits beschrieben haben. Wenn Sie an unserer Analyse oder allgemeinen Empfehlungen zu diesen Services interessiert sind, empfehlen wir Ihnen, unsere vorherigen Beiträge zu lesen.
Service |
CVE-Nummer |
Auswirkung |
Erforderlicher Zugriff |
|---|---|---|---|
Authentifizierungsumgehung |
Netzwerk |
||
Remotecodeausführung |
Mindestens als Website-Mitglied authentifiziert |
||
Authentifiziert mit Berechtigung zur Seitenerstellung |
|||
Remotecodeausführung |
Netzwerk |
||
Offenlegung von Informationen |
Netzwerk |
Diese Zusammenfassung gibt einen Überblick über unser aktuelles Verständnis der verfügbaren Informationen und über unsere Empfehlungen. Unsere Überprüfung läuft und alle hierin enthaltenen Informationen können sich jederzeit ändern.
