Einschätzung von Akamai zum Patch Tuesday im Januar 2024
Neues Jahr, neue CVEs. Wie jeden Monat hat sich die Akamai Security Intelligence Group auf die Suche nach den wichtigsten gepatchten Schwachstellen gemacht. Von den insgesamt 48 CVEs in diesem Monat waren nur zwei kritisch, aber wir haben auch einen Neujahrsbonus – zwei der CVEs, die diesen Monat gepatcht wurden, wurden von Forschern von Akamai gefunden. Ben Barnea und Tomer Peled.
In diesem Blogbeitrag bewerten wir, wie kritisch die Schwachstellen und wie alltäglich die betroffenen Anwendungen und Services sind. Daraus ergibt sich eine realistische Perspektive auf die Fehler, die behoben wurden. Diese Einblicke erscheinen innerhalb weniger Tage nach jedem Patch Tuesday.
Dies ist ein fortlaufend aktualisierter Bericht, und wir werden ihm weitere Informationen hinzufügen, während unsere Forschung voranschreitet – schauen Sie also wieder vorbei!
Diesen Monat konzentrieren wir uns auf die folgenden Bereiche, in denen Fehler gepatcht wurden:
Windows HTML-Plattformen
Obwohl in diesem Monat von Windows HTML-Plattformen die Rede ist, glauben wir, dass mit diesem Namen wie im letzten Monat auch Windows MSHTML gemeint ist. MSHTML ist ein Webseiten-Renderer für das Windows-Betriebssystem. Er bietet eine COM-Schnittstelle (Component Object Model), über die Programme Web-Rendering-Funktionen hinzufügen können. Er wird von Internet Explorer, dem Internet-Explorer-Modus von Microsoft Edge, Microsoft Outlook und verschiedenen anderen Programmen verwendet.
Der Forscher von Akamai Ben Barnea fand CVE-2024-20652, eine Schwachstelle durch Sicherheitsumgehung mit einem CVSS-Score von 7,5. Die Schwachstelle selbst liegt in MapUrlToZone, einer Funktion, die normalerweise genutzt wird, um festzustellen, ob eine URL auf eine Ressource auf dem Computer, im Netzwerk oder im Internet verweist.
Diese Schwachstelle ähnelt den zuvor gemeldeten Schwachstellen. MapUrlToZone kommt daher zu dem Schluss, dass sich eine URL im Intranet befindet, obwohl die URL eigentlich auf eine Internetressource verweist. Dies kann missbraucht werden, um Outlooks Patch CVE-2023-23397 zu umgehen und schließlich dazu führen, dass NTLM-Anmeldeinformationen an ein entferntes (vom Angreifer kontrolliertes) Ziel gelangen.
Windows-Designs
Microsoft Designs ist eine Funktion in Windows, mit der Nutzer unter anderem die Art und Weise ändern können, in der Symbole oder Schriftarten angezeigt werden. Es ist ein integrierter Bestandteil von Windows.
Der Forscher von Akamai Tomer Peled fand CVE-2024-21320, eine Spoofing-Schwachstelle mit einem CVSS-Wert von 6,5. Genauer gesagt handelt es sich um eine Schwachstelle bezüglich Authentifizierungszwang, durch die das Opfer eine NTLM-Authentifizierung initiiert.
Um die Schwachstelle auszulösen, muss ein Nutzer nur eine schädliche Desgin-Datei mit dem Explorer anzeigen, ohne weitere Interaktionen durchzuführen (es ist nicht einmal notwendig, die Design-Datei explizit zu öffnen). In einem demnächst erscheinenden Blogbeitrag werden wir Sie über weitere Details zu dieser Schwachstelle informieren. Bleiben Sie auf dem Laufenden.
Eine weitere CVE (CVE-2024-20691) wurde diesen Monat in Windows-Designs gepatcht – eine Schwachstelle, die Angreifern den dynamischen Speicher offenlegen kann, vorausgesetzt, sie überwinden eine Race-Bedingung.
Windows Hyper-V
Windows Hyper-V ist der native Hypervisor in Windows. Sie ermöglicht das Hosten virtueller Maschinen (Gäste) auf einem einzelnen Host-Rechner. Virtualisierungen sind in Unternehmensnetzwerken sehr häufig, da dadurch Hardwarekosten eingespart werden können.
Wir haben festgestellt, dass bei 90 % der Umgebungen bei mindestens einem Computer Hyper-V (Hosts) aktiviert war und bei durchschnittlich über 25 % der Windows-Computer Hyper-V aktiviert war.
In diesem Monat wurden zwei Schwachstellen in Hyper-V gepatcht, von denen eine kritisch war.
- CVE-2024-20699 ist eine Denial-of-Service-(DoS)-Schwachstelle, die Angreifer auf anfälligen Gastrechnern auslösen können. Sie erfordert, dass die Angreifer lokalen Zugriff auf den anfälligen Gastrechner haben.
- CVE-2024-20700 ist eine kritische Schwachstelle für die Ausführung von Remotecode. Sie ermöglicht es Angreifern, Code auf anfälligen Hyper-V-Computern auszuführen.
Abwehr
Da CVE-2024-20700 Netzwerkzugriff erfordert, sollte Netzwerksegmentierung verwendet werden können, um den Umfang des Zugriffs auf Hyper-V-Hosts einzuschränken und so das Angriffsrisiko zu verringern. Dies ist nicht als Alternative zum Patch gedacht, sondern als kurzfristige Lösung. Um Hyper-V-Hosts zu erkennen, können Sie die folgende OSQuery verwenden:
Windows Kerberos
Kerberos ist das Rückgrat der Windows-Domainarchitektur. Es ist der Standardauthentifizierungsmechanismus, der NTLM ersetzt hat. In Kerberos, das diesen Monat gepatcht wurde, gab es eine einzige kritische Schwachstelle: CVE-2024-20674.
Laut der Beschreibung der Schwachstelle von Microsoft ermöglicht sie eine Nutzernachahmung und erfordert, dass der Angreifer einen MITM-Kanal (Machine-in-the-Middle) mit einem Client für das Opfer einrichten muss. Dadurch kann sich der Angreifer als Authentifizierungsserver maskieren.
Angriffskette
Nach unserem Verständnis sollte eine erfolgreiche Exploit-Kette in etwa so aussehen:
- Der Angreifer richtet eine MITM-Position mit einem Opfer ein. Dies kann auf vielfältige Weise geschehen, wie ARP, LLMNR oder DNS-Poisoning. (Der Forscher von Akamai Ori David hat kürzlich einen neuen Vektor für die Erreichung von MITM über DHCP DNS-Spoofing entdeckt.)
- Der Angreifer sendet eine schädliche Kerberos-Nachricht an das Opfer. Dadurch glaubt es, der Computer des Angreifers ist der Kerberos-Authentifizierungsserver.
- Sobald der Client eine Verbindung zum Computer des Angreifers herstellt, ermöglicht die Schwachstelle dem Angreifer, sich als Client auszugeben und Aktionen innerhalb der Domain in seinem Namen auszuführen.
Abwehr
Da Kerberos so wichtig für die Windows-Domain ist, ist es wichtig, dass Sie Ihre Systeme so schnell wie möglich patchen, insbesondere da die Schwachstelle als„Ausnutzung wahrscheinlicher“ eingestuft ist. Da die Schwachstelle Kerberos-Clients betrifft, reicht es wahrscheinlich nicht aus, nur die Domaincontroller zu patchen – alle Windows-Rechner in der Domain müssen gepatcht werden.
Das Patchen so vieler Systeme kann einige Zeit in Anspruch nehmen, insbesondere in größeren Domains. In der Zwischenzeit haben wir zwei Vorschläge, um mögliche Exploit-Artefakte der Schwachstelle zu erkennen.
- Sie können das Windows-Ereignisprotokoll analysieren, um nach anomalen Anmeldungen im Netzwerk zu suchen – Ereignis-IDs 4624 oder 4625. Wenn Sie ein Nutzer-Anmeldeereignis sehen, das von einem Computer stammt, auf dem dieser Nutzer nicht vorhanden sein sollte, oder mit einem ungewöhnlichen Anmeldetyp (wie Netzwerk oder Batch), sollten Sie hellhörig werden.
- Da die Kerberos-Authentifizierung von der RPC-Schnittstelle für netlogon verarbeitet wird, können Sie das RPC-ETW-Protokoll verwenden, um nach Clients zu suchen, die mit netlogon eine Verbindung zu einem Computer herstellen, der nicht der Domaincontroller ist. Unser Open-Source-Tool für RPC-Sichtbarkeit kann Sie dabei unterstützen.
Zuvor behandelte Services
Viele CVEs im aktuellen Patch Tuesday beziehen sich auf Systeme, die wir bereits beschrieben haben. Wenn Sie an unserer Analyse oder allgemeinen Empfehlungen zu diesen Services interessiert sind, empfehlen wir Ihnen, unsere vorherigen Einschätzungen zum Patch Tuesday zu lesen.
Service |
CVE-Nummer |
Auswirkung |
Erforderlicher Zugriff |
|---|---|---|---|
Remotecodeausführung |
Lokal; Nutzer muss in böswilliger Absicht erstellte Datei öffnen |
||
Remotecodeausführung |
Netzwerk |
||
Remotecodeausführung |
Netzwerk |
Diese Zusammenfassung gibt einen Überblick über unser aktuelles Verständnis der verfügbaren Informationen und über unsere Empfehlungen. Unsere Überprüfung läuft und alle hierin enthaltenen Informationen können sich jederzeit ändern. Besuchen Sie uns auch auf X (ehemals Twitter) und erhalten Sie Echtzeit-Updates.
