Einschätzung von Akamai zum Patch Tuesday im Juli 2023
Wie jeden Monat hat sich die Akamai Security Intelligence Group auf die Suche nach den wichtigsten gepatchten Schwachstellen gemacht.
Diesmal gibt es 130 CVEs, neun davon kritisch. Das sind fast doppelt so viele wie im letzten Monat. Vier der kritischen CVEs (in RRAS und MSMQ) haben einen sehr hohen CVSS-Wert von 9,8. Außerdem werden vier Schwachstellen aktiv im freien Internet ausgenutzt.
In diesem Bericht bewerten wir, wie kritisch die Schwachstellen und wie alltäglich die betroffenen Anwendungen und Services sind. Daraus ergibt sich eine realistische Perspektive auf die Fehler, die behoben wurden. Sie können sich auch eine kurze Zusammenfassung des Patches auf unserem Twitter-Konto ansehen. Diese Einblicke erscheinen innerhalb wenige Tage nach jedem Patch Tuesday.
Dies ist ein aktualisierter Bericht, und wir werden ihm weitere Informationen hinzufügen, während unsere Forschung voranschreitet – schauen Sie also wieder vorbei!
In diesem Bericht konzentrieren wir uns auf die folgenden Bereiche, in denen Fehler gepatcht wurden:
Schwachstellen, die aktiv ausgenutzt werden
CVE-2023-32046 — Windows MSHTML-Plattform (CVSS 7,8)
Durch die Schwachstellen in der MSHTML-Plattform können Angreifer die Berechtigungen des Nutzers erlangen, auf den der Angriff abzielt. MSHTML ist die Browser-Engine von Microsoft. Aus den Patch-Hinweisen geht hervor, dass ein Nutzer eine speziell erstellte Datei öffnen oder zu einer schädlichen Website navigieren muss, die diese Datei hostet. Es handelt sich also wahrscheinlich um eine Art Webressource – eine HTML- oder JavaScript-Datei. Ungeachtet dessen nutzt die Schwachstelle Social Engineering, um Nutzer zum Öffnen einer schädlichen Datei zu bewegen. In diesem Monat gibt es zwei weitere gepatchte CVEs in MSHTML (für die keine aktive Ausnutzung im freien Internet bekannt ist). Weitere Informationen finden Sie nachfolgend in diesem Beitrag.
CVE-2023-32049 — Windows SmartScreen (CVSS 8,8)
Hierbei handelt es sich um eine Schwachstelle durch eine Sicherheitsumgehung, durch die beim Öffnen von aus dem Internet heruntergeladenen oder anderweitig unsicheren Dateien die Sicherheitswarnung übersprungen wird. Es ist nicht das erste Mal, dass derartige Schwachstellen in SmartScreen aktiv von Cyberkriminellen ausgenutzt wurden. Die Google Threat Analysis Group (Google TAG) hat erkannt und gemeldet, dass Magniber-Ransomware schon zuvor eine ähnliche Schwachstelle ausgenutzt hat.
CVE-2023-36874 — Windows Error Reporting Service (CVSS 7,8)
Dies ist eine Schwachstelle bezüglich der lokalen Erhöhung von Berechtigungen, für die Angreifer lokalen Zugriff auf die Maschine benötigen. Den Hinweisen zufolge benötigen die Angreifer eingeschränkte Nutzerberechtigungen, um Ordner und Performance-Traces auf dem lokalen Computer erstellen zu können, was üblicherweise nicht vorliegt. Dieser CVE wurde ebenfalls von Google TAGgemeldet.
CVE-2023-35311 — Microsoft Outlook (CVSS 8,8)
Dies ist eine weitere Schwachstelle durch Sicherheitsumgehung, diesmal in Outlook. Hier können Cyberkriminelle den Sicherheitshinweis von Outlook beim Klick auf Hyperlinks umgehen.
CVE-2023-36884 — Office und Windows HTML (CVSS 8,3)
Am 11. Juli veröffentlichte Microsoft eine Mitteilung über eine Schwachstelle für Remotecodeausführung, die aktiv im freien Internet ausgenutzt wird. Die Schwachstelle betrifft mehrere Microsoft-Produkte und basiert darauf, dass Opfer zum Öffnen von schädlichen Dokumenten verleitet werden.
Sie wird durch den RomCom-Bedrohungsakteur über Phishing-Kampagnen ausgenutzt – darunter eine, die sich an Teilnehmer des jüngsten NATO-Gipfels in Litauen richtete. Die Schwachstelle kann derzeit nicht behoben werden, aber es stehen mehrere Abwehrmaßnahmen zur Verfügung.
Windows Layer 2-Bridge-Netzwerktreiber
Der Layer 2-Bridge-Netzwerktreiber ist Teil des Windows-Container-Ökosystems. Der Treiber ist für L2bridge Networkingverantwortlich, wodurch Container direkt mit dem physischen Netzwerk des Hosts verbunden werden können. Diesen Monat gibt es zwei Schwachstellen in diesem Treiber: Eine Schwachstelle für die Offenlegung von Informationen mit einem CVSS-Wert von 6,5 (CVE-2023-32037) und eine kritische Schwachstellen für Remotecodeausführung mit einem CVSS-Wert von 8,8 (CVE-2023-35315). Den CVE-Hinweisen zufolge ermöglicht die kritische Sicherheitsanfälligkeit einen Gast-zu-Host-Escape. Da Container oder virtuelle Maschinen mit L2bridge direkt auf physische Hardware schreiben können, die mit dem Hostbetriebssystem geteilt wird, ermöglicht eine Schwachstelle im Treiber, dass schädlicher Code die Grenze zwischen Gast und Host überwindet.
Das Windows-Container-Ökosystem wird als optionale Funktion „Container“ angeboten. Sie ist nicht sofort verfügbar und erfordert eine spezielle Installation. Nach unseren Untersuchungen haben etwa 35 % der überwachten Umgebungen Windows-Maschinen mit aktivierter „Container“ -Funktion.
Windows MSHTML-Plattform
MSHTML ist ein Webseiten-Renderer für das Windows-Betriebssystem. Er bietet eine COM-Schnittstelle, über die Programme Web-Rendering-Funktionen hinzufügen können. Zudem wird er von Internet Explorer und dem Internet-Explorer-Modus von Microsoft Edge eingesetzt. Neben der Berechtigungseskalations-Schwachstelle, die im freien Internet gefunden wurde (siehe Abschnitt „Im freien Internet“ ) gibt es zwei weitere Schwachstellen durch Umgehung von Sicherheitsfunktionen: CVE-2023-35336 und CVE-2023-35308. Aus den Hinweisen zu den beiden Sicherheitsanfälligkeiten geht hervor, dass MSHTML die Sicherheitszone für bestimmte URLs nicht richtig überprüfen kann und externe URLs möglicherweise mit lokalen verwechselt. Sicherheitszonen sind uns wohl bekannt, da unser Mitarbeiter Ben Barnea selbst eine ähnliche Schwachstelle in MapUrlToZone gefunden hat, einer Funktion, mit der oft bestimmt wird, ob eine URL ein Internetpfad oder ein lokaler Pfad (zum Rechner/Netzwerk) ist.
Windows Routing and Remote Access Service (RRAS)
Routing and Remote Access Service (RRAS) ist ein Windows-Dienst, der es dem Betriebssystem ermöglicht, sich wie ein Router zu verhalten und Standorte über VPNs oder DFÜs zu verbinden. In diesem Monat gibt es drei kritische Schwachstellen bei diesem Service, die alle mit einem hohen CVSS-Wert von 9,8 bewertet wurden. Die Patch-Hinweise enthalten nicht viele Informationen, außer dass speziell gestaltete Pakete, die an den Server gesendet werden, Remotecodeausführung auslösen können.
RRAS ist nicht auf allen Windows-Servern verfügbar. Es gehört zur Rolle „Remotezugriff“ und muss speziell installiert werden. Nach unseren Untersuchungen haben etwa 15% der überwachten Umgebungen Windows-Server mit aktivierter Rolle „Remotezugriff“ installiert..
Laufzeit des Remoteprozeduraufrufs
In diesem Monat wurden 14 verschiedene RPC-Laufzeit-CVEs gepatcht, die meisten davon für DoS-Angriffe (Denial of Service). Nur ein CVE (CVE-2023-35300) kann Remotecodeausführung erreichen, und die Patch-Hinweise enthalten nicht viele weiteren Informationen. Durch die Umkehrung des Patches stellen wir fest, dass das Microsoft Offensive Research & Security Engineering Team (MORSE) offenbar viel Arbeit an der NDR-Unmarshaling-Engine geleistet hat. Wir haben ausführlich über MS-RPC berichtet. Wenn Sie also mehr darüber erfahren möchten, finden Sie viele nützliche Links und Tools in unserem RPC-Toolkit.
Zuvor behandelte Services
Viele CVEs im aktuellen Patch Tuesday beziehen sich auf Systeme, die wir bereits beschrieben haben. Wenn Sie an unserer Analyse oder allgemeinen Empfehlungen zu diesen Services interessiert sind, empfehlen wir Ihnen unsere Blogeinträge mit Einschätzungen zum Patch Tuesday.
Service |
CVE-Nummer |
Auswirkung |
Erforderlicher Zugriff |
|---|---|---|---|
Umgehung von Sicherheitsfunktionen |
Netzwerk |
||
Spoofing |
|||
Remotecodeausführung |
|||
Denial of Service |
Netzwerk |
||
Erhöhung von Berechtigungen |
Lokal |
||
Umgehung von Sicherheitsfunktionen |
Netzwerk |
||
Umgehung von Sicherheitsfunktionen |
Netzwerk |
||
Remotecodeausführung |
Netzwerk |
||
Denial of Service |
|||
Remotecodeausführung |
Angrenzendes Netzwerk |
Diese Zusammenfassung gibt einen Überblick über unser aktuelles Verständnis der verfügbaren Informationen und über unsere Empfehlungen. Unsere Überprüfung läuft und alle hierin enthaltenen Informationen können sich jederzeit ändern. Besuchen Sie auch unser Twitter-Konto für Updates in Echtzeit.
