Einschätzung von Akamai zum Patch Tuesday im Juni 2024
In diesem Monat ist es vergleichsweise ruhig – wahrscheinlich, weil alle damit beschäftigt sind, Pride zu feiern. Wir sollten uns gegen die großen, bösen Sicherheitslücken ZUSAMMENTUN.
Wie jeden Monat hat sich die Akamai Security Intelligence Group auf die Suche nach den wichtigsten gepatchten Schwachstellen gemacht.
Am Patch Tuesday im Juni 2024 wurden 49 Schwachstellen gepatcht. Dazu gehörten auch eine kritische Sicherheitslücke in Microsoft Message Queuing (MSMQ) und eine Schwachstelle mit einem hohen CVSS-Score (9,8) in Azure Data Science Virtual Machine (DSVM).
In diesem Blogbeitrag bewerten wir, wie kritisch die Schwachstellen und wie alltäglich die betroffenen Anwendungen und Services sind. Daraus ergibt sich eine realistische Perspektive auf die Fehler, die behoben wurden. Diese Einblicke erscheinen innerhalb weniger Tage nach jedem Patch Tuesday.
Dies ist ein fortlaufend aktualisierter Bericht, und wir werden ihm weitere Informationen hinzufügen, während unsere Forschung voranschreitet – schauen Sie also wieder vorbei!
Diesen Monat konzentrieren wir uns auf die folgenden Bereiche, in denen Fehler gepatcht wurden:
Microsoft Message Queuing (MSMQ)
Der MSMQ-Service ist eine optionale Funktion in Windows, die verwendet wird, um anwendungsübergreifend Nachrichten zu übermitteln. Obwohl die Funktion optional ist, wird sie von vielen Unternehmensanwendungen für Windows, wie z. B. Microsoft Exchange Server, im Hintergrund genutzt. Wir konnten beobachten, dass der Service in fast 74 % der Umgebungen installiert ist, in der Regel auf mehr als einem Computer.
In diesem Monat gibt es im Netzwerk eine kritische RCE-Schwachstelle (Remote Code Execution), CVE-2024-30080, mit der Angreifer Code per Remote-Zugriff ausführen können, indem sie ein speziell gestaltetes Paket an den MSMQ-Server des Opfers senden.
Da der MSMQ-Service über den Port 1801 zugänglich ist, aber nicht von einer großen Zahl von Kunden aufgerufen werden sollte (da er hauptsächlich von der Unternehmensanwendung selbst genutzt wird), empfehlen wir, den willkürlichen Netzwerkzugriff auf den Port und den Service einzuschränken. Dies ist auch die von Microsoft empfohlene Abwehrmaßnahme gegen diese Schwachstelle.
Versuchen Sie, den Service mithilfe von Richtlinien für Zulassungslisten zu segmentieren, sodass der Zugriff nur auf die Geräte ermöglicht wird, die ihn tatsächlich benötigen. Hilfe zur Segmentierung finden Sie in unserem Blogbeitrag (Mikro-)Segmentierung aus praktischer Sicht (insbesondere in den Abschnitten Ringfencing für Anwendungen und Mikrosegmentierung ).
Azure Data Science Virtual Machine (DSVM)
Azure Data Science Virtual Machine ist eine Art nutzerdefiniertes Image einer virtuellen Maschine, das auf der Azure Cloud-Plattform verfügbar ist und auf dem verschiedene Tools und Programme vorinstalliert sind, die für Data Science erforderlich sind. CVE-2024-37325 ist eine Schwachstelle, die die Erhöhung von Berechtigungen (EoP) ermöglicht und die Ubuntu DSVMs mit Versionen vor 24.05.24 betrifft.
Anders als bei einem typisches EoP-Angriff, bei dem ein Angreifer nach der Ausnutzung zu einer erhöhten Sitzung gelangt, scheint es in diesem Fall eine Art Datenleck zu geben, das von einem der auf diesen virtuellen Maschinen installierten Services stammt. Ein nicht authentifizierter Angreifer, der eine bestimmte Anfrage sendet, kann die Anmeldeinformationen autorisierter Nutzer entschlüsseln und diese dann verwenden, um sich bei diesen Maschinen anzumelden.
Microsoft hat eine Implementierungsrichtlinie mit Informationen zum Aktualisieren der betroffenen Maschinen veröffentlicht. Da es (für uns) so aussieht, als ob das Problem bei einem der installierten Services liegt, empfehlen wir außerdem, alle Ports zu überprüfen, die von diesen Maschinen überwacht werden, und zu versuchen, diese zu sperren, um einen Zugriff von außen zu verhindern.
Windows Link Layer Topology Discovery Protocol und WLAN-Treiber von Windows
Das Windows Link Layer Topology Discovery Protocol ist ein proprietäres Protokoll von Microsoft, das zum Zuordnen von Geräten zum Verständnis der Netzwerktopologie verwendet wird. Obwohl das Protokoll mehrere Arten von Netzwerken unterstützt (drahtgebunden, drahtlos und sogar Powerline), betreffen beide Schwachstellen, die diesen Monat gepatcht wurden, den WLAN-Netzwerkadapter. Daher befassen wir uns hier auch mit der WLAN-Treiber-Schwachstelle.
Da alle Schwachstellen das WLAN betreffen, muss sich ein Angreifer in unmittelbarer Nähe (funknah) befinden, um sie ausnutzen zu können. Wenn Sie also einfach die „Stranger-Danger“-Regel befolgen, sollten Sie keine Probleme bekommen.
Aber mal ernsthaft, die WLAN-Protokoll-Bereitstellung gehört nicht zum Anwendungsbereich der meisten Firewall- oder Segmentierungsprodukte, da sie sich nur mit den Daten befassen, die über die Netzwerke übertragen werden, und nicht mit der Einrichtung dieser Netzwerke selbst. Es gibt also, abgesehen von einem Patch (oder einem Faradayschen Käfig, aber dann hätten Sie auch kein normales WLAN) keine wirkliche Abwehr gegen diese Schwachstelle. Daher empfehlen wir Ihnen, sie umgehend zu patchen.
Service |
CVE-Nummer |
Auswirkung |
|---|---|---|
Windows Link Layer Topology Discovery Protocol |
Remotecodeausführung |
|
Windows WLAN-Treiber |
Zuvor behandelte Services
Viele CVEs im aktuellen Patch Tuesday beziehen sich auf Systeme, die wir bereits beschrieben haben. Wenn Sie an unserer Analyse oder allgemeinen Empfehlungen zu diesen Services interessiert sind, empfehlen wir Ihnen, unsere vorherigen Einschätzungen zum Patch Tuesday zu lesen.
Service |
CVE-Nummer |
Auswirkung |
Erforderlicher Zugriff |
|---|---|---|---|
Offenlegung von Informationen |
Lokal |
||
Remotecodeausführung |
Lokal – ein Angreifer muss das Opfer dazu bringen, eine schädliche Datei zu öffnen |
||
Denial of Service |
Netzwerk |
||
Remotecodeausführung |
Netzwerk |
||
Denial of Service |
Lokal |
||
Offenlegung von Informationen |
Lokal |
Diese Zusammenfassung gibt einen Überblick über unser aktuelles Verständnis der verfügbaren Informationen und über unsere Empfehlungen. Unsere Überprüfung läuft und alle hierin enthaltenen Informationen können sich jederzeit ändern. Besuchen Sie uns auch auf X (ehemals Twitter) und erhalten Sie Echtzeit-Updates.