Einschätzung von Akamai zum Patch Tuesday im Mai 2023
Vor nicht allzu langer Zeit in Redmond, Washington, USA …
Es herrscht Cyberkrieg. Netzwerkadministratoren arbeiten unermüdlich daran, die Änderungen des neuen Patch Tuesday aufzuspielen.
Wie jeden Monat hat sich die Akamai Security Intelligence Group auf die Suche nach den wichtigsten gepatchten Schwachstellen gemacht.
Es scheint, dass die Macht diesen Monat mit uns ist, da es dieses Mal nur 40 CVEs gibt, weitaus weniger als in den Vormonaten. Sieben der gepatchten CVEs waren kritisch (eine davon sogar aufgespürt von Ben Barnea), und es gab zwei weitere mit CVSS-Werten von 9,8 bei PGM und NFS. Drei der gepatchten CVEs sollen bereits aktiv ausgenutzt worden sein, sodass es sich um gepatchte Zero‑Day‑Angriffe handelt.
In diesem Bericht bewerten wir, wie kritisch die Schwachstellen und wie alltäglich die betroffenen Anwendungen und Services sind, und bieten realistische Perspektive auf die Fehler, die behoben wurden. Sie können sich auch eine kurze Übersicht in Echtzeit am Tag des Patches auf unserem Twitter-Konto ansehen. Diese Einblicke erscheinen innerhalb wenige Tage nach jedem Patch Tuesday.
Dies ist ein aktualisierter Bericht, und wir werden ihm weitere Informationen hinzufügen, während unsere Forschung voranschreitet – schauen Sie also wieder vorbei!
In diesem Bericht konzentrieren wir uns auf die folgenden Bereiche, in denen Fehler gepatcht wurden:
Schwachstellen, die aktiv ausgenutzt werden
Windows Win32k – CVE-2023-29336
Dies ist eine Sicherheitsanfälligkeit in Win32k (Windows-Subsystem im Windows-Kernel – hauptsächlich GUI- und Fensterverwaltung) bezüglich der lokalen Erhöhung von Berechtigungen. Es wurde von Sicherheitsforschern von Avast erkannt und kann verwendet werden, um mehr Systemberechtigungen zu erlangen.
Secure Boot – CVE-2023-24932
Secure Boot stellt sicher, dass nur vertrauenswürdige Software zum Starten des Computers verwendet wird. Diese Sicherheitsanfälligkeit ermöglicht es Angreifern, Secure Boot zu umgehen. Sie wurde von der Gruppe BlackLotus verwendet, um ihr Bootkit zu laden. Der Patch allein verringert nicht das Risiko der Schwachstelle.
Administratoren müssen außerdem alle Windows-Backups und startfähigen Medien aktualisieren sowie Zugriffssperren und neue Richtlinien anwenden. Microsoft veröffentlichte KB5025885 für Infos zum Implementieren der Änderungen.
Von Forschern von Akamai entdeckte Schwachstellen
Windows MSHTML Platform – CVE-2023-29324
Die Sicherheitslücke stellt eine Umgehung der Funktion MapUrlToZone dar. Die Funktion parst einen bestimmten Pfad auf falsch Weise und löst ihn als lokalen Pfad auf, obwohl es sich um einen Remote-Pfad handelt.
MapUrlToZone wurde verwendet, um die kritische Outlook-Sicherheitslücke einzudämmen, die im März gepatcht wurde. Daher ermöglicht die neue Schwachstelle die Ausnutzung dieser Sicherheitslücke erneut.
Wir haben einen detaillierten Bericht für diesen Sachverhalt veröffentlicht.
Windows SMB – CVE-2023-24898
Server, auf denen SMB über QUIC ausgeführt wird, sind anfällig für Denial-of-Service-Angriffe. Die Sicherheitsanfälligkeit kann durch den Angreifer einfach ohne Authentifizierung ausgenutzt werden. SMB über QUIC ist eine relativ neue Funktion, daher erwarten wir nicht, dass eine große Anzahl von Computern anfällig ist.
Windows Network File System (NFS)
NFS ist ein Netzwerkprotokoll, das ursprünglich von Sun Microsystems entwickelt wurde, um Remote-Dateizugriff über das Netzwerk zu ermöglichen. Eine Implementierung dieser Rolle ist in Microsoft Windows vorhanden und die NFS‑Rolle kann einem Server hinzugefügt werden, um sie in einen NFS‑Server umzuwandeln. In diesem Monat gibt es drei Schwachstellen – eine davon kritisch –, die zur Remoteausführung von Code führen können.
Analyse des Umfangs
Die NFS‑Funktion muss einem Windows-Server und -Client hinzugefügt werden, bevor sie verwendet werden kann. Sie ist in der Serverrolle Datei- und Speicherdienste in Windows Server enthalten.
NFS verwendet in der Regel den Port 111 (Sun RPCs EpMapper-Port – frühere Versionen von NFS werden über Sun RPC implementiert) und den Port 2049. Bei der Untersuchung verschiedener Rechenzentren haben wir festgestellt, dass es sich nur bei 0,1 % möglicherweise um NFS-v4-Server handelt und dass nur auf etwa der Hälfte Windows ausgeführt wird.
Allgemeine Empfehlungen
Normalerweise empfehlen wir, zu versuchen, Ihren NFS‑Server auf NFS v4.1 zu aktualisieren, da es sich um die sicherste Version handelt. Dieses Mal betrifft die Schwachstelle zur Remoteausführung von Code jedoch nur NFS v4, weshalb wir ein Upgrade nicht empfehlen können.
Stattdessen empfehlen wir, eine Segmentierung auf NFS‑Server anzuwenden. Sie sollten prüfen, ob Sie die NFS‑Clients auf eine kleinere Gruppe von Servern/Workstations beschränken (Ringfencing) und auch den ausgehenden Traffic vom NFS‑Server begrenzen können. Weil es sich um einen Server handelt, sollte es nur wenige Gründe geben, selbst Verbindungen herzustellen. Eine Segmentierung könnte die Auswirkungen einer erfolgreichen Ausnutzung begrenzen.
CVE-Nummer |
Auswirkung |
Erforderlicher Zugriff |
|---|---|---|
Remotecodeausführung |
Netzwerk |
|
Offenlegung von Informationen |
||
Denial of Service |
Windows LDAP (Lightweight Directory Access Protocol)
Das LDAP ist ein Open-Source-Protokoll, das zur Verbindung mit und Abfrage von Verzeichnisdiensten und Datenbanken entwickelt wurde. Der Domain Controller von Active Directory verfügt über eine LDAP-Serverimplementierung, damit vorhandene Programme und Server, die LDAP verwenden, den vorhandenen Domain Controller ohne einen separaten Server nutzen können.
In diesem Monat gibt es eine Sicherheitslücken im LDAP-Service, die nicht gepatchte Domain Controller betreffen. CVE-2023-28283 ist eine Sicherheitsanfälligkeit für Remotecodeausführung, die vor der Authentifizierung missbraucht werden kann.
Wir können unseren Domain Controller nicht patchen und so Ausfallzeiten riskieren. Können die Sicherheitslücken anderweitig behoben werden?
Nicht wirklich. Da der Domain Controller in alle Teile der Domain integriert ist, lässt sich der Zugriff auf den Controller praktisch unmöglich einschränken, ohne dabei den normalen Netzwerkbetrieb zu beeinträchtigen. Bereits die Nachverfolgung von CVE-2023-28283 kann schwierig sein, da keine Authentifizierung erforderlich ist. Notfallteams sollten nach kurzlebigen LDAP-Sitzungen suchen, die keine Antwort vom Server erhalten. Dies könnte auf einen Exploit-Versuch hindeuten.
Zuvor behandelte Services
Viele CVEs im aktuellen Patch Tuesday beziehen sich auf Systeme, die wir bereits beschrieben haben. Wenn Sie an unserer Analyse oder allgemeinen Empfehlungen zu diesen Services interessiert sind, empfehlen wir Ihnen, unsere vorherigen Beiträge zu lesen.
Service |
CVE-Nummer |
Auswirkung |
Erforderlicher Zugriff |
|---|---|---|---|
|
Offenlegung von Informationen |
Lokal authentifiziert |
|
Remotecodeausführung |
Netzwerk |
||
Remotecodeausführung |
Authentifiziert mit Berechtigungen des Website-Eigentümers |
||
Spoofing |
Authentifiziert mit Berechtigungen zum Erstellen von Websites; könnte zur Herausgabe des NTLM-Hashs führen |
||
Offenlegung von Informationen |
Authentifiziert |
||
Remotecodeausführung |
Netzwerk |
||
Denial of Service |
Diese Zusammenfassung gibt einen Überblick über unser aktuelles Verständnis der verfügbaren Informationen und über unsere Empfehlungen. Unsere Überprüfung läuft und alle hierin enthaltenen Informationen können sich jederzeit ändern. Besuchen Sie auch unser Twitter-Konto für Updates in Echtzeit.
