Einschätzung von Akamai zum Patch Tuesday im Mai 2024
Es gibt nur einen Star Wars Day im Jahr, aber 12 Patch Tuesdays, meiner Ansicht nach ist das ein furchtbares Verhältnis …
Wie auch immer, das Update in diesem Mai enthält 59 CVEs, von denen nur eine kritisch ist (in Microsoft SharePoint Server), aber es enthält auch Patches für zwei Schwachstellen, die im freien Internet gefunden wurden.
In diesem Blogbeitrag bewerten wir, wie kritisch die Schwachstellen und wie alltäglich die betroffenen Anwendungen und Services sind. Daraus ergibt sich eine realistische Perspektive auf die Fehler, die behoben wurden. Diese Einblicke erscheinen innerhalb weniger Tage nach jedem Patch Tuesday.
Dies ist ein fortlaufend aktualisierter Bericht, und wir werden ihm weitere Informationen hinzufügen, während unsere Forschung voranschreitet – schauen Sie also wieder vorbei!
Diesen Monat konzentrieren wir uns auf die folgenden Bereiche, in denen Fehler gepatcht wurden:
Schwachstellen, die im freien Internet gefunden wurden
CVE-2024-30040 – Windows MSHTML Plattform
MSHTML ist ein Webseiten-Renderer für das Windows-Betriebssystem. Er bietet eine COM-Schnittstelle (Component Object Model), über die Programme Web-Rendering-Funktionen hinzufügen können. Er wird von Internet Explorer, dem Internet-Explorer-Modus von Microsoft Edge, Microsoft Outlook und verschiedenen anderen Programmen verwendet.
Auf der MSHTML-Plattform wurden mehrere Schwachstellen gefunden (darunter einige durch Akamai-Forscher). Sie stellt ein attraktives Ausbeutungsziel für Angreifer dar, weil sie Abwehrmechanismen umgehen kann und eine in Windows integrierte Funktion ist.
Dieses Mal umgeht die Schwachstelle laut Microsoft Security Response Center (MSRC) die OLE-Abhilfemaßnahmen in Microsoft 365 und Microsoft Office. Durch die Schwachstelle müssen Nutzer von den Angreifern dazu verleitet werden, eine schädliche Datei über eine Form von Social Engineering herunterzuladen und zu öffnen. Sobald die schädliche Datei geöffnet und die Schwachstelle ausgelöst wird, ermöglicht sie die Codeausführung im Namen des Opfers.
CVE-2024-30051 – Windows DWM Core Library
Im Gegensatz zur vorherigen Schwachstelle handelt es sich hierbei um eine Schwachstelle bezüglich der Eskalation der Berechtigungen im Windows Desktop Window Manager (DWM). Der DWM ist für die Verwaltung der sichtbaren Fenster auf dem Bildschirm verantwortlich. Er ist seit Windows Vista Bestandteil von Windows und wird im Prozess dwm.exe implementiert.
Die Schwachstelle wurde erkannt von Kaspersky. Dabei wurde festgestellt, dass sie durch die QakBot-Trojaner-Kampagne ausgenutzt wurde.
Microsoft SharePoint ist ein webbasiertes Dokumentverwaltungs- und Speichersystem, das sich in andere Microsoft-Office-Produkte integrieren lässt. In diesem Monat gibt es zwei CVEs, eine davon eine kritische Schwachstelle für Remotecodeausführung (RCE) mit einem CVSS-Wert von 8,8 (CVE-2024-30044). Die andere Schwachstelle betrifft die Offenlegung von Informationen und hat einen CVSS-Wert von 6,5 (CVE-2024-30043).
Bei CVE-2024-30044 müssen sich Angreifer mit einem Konto beim SharePoint-Server authentifizieren, das mindestens über Berechtigungen als Website-Eigentümer verfügt. Nach der Authentifizierung müssen sie eine eigens gestaltete Datei hochladen und über eine API-Anfrage darauf zugreifen. Dies würde eine Deserialisierung der Dateiparameter auslösen und Code in den SharePoint-Serverprozess einschleusen. Laut dem MSRC ist die Ausnutzung dieser Schwachstelle „wahrscheinlich“. Das bedeutet, dass die Auslösung der Schwachstelle trotz der zahlreichen Schritte nicht komplex ist.
CVE-2024-30043 erfordert ebenfalls eine Authentifizierung und ermöglicht es Angreifern, Dateiinhalte auf dem Server abzurufen. Je nach den Nutzerberechtigungen, über die die Angreifer verfügen, erhöht sich der Umfang der Dateien, auf die sie zugreifen können.
In unseren überwachten Umgebungen haben wir erlebt, dass ca. 30 % der Umgebungen über mindestens einen Computer mit einem SharePoint-Server verfügte.
Da SharePoint-Server normalerweise für die gemeinsame Nutzung von Dokumenten vorgesehen sind, kann es schwierig sein, den Nutzerzugriff auf sie zu segmentieren oder zu beschränken – zumindest ohne dabei den normalen Betrieb zu beeinträchtigen. Wir empfehlen Ihnen daher, Ihre Server so schnell wie möglich zu patchen.
Da aber beide CVEs eine Nutzerauthentifizierung erfordern, ist es möglich, einige der Risiken zu mindern, indem der Nutzerzugriff gestärkt oder die Warnsensitivität bei verdächtigen Nutzeraktivitäten oder Anmeldungen erhöht wird.
Zuvor behandelte Services
Viele CVEs im aktuellen Patch Tuesday beziehen sich auf Systeme, die wir bereits beschrieben haben. Wenn Sie an unserer Analyse oder allgemeinen Empfehlungen zu diesen Services interessiert sind, empfehlen wir Ihnen, unsere vorherigen Einschätzungen zum Patch Tuesday zu lesen.
Service |
CVE-Nummer |
Auswirkung |
Erforderlicher Zugriff |
|---|---|---|---|
Remotecodeausführung |
Netzwerk |
||
Remotecodeausführung |
Netzwerk, Nutzer muss eine Verbindung zu einem schädlichen SQL-Server herstellen |
||
Denial of Service |
Netzwerk |
||
Offenlegung von Informationen |
Lokal |
||
Spoofing |
Netzwerk, Authentifizierung erforderlich |
||
Diese Zusammenfassung gibt einen Überblick über unser aktuelles Verständnis der verfügbaren Informationen und über unsere Empfehlungen. Unsere Überprüfung läuft und alle hierin enthaltenen Informationen können sich jederzeit ändern. Besuchen Sie uns auch auf X (ehemals Twitter) und erhalten Sie Echtzeit-Updates.