Einschätzung von Akamai zum Patch Tuesday im November

Windows-Skriptsprachen

„Windows-Skriptsprachen“ kann sich auf mehrere Implementierungen von Skriptsprachen innerhalb von Windows beziehen, z. B. VBScript, JavaScript oder andere. In dieser Version hat Microsoft zwei Skript-Engines gepatcht, JScript und Chakra.

JScript ist die Microsofts Implementierung von ECMAScript, dem Standard hinter JavaScript, der auch von Internet Explorer verwendet wird. Chakra ist ebenfalls eine JavaScript-Engine, die von JScript abgeleitet ist und von Microsoft Edge Legacy verwendet wird (neuere Versionen von Edge basieren auf Chromium). Beide sind als DLLs implementiert, die nutzerfreundlich als jscript9.dll und chakra.dll bezeichnet werden.

Dieses Update behebt zwei kritische Sicherheitslücken bei der Remote-Codeausführung, die diese Scripting-Engines betreffen.

Die erste, CVE-2022-41128, betrifft die Skriptsprache JScript9 mit einem CVSS-Score von 8,8 und ist als kritisch eingestuft. Die Angriffskomplexität ist nicht nur gering, und die Sicherheitslücke wird im freien Internet ausgenutzt. Für eine erfolgreiche Ausnutzung der Sicherheitslücke muss ein Angreifer eine speziell gestaltete Serverfreigabe oder Website hosten. Dann muss der Angreifer einen Nutzer mit einer betroffenen Windows-Version dazu bringen, auf seinen speziell eingerichteten Server zuzugreifen. 

Die zweite Sicherheitslücke ist CVE-2022-41118, die mit einem CVSS-Score von 7,5 sowohl JScript9 als auch Chakra betrifft und ebenfalls als kritisch eingestuft ist. Ihre Angriffskomplexität ist hoch, weil Angreifer eine Race-Bedingung überwinden müssen. Angriffsfluss und Nutzerinteraktion ähneln CVE-2022-41128.

Allgemeine Empfehlungen

Die JScript- und die Chakra-Engine wurden für Internet Explorer und Edge Legacy entwickelt. Es gibt modernere Webbrowser (sowie einen auf Chromium basierenden Edge), daher empfehlen wir, stattdessen einen solchen zu verwenden. Trotzdem ist es wichtig zu wissen, dass diese Engines auch von anderer Software genutzt werden können und daher ein Patch die einzige Möglichkeit ist, Ihren Computer vor diesen Schwachstellen zu schützen.

CVEs

Windows Kerberos

Kerberos ist das Rückgrat der Windows-Domainarchitektur. Es ist der Standardauthentifizierungsmechanismus, der NTLM ersetzt hat. Dieses Mal wurden zwei Schwachstellen behoben, die beide für die Erhöhung von Nutzerprivilegien genutzt werden können und einen CVSS-Score von 8,1 bzw. 7,2 haben. 

Neben dem Aufspielen der Patches sollten Systemadministratoren beide KBs lesen (KB5020805, KB5021131), die von Microsoft für bestimmte erforderliche Änderungen in der Registrierung veröffentlicht wurden.

Auswirkungen

Ein Angreifer, der diese Sicherheitslücken erfolgreich ausnutzt, kann Administratorrechte erlangen.

Wo befindet sich die Sicherheitslücke?

CVE-2022-37966

Vor diesem Patch war die Standardverschlüsselung in der Kerberos-Verhandlung RC4-MD5. RC4 ist eine Stream-Verschlüsselung, d. h. der Schlüsseltext wird durch XOR-Anwendung einer Stromverschlüsselung auf den Klartext erzeugt. Sie gilt als schwach, weil sie leicht offline mit Werkzeugen wie John the Ripper geknackt werden kann. Die Sicherheitslücke liegt in der Standardkonfiguration.

Wenn ein Angreifer mit einem Active Directory verhandelt, kann er eine speziell gestaltete Anforderung senden, die die Standardauthentifizierung von Kerberos verwendet. Nach einer erfolgreichen Anfrage könnte der Angreifer den Kerberos-Sitzungsschlüssel knacken, um seine Berechtigungen zu erhöhen.

Diese Sicherheitslücke der Standardkonfiguration für die Kerberos-Verhandlung wird durch den Registrierungsschlüssel ms-DS-SupportedEncryptionType behoben, der standardmäßig auf AES-Verschlüsselung (0x27) eingestellt wird.

CVE-2022-37967

Diese Sicherheitslücke befindet sich in der Erweiterung Privilege Attribute Certificate (PAC) in Kerberos. Im Wesentlichen ist PAC ein Informationscontainer für verschiedene Felder – UserId, GroupsIDs, AccountDomainId und Mehr. PAC-Informationen werden von einem Domain-Controller zu Kerberos-Tickets hinzugefügt. 

Nach Betrachtung der KB, die Microsoft für die Sicherheitslücke veröffentlicht hat, glauben wir, dass sie ausgenutzt werden kann, um die Überprüfung der PAC-Signatur zu umgehen, die an den Server gesendet wird. Dies bedeutet, dass PAC-Strukturen, die mit ungültigen oder fehlenden Signaturen gesendet werden, den Validierungsprozess umgehen und zu einer Erhöhung der Berechtigungen führen können.

Dieser Patch ist der erste Schritt einer phasenweisen Veröffentlichung für CVE-2022-37067. Er enthält einen Fix für CVE-2022-37967, der aber standardmäßig deaktiviert ist. Die nächsten Phasen sind vom 13. Dezember 2022 bis 10. Oktober 2023 geplant und ermöglichen dann jeweils die Prüfung bzw. teilweise Durchsetzung.

Für CVE-2022-37967 fügt der Patch den Wert 2 zum Registrierungsschlüssel KrbtgtFullPacSignature hinzu. Dieser Wert ermöglicht die Überwachung des PAC im System, und Systemadministratoren können ihn verwenden, um Anomalien nachzuverfolgen.

Der Schlüssel KrbtgtFullPacSignature bietet die Option, ungültige oder fehlende PAC-Signaturen zu erzwingen oder zu verweigern, um diese Sicherheitslücke zu schließen.

Anwendungsbereich

Kerberos ist Teil jeder Windows-Domänenarchitektur.

CVEs

Netlogon RPC 

Der Ordner Netlogon Remote Protocol ist das Protokoll, das für die Nutzer- und Computerauthentifizierung in Windows-Domain-Umgebungen verwendet wird. Es wird auch für die Synchronisierung zwischen Domain-Controllern verwendet. Als solches ist es in Windows-Domain-Netzwerken weit verbreitet, weshalb CVE-2022-38023 die meisten Umgebungen beeinträchtigen könnte.

Auswirkungen

Ein Angreifer kann durch das Ausnutzen dieser Sicherheitslücke Administratorrechte in der Domain erlangen.

Wo befindet sich die Sicherheitslücke?

Anhand der KB, die Microsoft für die Sicherheitslücke veröffentlicht hat, scheint es, dass sie ausgenutzt werden kann, wenn Netlogon-Verbindungen mit RPC, Signatur und nicht mit RPC-Sealing erfolgen. Bei der RPC-Signatur werden RPC-Nachrichten nur vom Absender signiert, und der Empfänger vergleicht den Nachrichteninhalt mit der Signatur, um die Integrität zu überprüfen. RPC-Sealing hingegen verschlüsselt die gesamte Nachricht.

Basierend auf den erwähnten betreffenden Ereignisprotokollen (Ereignis-IDs 5838–5841 im Systemereignisprotokoll) glauben wir, dass die Sicherheitslücke durch falsche Handhabung oder Verifizierung der Signatur verursacht werden kann, insbesondere bei Nutzung von RC4-HMAC-Verschlüsselung.

Allgemeine Empfehlungen

Dieser Patch ist der erste Schritt einer phasenweisen Veröffentlichung. Er behebt die Sicherheitslücke und fügt auch den neuen Registrierungsschlüssel RequireSeal hinzu, der zur Durchsetzung von RPC-Sealing verwendet wird. Als erster Schritt wird der Registrierungsschlüssel standardmäßig auf den Kompatibilitätsmodus gesetzt, kann aber von einem Domain-Administrator deaktiviert werden. Im Kompatibilitätsmodus können Domain-Controller anfällige Verbindungen von Drittanbieter-Clients zulassen, es wird jedoch RPC-Sealing auf Windows-Rechnern und Domain-Controllern erzwungen.

In den nächsten Phasen, die für den 11. April und 11. Juli im Jahr 2023 geplant sind, wird erst die Option zum Deaktivieren der Durchsetzung und dann der Kompatibilitätsmodus entfernt.

Es wird empfohlen, dass Domain-Administratoren die neue Erzwingung nach dem Patchen nicht deaktivieren und stattdessen Clients aktualisieren, die RPC-Signaturen verwenden. Wenn Sie diese Probleme nicht zügig lösen können und RPC-Signaturen zulassen müssen, empfehlen wir Ihnen, zumindest die schwächere MD5-Signatur mit dem bereits vorhandenen Registrierungsschlüssel RejectMD5Clients zu deaktivieren.

CVEs

Zuvor behandelte Services

Es gibt viele andere Sicherheitslücken, die diesen Monat am Patch Tuesday behandelt werden, sodass wir hier nicht alle abdecken können. Einige dieser Sicherheitslücken betreffen Services und Funktionen bestimmt, die wir bereits in früheren Patch Tuesday-Analysen behandelt haben. Wenn Sie an unserer Analyse oder allgemeinen Empfehlungen zu diesen Services interessiert sind, empfehlen wir Ihnen, unsere vorherigen Beiträge zu lesen.

Diese Zusammenfassung gibt einen Überblick über unser aktuelles Verständnis der verfügbaren Informationen und über unsere Empfehlungen. Unsere Überprüfung läuft und alle hierin enthaltenen Informationen können sich jederzeit ändern.

 Um weitere aktuelle Sicherheitsforschungsergebnisse zu lesen, folgen Sie uns auf Twitter!