Einschätzung von Akamai zum Patch Tuesday im November 2023

Schwachstellen, die aktiv ausgenutzt werden

CVE-2023-36025 – Windows SmartScreen (CVSS 8,8)

Hierbei handelt es sich um eine Schwachstelle durch eine Sicherheitsumgehung, durch die beim Öffnen von Internetverknüpfungsdateien (.URL) oder Hyperlinks zu diesen Dateien die Sicherheitswarnung übersprungen wird. Die Verknüpfungsdateien müssen speziell gestaltet sein, um diese Schwachstelle auszulösen. Dies ist nicht das erste Mal, dass derartige Schwachstellen in SmartScreen aktiv von Cyberkriminellen ausgenutzt worden sind. Die Google Threat Analysis Group (Google TAG) hat erkannt und gemeldet, dass die Ransomware Magniber in der Vergangenheit bereits eine Schwachstelle durch Sicherheitsumgehung in Windows SmartScreen ausgenutzt hat.

CVE-2023-36036 – Windows Cloud Files Mini Filter Driver (CVSS 7,8)

Dies ist eine Berechtigungseskalations-Schwachstelle, die es Angreifern ermöglicht, SYSTEMBERECHTIGUNGEN zu erlangen. Der Cloud Files Mini Filter ist Teil der Cloud-Sync-Engine, die WinAPI-Zugriff bietet, um cloudbasierte Dateisysteme zu synchronisieren und damit zu arbeiten. Der Filter Driver tritt in der cldflt.sys-Datei auf.

CVE-2023-36033 – Windows DWM Core Library (CVSS 7,8)

Dies ist eine weitere Berechtigungseskalations-Schwachstelle, dieses Mal jedoch im Windows Desktop Window Manager (DWM), der für die Verwaltung der sichtbaren Fenster auf dem Bildschirm verantwortlich ist. Der DWM ist seit Windows Vista Teil von Windows und wird im Prozess dwm.exe bereitgestellt. Diese Schwachstelle tritt speziell in der Kernbibliothek dwmcore.dll auf, die in diesen Prozess geladen wird.

Windows Pragmatic General Multicast 

Windows Pragmatic General Multicast (PGM) ist ein Protokoll, das entwickelt wurde, um Pakete auf zuverlässige Weise an mehrere Netzwerkmitglieder zu übermitteln. Bei Windows gilt die Implementierung dieses Protokolls als zuverlässige Multicast-Programmierung. Eine kritische Schwachstelle für Remotecodeausführung in diesem Protokoll mit einem CVSS-Wert von 9,8 wurde an diesem Patch Tuesday behoben.

Seit Windows Server 2003 werden Windows-Sockets für PGM genutzt. Im Nutzerbereich wird es in einer Bibliothek namens wshrm.dll (Windows Sockets Helper DLL für PGM) bereitgestellt, wobei das „rm“ für Remote-Multicast steht). Im Kernel-Bereich erfolgt die Implementierung von PGM über den Treiber rmcast.sys.

Gemäß den Microsoft-Empfehlungen für die CVEs muss der Message-Queuing-Service ausgeführt werden, damit die Schwachstelle ausgenutzt werden kann. Der Service ist standardmäßig nicht installiert. Er muss über den Bildschirm Funktionen in der Systemsteuerung hinzugefügt werden.

Wir haben festgestellt, dass in ungefähr 50 % der Umgebungen Server mit installiertem und ausgeführtem Message-Queuing-Service und in 25 % Server, in denen PGM installiert war, vorhanden waren. Obwohl Message Queuing in den meisten Rechenzentren nur auf wenigen Computern aktiviert war, registrierten wir Umgebungen, in denen der Service auf mehreren Servern ausgeführt wurde.

Da die Angriffskomplexität für alle Schwachstellen gering ist, sollten die entsprechenden Server so schnell wie möglich gepatcht werden. Wenn aufgrund der Betriebskontinuität oder aus anderen Gründen kein Patchen möglich ist, empfehlen wir, zumindest den Zugriff auf den Service mithilfe von Netzwerksegmentierung zu beschränken. 

Da der Message-Queuing-Service über den Port 1801 zugänglich ist, aber nicht von einer großen Zahl von Kunden aufgerufen werden kann (da er hauptsächlich von der Unternehmensanwendung selbst genutzt wird), empfehlen wir, den willkürlichen Netzwerkzugriff auf den Port und den Service einzuschränken. Versuchen Sie, ihn mithilfe von Richtlinien für Zulassungslisten zu segmentieren, sodass der Zugriff nur für die Computer gewährt wird, die ihn tatsächlich benötigen.

Microsoft Protected Extensible Authentication Protocol 

Das Protected Extensible Authentication Protocol (PEAP) schließt das Extensible Authentication Protocol (EAP) bei einer TLS-Sitzung ein. EAP dient zur Authentifizierung von Geräten und Verbindungen zu Netzwerken und wird auch bei der WLAN-Netzwerkauthentifizierung verwendet.

Windows-Server können optional mit dem Network Policy Server (NPS) konfiguriert werden, der Anfragen für Netzwerkzugriffe über EAP und PEAP überprüft und zulässt. Der NPS ist nicht standardmäßig aktiviert und muss manuell installiert und konfiguriert werden. Unseren Beobachtungen zufolge verfügten nur 21 % der Netzwerke über NPS-Server.

Da der NPS im Netzwerk eine zentrale Rolle spielen und auch Authentifizierungsanfragen verarbeiten soll, kann es problematisch sein, Segmentierungsrichtlinien auf ihn anzuwenden. Microsoft schlägt stattdessen als mögliche Abwehrmaßnahme vor, PEAP bei Protokollverhandlungen zu blockieren und stellt dazu zwei Quellen bereit.

In diesem Monat wurde eine kritische Schwachstellen für Remotecodeausführung (CVE-2023-36028) mit einem Wert von 9,8 behoben.