Einschätzung von Akamai zum Patch Tuesday im November 2024

CVE-2024-43451 – Windows MSHTML-Plattform (CVSS 6,5)

In den CVE-Hinweisen wird erwähnt, dass die MSHTML-Plattform die betroffene Komponente war. Also werden wir uns darauf konzentrieren.

MSHTML ist ein Webseiten-Renderer für das Windows-Betriebssystem. Er bietet eine COM-Schnittstelle (Component Object Model), über die Programme Web-Rendering-Funktionen hinzufügen können. Er wird von Internet Explorer, dem Internet-Explorer-Modus von Microsoft Edge, Microsoft Outlook und verschiedenen anderen Programmen verwendet.

Auf der MSHTML-Plattform wurden in der Vergangenheit mehrere Schwachstellen gefunden (darunter einige durch Akamai-Forscher). Sie stellt ein attraktives Ziel für Angreifer dar, weil sie Abwehrmechanismen umgehen kann und eine in Windows integrierte Funktion ist.

Es scheint, dass dieses Mal eine speziell erstellte Datei eine Offenlegung des NTLMv2-Hash verursachen kann, wenn sie von einem Nutzer geöffnet wird. NTLM ist eines der Authentifizierungsprotokolle in Windows. Ein Offenlegen des Passwort-Hashs kann zu Authentifizierungs-Relay-Angriffen führen. Außerdem kann der Passwort-Hash verwendet werden, um durch Offline-Cracking das Passwort des Nutzers als Klartext zu erhalten.

Der VMSwitch ist eine Komponente von Hyper-V, Microsofts Implementierung eines Hypervisors. Neben seiner Verwendung bei der Ausführung virtueller Maschinen spielt Hyper-V eine wichtige Rolle bei der Sicherheit in neueren Windows-Versionen, da es einen privilegierten und sicheren Hypervisor über den Kernel hinaus bereitstellt.

Der VMSwitch ist der Treiber, der für den Netzwerktraffic zwischen virtuellen Maschinen (VMs) verantwortlich ist, die auf Hyper-V gehostet werden. Es handelt sich um eine paravirtualisierte Komponente, d. h. wenn ein Hyper-V-Gast mit ihr interagiert, wird sie direkt auf dem Host ausgeführt. Dies macht den VMSwitch zu einem lohnenden Forschungsziel, denn es ermöglicht Gast-zu-Host-Angriffe.

Und wenig überraschend ist CVE-2024-43625 genau das. Ein Angreifer, der Hyper-V als Gast ausführt, kann dem VMSwitch speziell gestaltete Netzwerkanforderungen senden, was eine Use-After-Free-Schwachstelle erzeugt, die ausgenutzt werden kann, um Code im Kontext des Hosts auszuführen. Das lohnt sich um so mehr, wenn man bedenkt, dass Hyper-V auch der Hypervisor für Microsoft Azure ist. Das Ausnutzen dieser Schwachstelle kann also schwerwiegende Konsequenzen nach sich ziehen.

Dies ist nicht das erste Mal, dass VMSwitch das Ziel von Angriffen wurde. Tatsächlich haben wir bei eigenen Recherchen im Jahr 2021 eine kritische RCE-Schwachstelle mit einem CVSS-Wert von 9,9 gefunden. Unsere Erkenntnisse haben wir im selben Jahr sogar auf der Blackhatpräsentiert.

Zusätzlich zu der kritischen Schwachstelle gibt es zwei weitere CVEs, die Hyper-V betreffen:

Die Verwendung von Hyper-V lässt sich mithilfe der folgenden osquery erkennen:

Wir haben festgestellt, dass 93 % der Umgebungen über Maschinen verfügen, auf denen Hyper-V aktiviert ist  – das macht durchschnittlich 25 % des Netzwerks aus.

Kerberos ist das Rückgrat der Windows-Domainarchitektur. Es ist der Standardauthentifizierungsmechanismus, der NTLM ersetzt hat. In Kerberos, das diesen Monat gepatcht wurde, gab es eine einzige kritische Schwachstelle: CVE-2024-43639 (CVSS 9,8).

Eine erfolgreiche Ausnutzung einen Angriff mit Remotecodeausführung ermöglichen, ohne dass dafür eine Authentifizierung notwendig wäre. Darum, und weil es sich um eine kryptografische Schwachstelle handelt, glauben wir, dass der Angriff auf den Kerberos-Vorauthentifizierungsprozess bei der ersten Anmeldung bei der Domain abzielt. Das bedeutet, dass der Angriff hauptsächlich auf Domaincontroller abzielt, aber es ist möglich, dass er modifiziert werden kann, um auch auf anderen Windows-Computern zu funktionieren. Wenn die kryptografische Schwachstelle tatsächlich in der Implementierung der Ticketanalyse liegt, ist es auch möglich, sie in späteren Phasen des Authentifizierungsprozesses anzuwenden.

SMBv3 bezieht sich auf die Ausführung eines SMB-Dateiservers über das QUIC-Protokoll, ein relativ neues Transportprotokoll. (Es wurde 2012 eingeführt und 2021 standardisiert. Zum Vergleich: TCP wurde 1974 eingeführt und 1980 standardisiert.) Es basiert auf UDP und unterstützt Multiplexing, Verschlüsselung und mehr. Auch Microsoft integriert QUIC in Windows und neuere Versionen von Windows (11 und Server 2025) unterstützen es bereits auf verschiedene Weise.

Mit CVE-2024-43447 kann ein schädlicher Client eine Double-Free-Schwachstelle auf dem SMBv3-Server des Opfers erzeugen, die bei erfolgreicher Ausnutzung zu einer Remotecodeausführung führen kann. Obwohl das schwerwiegende Folgen haben kann, sollten aufgrund der Tatsache, dass QUIC noch nicht weit verbreitet ist, die potenziellen Auswirkungen in der Praxis eher gering ausfallen. Tatsächlich haben wir festgestellt, dass nur 8 % der Umgebungen über Server mit aktiviertem QUIC verfügen. Von diesen 8 % ist der Anteil an SMBv3-Servern sogar noch geringer, da es nicht standardmäßig aktiviert ist.

Besorgte Netzwerkadministratoren können den QUIC-Traffic durch Segmentierung einschränken, da er über den UDP-Port 443 geleitet wird. Alternativ können sie die QUIC-Unterstützung auf ihren SMB-Dateiservern deaktivieren.

Zusätzlich zu dieser Schwachstelle gibt es eine weitere Denial-of-Service-Schwachstelle im regulären SMB: CVE-2024-43642.

Viele CVEs im aktuellen Patch Tuesday beziehen sich auf Systeme, die wir bereits beschrieben haben. Wenn Sie an unserer Analyse oder allgemeinen Empfehlungen zu diesen Services interessiert sind, empfehlen wir Ihnen, unsere vorherigen Einschätzungen zum Patch Tuesday zu lesen.