Einschätzung von Akamai zum Patch Tuesday im Oktober 2023
Wie jeden Monat hat die Akamai Security Intelligence Group die wichtigsten gepatchten Schwachstellen untersucht. Von den 105 CVEs, die in diesem Monat gepatcht wurden, waren zwölf kritisch. Die höchste CVE-Bewertung beträgt 9,8. Es wurden auch drei Schwachstellen gemeldet, die im freien Internet ausgenutzt wurden.
Der Bericht für diesen Monat ist kürzer als gewöhnlich und konzentriert sich auf die Schwachstellen, die im freien Internet ausgenutzt wurden.
Schwachstellen, die aktiv ausgenutzt werden
CVE-2023-44487 – HTTP/2 Rapid-Reset-Angriff (CVSS 7,5)
Dies ist eine DoS-Schwachstelle (Denial of Service), die von Google,, Cloudflare und Amazon entdeckt und gemeldet wurde. Die Schwachstelle ermöglichte den bislang größten DDoS-Angriff (Distributed Denial of Service) der Geschichte und basiert auf einer Technik namens „Rapid Reset“ in HTTP/2, die wiederum auf Stream-Multiplexing zurückgreift.
Abwehr
Diese neue Art von Angriff befindet sich auf Protokollebene und würde von Akamai im Namen seiner Kunden auf die gleiche Weise abgewehrt werden wie jeder andere Layer-7-DDoS-Angriff, und zwar mit Sicherheitsfunktionen wie Ratensteuerung, Web Application Firewall, Bot Manager Premier oder Client Reputation.
Webserver, die HTTP/2 verwenden und nicht durch Akamai geschützt sind, sollten Patches von Anbietern installieren oder HTTP/2 vollständig deaktivieren, um die Ausnutzung dieser CVE zu verhindern.
Microsoft schlägt als Workaround vor, HTTP/2 über die beiden Registrierungsschlüssel EnableHttp2TIs und EnableHttp2Cleartext zu deaktivieren. Diese OSQuery-Abfrage können Kunden von Akamai Guardicore Segmentation nutzen, um diesen Wert auf Servern im Netzwerk zu lesen:
SELECT name, data FROM registry
WHERE path = "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\EnableHttp2TIs" or path = "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\EnableHttp2Cleartext";
CVE-2023-36563 – Schwachstelle in Microsoft WordPad bezüglich der Offenlegung von Informationen (CVSS 6,5)
Diese Schwachstelle ermöglicht es Angreifern, den NTLM-Hash eines Opfers zu entschlüsseln. Die Ausnutzung erfolgt über eine speziell gestaltete Anwendung. Damit diese ausgeführt werden kann, wird das Opfer dazu gebracht, eine schädliche Datei zu öffnen. Wir haben keine vollständigen Informationen darüber, wie diese Anmeldedaten offengelegt werden können, wahrscheinlich sickern sie jedoch über SMB durch.
Microsoft WordPad ist auf jedem Windows-Endgerät installiert.
Abwehr
Neben dem Patchen empfehlen wir Folgendes:
Nutzen Sie Mikrosegmentierung, um SMB-Traffic (TCP-Port 445) zwischen WordPad-Prozessen (wordpad.exe) und Internetzielen zu blockieren.
In Windows 11 ist es möglich, das automatische Senden von NTLM-Hashes an Remote-Standorte über Gruppenrichtlinien zu deaktivieren: Administrative Vorlagen > Netzwerk > LanmanWorkstation > NTLM blockieren.
CVE-2023-41763 – Schwachstelle in Skype for Business bezüglich der Erhöhung von Berechtigungen (CVSS 5,3)
Die letzte Schwachstelle, die im freien Internet ausgenutzt wurde, befindet sich in Skype for Business. Ein Angreifer kann einen speziellen Anruf an den Zielserver in Skype for Business tätigen, der dann eine Anfrage an eine beliebige (vom Angreifer kontrollierte) Adresse stellt und IP-Adressen und/oder Portnummern offenlegt. Solche Informationen können manchmal den Zugriff auf interne Netzwerke ermöglichen, was die Klassifizierung als Schwachstelle bezüglich der Erhöhung von Berechtigungen begründet.
Abwehr
Wir empfehlen Kunden, ihre Skype-Server gemäß den Anweisungen von Microsoft zu patchen.
Diese Zusammenfassung gibt einen Überblick über unser aktuelles Verständnis der verfügbaren Informationen und über unsere Empfehlungen. Unsere Überprüfung läuft und alle hierin enthaltenen Informationen können sich jederzeit ändern. Besuchen Sie auch unser Twitter-Konto für Updates in Echtzeit.
