Einschätzung von Akamai zum Patch Tuesday im Oktober 2024
Wir haben einen neuen Monat und anstatt nach Äpfeln können wir in einer großen Schüssel nur nach CVEs tauchen. In diesem Monat gibt es insgesamt 117 CVEs in 60 verschiedenen Komponenten. Davon sind drei kritisch, zwei wurden im freien Internet beobachtet und eine wurde von uns gefunden.
In diesem Blogbeitrag bewerten wir, wie kritisch die Schwachstellen und wie alltäglich die betroffenen Anwendungen und Services sind. Daraus ergibt sich eine realistische Perspektive auf die Fehler, die behoben wurden. Diese Einblicke erscheinen innerhalb weniger Tage nach jedem Patch Tuesday.
Dies ist ein fortlaufend aktualisierter Bericht, und wir werden ihm weitere Informationen hinzufügen, während unsere Forschung voranschreitet – schauen Sie also wieder vorbei!
Diesen Monat konzentrieren wir uns auf die folgenden Bereiche, in denen Fehler gepatcht wurden:
Schwachstellen, die im freien Internet entdeckt wurden
CVE-2024-43572 – Microsoft Management Console (CVSS 7,8)
Die Microsoft Management Console (mmc.exe) ist eine grafische Nutzeroberfläche für verschiedene Komponenten.
Windows-Ereignisanzeige, Services Manager und Task Scheduler und viele andere sind als Snap-Ins für die Microsoft Management Console implementiert.
Snap-Ins selbst sind auch Dateien mit der Erweiterung .msc. Diese teilt der Management Console mit, was angezeigt und welche Funktionen angeboten werden sollen. (Wenn Sie z. B. die Ereignisanzeige ausführen, läuft mmc.exe eventvwr.msc im Hintergrund).
Bei der Sicherheitslücke scheint es einen Zusammenhang mit dem Laden nicht vertrauenswürdiger .msc-Dateien zu geben. Eine unvorsichtige Verwendung führt wahrscheinlich zu einer Remote-Code-Ausführung (RCE). „Remote“ bezieht sich in diesem Fall natürlich auf die Entfernung zwischen Angreifer und Opfer. Das Opfer müsste eine schädliche .msc-Datei herunterladen und öffnen, um die Schwachstelle auszulösen. Neben der Behebung der RCE enthält der Patch für diesen Monat auch einen Fix, der verhindert, dass nicht vertrauenswürdige .msc-Dateien geladen werden.
CVE-2024-43573 – Windows MSHTML-Plattform (CVSS 6,5)
MSHTML ist ein Webseiten-Renderer für das Windows-Betriebssystem. Er bietet eine COM-Schnittstelle (Component Object Model), über die Programme Web-Rendering-Funktionen hinzufügen können. Er wird von Internet Explorer, dem Internet-Explorer-Modus von Microsoft Edge, Microsoft Outlook und verschiedenen anderen Programmen verwendet.
Auf der MSHTML-Plattform wurden in der Vergangenheit mehrere Schwachstellen gefunden (darunter einige durch Akamai-Forscher). Sie stellt ein attraktives Ausbeutungsziel für Angreifer dar, weil sie Abwehrmechanismen umgehen kann und eine in Windows integrierte Funktion ist.
Von Forschern von Akamai entdeckte Schwachstellen
CVE-2024-43532 – Remote-Registrierungsdienst (CVSS 8,8)
Der Remote-Registrierungsdienst in Windows ermöglicht die Interaktion mit der Windows-Registrierung zwischen Remote-Computern und wird über das RPC-Protokoll (Remote Procedure Call) implementiert. CVE-2024-43532 wurde vom Akamai-Forscher Stiv Kupchik entdeckt und die Entdeckung im Februar 2024 öffentlich gemacht.
Die Schwachstelle besteht tatsächlich in der clientseitigen RPC-Implementierung der Remote-Registrierung, genauer in den Funktionen RegConnectRegistry und RegConnectRegistryEx. Die Ursache liegt im Fallback-Mechanismus bei RPC-Transporten. Obwohl der Traffic für die Remote-Registrierung in der Regel über benannte Pipes und SMB abgewickelt wird, enthält die Client-Implementierung einen Fallback-Mechanismus zu TCP, falls die benannte Pipe nicht verfügbar ist. Im Gegensatz zum SMB-Traffic, der eine sichere Authentifizierung und Verschlüsselung verwendet, authentifiziert sich der TCP-Traffic ohne Integritätsprüfungen oder Verschlüsselung. Dies macht ihn anfällig für NTLM-Relay-Angriffe.
Wir stellen diese Sicherheitslücke auf der Konferenz No Hat 2024 vor. Besuchen Sie also entweder die Konferenz, um live dabei zu sein, oder lesen Sie den begleitenden Blogbeitrag, den wir nach der Veranstaltung veröffentlichen werden.
Microsoft Configuration Manager
Der Microsoft Configuration Manager ist Teil der Intune-Softwarefamilie. Er soll IT-Managern bei der Konfiguration und Verwaltung einer großen Anzahl von Windows-Computern und -Servern helfen.
Ein Configuration-Manager-Setup enthält mehrere Komponenten. Wir werden uns aber auf die SQL-Datenbank konzentrieren. Aus den Notizen von CVE-2024-43468 und der Schwachstellen-ID geht hervor, dass die erfolgreiche Ausnutzung der Sicherheitslücke die Ausführung von Befehlen in der Datenbank ermöglicht (und im Falle einer monolithischen Einzelserverinstallation auch auf dem Hauptserver von Configuration Manager).
Da sowohl für den Configuration Manager als auch die Konsolenanwendung Patches vorhanden sind, besteht das Problem wahrscheinlich darin, dass die Werte, die Sie in den Server eingeben, nicht bereinigt oder validiert werden, bevor sie an die Datenbank übergeben werden (und nicht in der Sicherheit der Datenbank selbst). Daher ist es unwahrscheinlich, dass die einfache Sicherung der Datenbank durch Segmentierung die Auswirkungen dieser Schwachstelle verringert. Dennoch ist dies vermutlich eine gute Sicherheitsmaßnahme.
Es ist möglich, Configuration-Manager-Installationen über die folgende osquery zu erkennen:
SELECT display_name, status, start_type, path FROM services WHERE name='SMS_Executive’
Windows Remote Desktop
Windows Remote Desktop wird für die Remotedesktopverbindung zwischen Windows-Computern über RDP (Remote Desktop Protocol) verwendet. In diesem Monat gibt es mehrere Schwachstellen in verschiedenen Komponenten von Windows Remote Desktop, daher werden wir sie alle gemeinsam besprechen.
Die wichtigste davon ist natürlich CVE-2024-43582 – eine kritische RCE-Schwachstelle auf dem serverseitigen Service. Ein Angreifer muss „nur“ eine Verbindung zu einem RDP-Server herstellen, ihn mit fehlerhaften Paketen spammen und eine Race-Bedingung überwinden, die dann für die RCE genutzt werden kann.
Da RDP in Netzen sehr verbreitet ist und zur lateralen Netzwerkbewegung genutzt werden kann, empfehlen wir entsprechende Regeln zu erstellen. Wir haben festgestellt, dass 89 % der Netzwerke Windows-RDP-Traffic hatten und dass bei 73 % der Netzwerke der Traffic nicht eingeschränkt war.
Durch die Beschränkung des RDP-Zugriffs auf Nutzergeräte oder nur auf vorab autorisierte Server (wie Jumpboxen) kann das Risiko dieser Schwachstellen erheblich verringert werden. Einige schnell umsetzbare Maßnahmen in Bezug auf RDP behandeln wir in unserem Blogbeitrag zur Segmentierung. Unabhängig von den Richtlinien empfehlen wir Ihnen, den Patch so bald wie möglich aufzuspielen.
Komponente |
CVE-Nummer |
CVSS-Wert |
Auswirkung |
|---|---|---|---|
Protokollserver des Remotedesktop |
8,1 |
Remotecodeausführung |
|
Windows Remote Desktop Lizenzservice |
7,5 |
||
Remote Desktop Client |
8,8 |
||
8,8 |
|||
Windows Remote Desktop Services |
4,8 |
Manipulation |
Zuvor behandelte Services
Viele CVEs im aktuellen Patch Tuesday beziehen sich auf Systeme, die wir bereits beschrieben haben. Wenn Sie an unserer Analyse oder allgemeinen Empfehlungen zu diesen Services interessiert sind, empfehlen wir Ihnen, unsere vorherigen Einschätzungen zum Patch Tuesday zu lesen.
Service |
CVE-Nummer |
Auswirkung |
Erforderlicher Zugriff |
|---|---|---|---|
Erhöhung von Berechtigungen |
Netzwerk, authentifiziert |
||
Offenlegung von Informationen |
Netzwerk |
||
Remotecodeausführung |
Lokal, erfordert Social Engineering oder Phishing |
||
Remotecodeausführung |
Netzwerk |
||
Erhöhung von Berechtigungen |
Lokal |
||
Remotecodeausführung |
Netzwerk |
Diese Zusammenfassung gibt einen Überblick über unser aktuelles Verständnis der verfügbaren Informationen und über unsere Empfehlungen. Unsere Überprüfung läuft und alle hierin enthaltenen Informationen können sich jederzeit ändern. Besuchen Sie uns auch auf X (ehemals Twitter) und erhalten Sie Echtzeit-Updates.