Einschätzung von Akamai zum Patch Tuesday im September
Microsofts Patch Tuesday für September wurde veröffentlichtund wir bei der Akamai Security Intelligence Group haben uns auf die Suche nach den faszinierendsten gepatchten Schwachstellen gemacht. In diesem Bericht werden wir bewerten, wie kritisch die Schwachstellen und wie alltäglich die betroffenen Anwendungen und Services sind, und bieten unsere eigene Perspektive auf die Fehler, die behoben wurden. Diese Einblicke erscheinen immer donnerstags nach jedem Patch Tuesday.
Dies ist ein aktualisierter Bericht, und wir werden ihm weitere Informationen hinzufügen, während unsere Forschung voranschreitet – schauen Sie also wieder vorbei!
In diesem Bericht konzentrieren wir uns auf die folgenden Bereiche, in denen Fehler gepatcht wurden:
Für jeden betroffenen Service, den wir abdecken, werden wir versuchen, Empfehlungen für die Überwachung und Minderung zu bieten, wenn Patching nicht möglich ist – entweder durch Zitieren von Microsoft-Empfehlungen oder durch eigene Workarounds aus unserer Erfahrung. Natürlich ist keine Minderung so gut wie ein Patch, also stellen Sie sicher, dass Sie Ihre Systeme nach Möglichkeit patchen und auf dem neuesten Stand halten.
IPSec-Schwachstellen
IPSec ist eine Gruppe sicherer Netzwerkprotokollpakete, die Datenpakete zwischen Computern über ein IP‑Netzwerk verschlüsseln und authentifizieren. IPSec wird hauptsächlich in VPNs verwendet.
Dieser Patch Tuesday stellte drei kritische Schwachstellen für Remotecodeausführung in zwei IPSec-Kernprotokollen vor: IKEv1 und IPv6.
Die Schwachstellen befinden sich in dem Teil des Codes, der für die Verarbeitung und das Parsing eingehender Pakete zuständig ist. Aus diesem Grund, und weil sie von nicht authentifizierten Angreifern remote ausgelöst werden können, werden sie allesamt als kritisch eingestuft und mit einem CVSS-Score von 9,8 bewertet.
Protokollerweiterungen für Windows-Internetschlüsselaustausch
Internetschlüsselaustausch (IKE) ist eines der gängigen Protokolle, die für die Aushandlung von Verschlüsselungskeys verwendet werden.
Anwendungsbereich
Systeme mit aktiviertem IPSec, die IKEv1 verwenden, sind anfällig. Windows-Server sind anfällig, da hier sowohl IKEv1 als auch IKEv2 aktiviert sind.
Allgemeine Empfehlungen
Es wird empfohlen, dass Unternehmen IPSec deaktivieren, wenn es nicht verwendet wird.
CVEs
Yuki Chen von Kunlun Lab hat die IKE‑Schwachstellen gefunden. Ursache der Schwachstellen scheinen Integer-Überläufe oder -Unterläufe in den Funktionen IkeQueueRecvRequest, IkeDecryptOakNDPacket und IkeDecryptOakPacket zu sein, was zu einem OOB‑Schreibvorgang (Out of Bounds) führen kann. Diese Schwachstellen erfordern nicht, dass ein Angreifer mehrere Anfragen sendet, was ihre Ausnutzung noch einfacher macht.
CVE-Nummer |
Auswirkung |
Erforderlicher Zugriff |
Remotecodeausführung |
Netzwerk |
|
IPv6
Anwendungsbereich
Systeme mit aktiviertem IPSec und IPv6 sind anfällig für diesen Fehler.
Allgemeine Empfehlungen
Es wird empfohlen, dass Unternehmen IPSec deaktivieren, wenn es nicht verwendet wird.
CVE
CVE-Nummer |
Auswirkung |
Erforderlicher Zugriff |
Remotecodeausführung |
Netzwerk |
Microsoft Dynamics CRM-Schwachstellen
Microsoft Dynamics CRM ist Teil von Microsoft Dynamics 365. Zwar wird die Anwendung in der Regel als cloudbasierter Service angeboten, doch die kritischen Schwachstellen, die im aktuellen Patch behoben wurden, betreffen die On‑Premises-Installation. Beide Schwachstellen werden mit einem CVSS-Score von 8,8 als kritisch bewertet und wurden von Fabian Schmidt.
Anwendungsbereich
Microsoft Dynamics CRM muss bereitgestellt werden, bevor es verwendet oder aufgerufen werden kann, und es ist nicht standardmäßig verfügbar. Da die Portliste der Lösung ziemlich allgemein ist, lässt sich durch einen Blick auf den Registrierungsschlüssel „HKLM\SOFTWARE\Microsoft\MSCRM“ herausfinden, ob sie vorhanden ist. In unseren überwachten Umgebungen war dieses Produkt selten bis gar nicht anzutreffen.
Allgemeine Empfehlungen
Zwar sollte Patching die höchste Priorität haben, doch in Fällen, in denen das nicht sofort möglich ist, sollte es unserer Meinung nach möglich sein, den Angriffsvektor durch Segmentierung zu reduzieren. Die Segmentierung kann auf zwei Ebenen erfolgen:
Ringfencing – Sie können den Umfang der Workstations, die auf die CRM‑Server zugreifen können, auf die Mitarbeiter beschränken, die auf das System zugreifen sollten (in der Regel IT- und Cybersicherheitsmitarbeiter).
Darüber hinaus gilt: Wenn auf den CRM‑Servern nur CRM und nichts anderes ausgeführt wird, können Sie auch die Netzwerkkommunikation auf die Portliste begrenzen, die gemäß Microsofts Dokumentation.
Nutzerbasierte Segmentierung – da für den Angriff ein authentifizierter Nutzer erforderlich ist, sollte sich dieser Vektor ebenfalls gut zur Risikominderung eignen.
CVEs
CVE-Nummer |
Auswirkung |
Erforderlicher Zugriff |
SQLi führt zu Befehlsausführung |
Netzwerkzugriff mit einem authentifizierten Nutzer |
|
OLE DB- und ODBC-Schwachstellen
OLE DB und ODBC sind beide API‑Spezifikationen, die entwickelt wurden, um die Verbindung zwischen einem Datenkonsumenten und einer Datenquelle zu abstrahieren. Während ODBC älter und prozedural ist, ist OLE DB neuer, wird mithilfe des Component Object Model (COM) implementiert und unterstützt auch nicht relationale Datenbanken.
Elf Schwachstellen für Remotecodeausführung wurden von Forscher Haifei Li entdeckt. Sie wurden allesamt als wichtig eingestuft und mit einem CVSS-Score von 8,8 bewertet. Es ist wahrscheinlich, dass Li viel Mühe darauf verwendet hat, die Mechanismen für die DB‑Konnektivität unter Windows auszunutzen. Sechs der Schwachstellen liegen beim OLE DB-Anbieter für SQL Server und die anderen fünf im ODBC-Treiber.
OLE DB-Schwachstellen
In den FAQ‑Abschnitten weisen die sechs OLE DB-Schwachstellen allesamt die gleiche Beschreibung des Angriffsablaufs auf. In der Beschreibung ist ein Fehler enthalten (über den wir das Microsoft Security Response Center informiert haben): Es wird erwähnt, dass ein vom Angreifer kontrollierter Server ein schädliches Paket empfängt, anstatt eines zu senden. Der korrigierte Text lautet wie folgt:
Ein Angreifer kann die Schwachstelle ausnutzen, indem er einen authentifizierten Nutzer dazu verleitet, über OLE DB eine Verbindung zu einem schädlichen SQL‑Server herzustellen, was dazu führen kann, dass der Server ein schädliches Netzwerkpaket sendet. Das könnte es dem Angreifer ermöglichen, remote Code auf dem Client auszuführen.
Der Angreifer muss einen bestimmten Trigger auf dem betroffenen Computer ausführen, der dann versucht, eine Verbindung zu einem vom Angreifer gesteuerten Remoteserver herzustellen. Letzterer sendet ein schädliches Paket, das zur Codeausführung auf dem Clientsystem führt.
Anwendungsbereich
Die Bibliotheken, die für die Implementierung der OLE DB-Spezifikation verantwortlich sind, stehen auf jedem Windows-System zur Verfügung. Daher ist es für die Ausnutzung nicht erforderlich, dass eine Anwendung, ein Service oder eine Serverrolle auf einem Computer installiert wird, damit dieser anfällig ist.
Allgemeine Empfehlungen
Die Ausnutzung der OLE DB-Schwachstellen kann durch Segmentierung verhindert werden. Eine Allowlist von SQL-Servern in der Organisation stellt sicher, dass keine Verbindungen zu externen, unbekannten Servern hergestellt werden, wodurch die oben beschriebene Angriffskette verhindert wird.
CVEs
CVE-Nummer |
Auswirkung |
Erforderlicher Zugriff |
Remotecodeausführung im OLE DB-Anbieter |
Netzwerk, erfordert jedoch eine authentifizierte Nutzerinteraktion |
|
ODBC-Schwachstellen
Bei dem Angriffsszenario (für alle fünf Schwachstellen) wird ein authentifizierter Nutzer dazu gebracht, eine schädliche Datei in Microsoft Access zu öffnen, einer DBMS-Anwendung (Database Management System), die Teil der Microsoft 365-Suite ist. Die schädliche Datei sollte über ODBC geöffnet werden, was folglich den anfälligen Code im ODBC-Treiber auslöst und zu willkürlicher Codeausführung auf dem Rechner des Opfers führt – und zwar mit der gleichen Berechtigungsstufe wie der Access-Prozess.
Die schädliche Datei sollte im MDB-Format vorliegen, das die Struktur und die Einträge einer Datenbank sowie (optional) Dateneingabeformulare, Abfragen, gespeicherte Prozeduren usw. angibt. Das MDB-Dateiformat ist relativ alt und sein Nachfolger von Access 2007 – das ACCDB-Format – bietet zusätzliche Funktionen.
Anwendungsbereich
Laut mehreren Ressourcenverwenden 135.000 Unternehmen die Microsoft Access-Anwendung als ihre DBMS-Lösung. Unter den Umgebungen, die wir überwachen, ist die Microsoft Access-Anwendung in 27 % der Rechenzentren installiert. Sie findet sich dort auf einigen Netzwerkcomputern.
CVEs
CVE-Nummer |
Auswirkung |
Erforderlicher Zugriff |
Remotecodeausführung im ODBC-Treiber |
Netzwerk, erfordert jedoch eine authentifizierte Nutzerinteraktion |
|
CVEs
CVE-Nummer |
Auswirkung |
Erforderlicher Zugriff |
Remotecodeausführung |
Netzwerkzugriff über einen authentifizierten Nutzer mit Berechtigungen zum Verwalten von Listen |
|
Netzwerkzugriff über einen authentifizierten Nutzer mit Berechtigungen zum Erstellen von Seiten |
Schwachstelle bezüglich Remoteprozeduraufruf-Laufzeit
Remoteprozeduraufruf (RPC) wird für eine effiziente Kommunikation zwischen den Prozessen verwendet. Er basiert auf einem standardmäßigen Client-Server-Modell und ist derzeit eines der am häufigsten verwendeten Protokolle in Windows. Microsoft verwendet RPC als Teil vieler Windows-Services.
Die Schwachstelle ermöglicht es Angreifern, auf Funktionen in portmap.sys zuzugreifen, einem Dienst, der ein Open Network Computing-RPC-Programm einer Netzwerkadresse zuordnet.
Anwendungsbereich
Die Schwachstelle ist nur auf Windows-Servern vorhanden.
CVE
CVE-Nummer |
Auswirkung |
Erforderlicher Zugriff |
Remotecodeausführung |
Netzwerk |
Windows Kerberos-Schwachstellen
Kerberos ist das Rückgrat der Windows-Domainarchitektur. Es handelt sich um den Standardauthentifizierungsmechanismus, der den New Technology LAN Manager ersetzt hat. Dieses Mal gibt es zwei Schwachstellen, die beide von James Forshaw. Beide Schwachstellen drehen sich um das Herunterstufen der Verschlüsselung und weisen einen CVSS-Wert von 8,1 auf. Durch die Änderung der Verbindung zwischen dem Opfer und dem Domänencontroller, um die schwächere RC4‑md4-Verschlüsselung zu verwenden, könnte ein Angreifer den Kerberos-Sitzungsschlüssel des Opfers knacken, um Berechtigungen zu erlangen.
Anwendungsbereich
Kerberos ist Teil jeder Windows-Domänenarchitektur.
Allgemeine Empfehlungen
Microsofts Empfehlung ist, dass Kerberos-Schutz vor den beiden Schwachstellen schützen kann. Auf dieser Seite erhalten Sie weitere Informationen. Der Entdecker der Schwachstellen, James Forshaw, erwähnte , dass die Aktivierung von Kerberos-Schutz allein nicht ausreicht und dass das KDC diese Anforderung durchsetzen und nicht nur unterstützen muss.
Darüber hinaus ist eine der Voraussetzungen, damit die Schwachstellen greifen, ein Identitätsangriff (laut Forshaw ist dies jedoch bei CVE-2022-33679 nicht zwingend der Fall). So steht der Angreifer zwischen dem Opfer und dem Domänencontroller. Imitationsangriffe sind ein gängiger Angriffsvektor und können ziemlich viel „Lärm“ verursachen. Daher kann die Verwendung von IDS- oder IPS‑Lösungen oder aktives Threat Hunting dazu beitragen, das Risiko in gewissem Maße zu mindern.
CVEs
CVE-Nummer |
Auswirkung |
Erforderlicher Zugriff |
Minderung neben Patching |
Erhöhung von Berechtigungen bis zu SYSTEM |
Netzwerk, mit Identitätswechsel zwischen Opfer und Domänencontroller |
||
Netzwerk |
Aktivieren der Kerberos-Vorauthentifizierung ohne RC4-Schlüssel |
Diese Zusammenfassung gibt einen Überblick über unser aktuelles Verständnis der verfügbaren Informationen und über unsere Empfehlungen. Unsere Überprüfung läuft und alle hierin enthaltenen Informationen können sich jederzeit ändern.