Einschätzung von Akamai zum Patch Tuesday im September 2023

CVE-2023-36802 – Microsoft Streaming Service Proxy (CVSS 7,8)

Microsoft Streaming Service Proxy steht im Zusammenhang mit Microsoft Stream, dem Nachfolger von Office 365 Video. Der Dienst heißt „MSKSSRV“ und wurde in %WinDir%\System32\drivers\MSKSSRV.sys implementiert. Die Schwachstelle wurde im freien Internet ausgenutzt, was zu einer Berechtigungseskalation führte. 

CVE-2023-36761 – Microsoft Word (CVSS 6,2)

Eine im freien Internet ausgenutzte Schwachstelle in Microsoft Word mit einem CVSS-Score von 6,2 wurde behoben. Die Schwachstelle scheint eine erzwungene NTLM-Authentifizierung gewesen zu sein. Die Sicherheitslücke wirkt sich auch auf den Vorschaubereich aus.

Dies ist nicht die einzige Schwachstelle, die diesen Monat in Microsoft Word behoben wurde, denn auch eine weiteren RCE-Schwachstelle (CVE-2023-36762) betraf Word. Auch diese Schwachstelle wirkt sich auch auf den Vorschaubereich aus, doch laut Microsoft ist es, im Gegensatz zur ersten Schwachstelle, unwahrscheinlich, dass diese Schwachstelle ausgenutzt wird.

Microsoft Azure Kubernetes Service

Microsoft Azure Kubernetes Service (AKS) ist die Kubernetes-Plattform von Microsoft, die es Nutzern ermöglicht, ihre eigene containerisierte Umgebung bereitzustellen und zu verwalten.

Aus den Kommentaren von Microsoft zu dieser Schwachstelle wissen wir, dass dieser Angriff von einer externen Quelle ausgeführt werden kann, was eher auf einen Angriff auf die AKS-Infrastruktur anstatt auf das Cluster selbst hinweisen kann.

Im Falle eines erfolgreichen Angriffs erhält der Angreifer Administratorrechte auf dem Kubernetes-Cluster. Das klingt zwar schwerwiegend, aber Microsoft hat festgestellt, dass diese Schwachstelle nur mit einer geringen Wahrscheinlichkeit ausgenutzt wird.

Es gibt noch weitere Neuigkeiten zu Kubernetes: Unser Forschungsteam veröffentlichte einen Blogbeitrag zu CVE-2023-3676 – eine Schwachstelle, welche die Remoteausführung von Code (RCE) mit SYSTEM-Berechtigungen auf allen Windows-Endgeräten innerhalb eines Kubernetes-Clusters ermöglicht. .

Windows-Designs

Microsoft Designs ist eine Funktion in Windows, mit der Nutzer unter anderem die Art und Weise ändern können, in der Symbole oder Schriftarten angezeigt werden.

Ein Design kann von jedem Nutzer auf dem Endgerät angewendet werden, es sind also keine Berechtigungen erforderlich. Um die behobene Schwachstelle auszunutzen, musste ein Angreifer einen Nutzer dazu bringen, eine schädliche Design-Datei anzuwenden.

Aus den Kommentaren von Microsoft zu dieser Schwachstelle wissen wir, dass es sich bei der Schwachstelle um eine RCE über Endgeräte handelt. Wir gehen davon aus, dass über die Design-Datei eine Binärdatei von einer nicht autorisierten Quelle in einen Speicherort heruntergeladen wird und anschließend möglicherweise ausgeführt wird.

Internetverbindungsfreigabe (Internet Connection Sharing, ICS)

Eine RCE-Sicherheitslücke wurde im ICS-Service (Internet Connection Sharing) entdeckt.

ICS ist ein Service, der es einem mit dem Internet verbundenen Windows-Host ermöglichen soll, als Internetgateway zu anderen Hosts im lokalen Netzwerk zu fungieren, die keinen direkten Internetzugriff haben.

Dieser Service ist nur für die Nutzung durch Hosts im selben LAN vorgesehen, was möglicherweise erklärt, warum diese Schwachstelle Microsoft zufolge nur von Hosts innerhalb desselben Netzwerksegments ausgenutzt werden kann.

Mit Ausnahme von älteren Windows-Versionen sollte der ICS-Service „SharedAccess“ nicht standardmäßig ausgeführt werden.