Einschätzung von Akamai zum Patch Tuesday im September 2024
Die Schule geht wieder los und heute steht die CVE-Analyse auf dem Lehrplan. Wie jeden Monat hat sich die Akamai Security Intelligence Group auf die Suche nach den wichtigsten gepatchten Schwachstellen gemacht.
In diesem Blogbeitrag bewerten wir, wie kritisch die Schwachstellen und wie alltäglich die betroffenen Anwendungen und Services sind. Daraus ergibt sich eine realistische Perspektive auf die Fehler, die behoben wurden. Diese Einblicke erscheinen innerhalb weniger Tage nach jedem Patch Tuesday.
Dies ist ein fortlaufend aktualisierter Bericht, und wir werden ihm weitere Informationen hinzufügen, während unsere Forschung voranschreitet – schauen Sie also wieder vorbei!
Diesen Monat konzentrieren wir uns auf die folgenden Bereiche, in denen Fehler gepatcht wurden
Schwachstellen, die im freien Internet entdeckt wurden
CVE-2024-43491 – Microsoft Windows Update (CVSS 9,8)
Ein Problem mit der Build-Nummer des Sicherheitsupdates vom März löste einen Bug in dem Teil von Windows Update aus, der für optionale Komponenten zuständig ist. Dies führte dazu, dass Windows Update feststellte, dass nachfolgende Updates nicht anwendbar waren, wodurch es diese Komponenten auf ihre Basisversionen zurücksetzte.
Laut Microsoft wurde der Bug in Windows Update nicht öffentlich ausgenutzt, aber einige der betroffenen Komponenten hatten aktiv ausgenutzte Sicherheitslücken (daher auch die Kategorisierungen).
Um gegen diese CVE vorzugehen, sollten Sie sowohl das Sicherheitsupdate KB5043083 als auch das Service-Stack-Update KB5043936 installieren.
Die betroffenen Komponenten sind:
Active Directory Lightweight Directory Services
Verwaltungstools
ASP.NET 4.6
Internet Explorer 11
Internetinformationsservices
LPD-Druckservice
Serverkernkomponenten für Microsoft Message Queue (MSMQ)
Unterstützung für MSMQ HTTP
MultiPoint Connector
Unterstützung für SMB 1.0/CIFS-Dateifreigabe
Windows Fax und Scan
Windows Media Player
Client für Arbeitsordner
XPS Viewer
Sie können mit folgender OSQuery prüfen, ob eine dieser Komponenten auf Ihrem Computer aktiviert ist:
SELECT
name, caption, statename
FROM
windows_optional_features
WHERE
caption IN (
'Active Directory Lightweight Directory Services',
'Administrative Tools',
'ASP.NET 4.6',
'Internet Explorer 11',
'Internet Information Services',
'LPD Print Service',
'Microsoft Message Queue (MSMQ) Server Core',
'MSMQ HTTP Support',
'MultiPoint Connector',
'SMB 1.0/CIFS File Sharing Support',
'Windows Fax and Scan',
'Windows Media Player',
'Work Folders Client',
'XPS Viewer'
)
AND state = 1
CVE-2024-38014 – Windows-Installer (CVSS 7,8)
Das Windows-Installationsprogramm (msiexec.exe) ist die Komponente in Windows, die für die Handhabung und Installation von MSI-Dateien verantwortlich ist. Es gibt nicht viele Details zu dieser Sicherheitslücke, aber angesichts der Tatsache, dass eine erfolgreiche Ausnutzung zu Berechtigungen auf SYSTEM-Ebene führt, könnte das Problem mit dem Windows-Installer-Service (der ebenfalls auf msiexec verweist) und nicht nur mit der Binärdatei zusammenhängen.
CVE-2024-38226 – Sicherheitsfunktionen von Microsoft Publisher (CVSS 7,3)
Die Sicherheitsfunktionen von Microsoft Publisher sollen Nutzer vor schädlichen oder gefährlichen Microsoft-Office-Dokumenten schützen. Angreifer können schädlichen Code in Form von Makros in Office-Dokumente einbetten. Die Sicherheitsfunktionen von Publisher verhindern die automatische Ausführung von Makros und zeigen stattdessen eine Popup-Meldung an, mit der die Ausführung bestätigt werden soll.
CVE-2024-38226 umgeht diesen Schutz, sodass schädlicher Code beim Öffnen des Dokuments automatisch ausgeführt wird.
CVE-2024-38217 – Windows Mark of the Web (CVSS 5,4)
Zwei Monate in Folge gibt es eine weitere Mark-of-the-Web-Umgehung. „Mark of the Web“ ist die Sicherheitsfunktion für die Kennzeichnung potenziell gefährlicher Dateien, die aus dem Internet heruntergeladen wurden. Dadurch wird beim Öffnen der Dateien die SmartScreen-Sicherheitswarnung ausgelöst. Diese Umgehung führt zum Überspringen der Warnung. Um diese Schwachstelle auszunutzen, muss der Angreifer eine Datei auf eine bestimmte Weise erstellen, was dann dazu führt, dass Windows SmartScreen die Datei nicht prüft. So wird die Warnmeldung umgangen.
Derartige Schwachstellen in SmartScreen wurden bereits vor dem letzten Monat aktiv von Cyberkriminellen ausgenutzt. Auch die Patches vom November 2023 und Februar 2024 enthielten Korrekturen für Sicherheitslücken, die als aktiv ausgenutzt gemeldet wurden.
Zusätzlich zu den im freien Internet ausgenutzten CVEs gab es diesen Monat eine weitere CVE, die gepatcht wurde: CVE-2024-43487, mit einem CVSS-Wert von 6,5.
Microsoft SharePoint ist ein webbasiertes Dokumentverwaltungs- und Speichersystem, das sich in andere Microsoft-Office-Produkte integrieren lässt. Diesen Monat gibt es fünf CVEs, zwei kritische Schwachstellen für Remotecodeausführung (RCE) mit CVSS-Werten von 8,8 (CVE-2024-38018) und 7,2 (CVE-2024-43464). Bei den anderen handelt es sich um zwei weitere RCE-Schwachstellen und eine DoS-CVE (Denial-of-Service).
CVE-2024-38018 erfordert, dass sich Angreifer mit einem Konto beim SharePoint-Server authentifizieren, das mindestens über Berechtigungen der Websitemitglieder verfügt. Es gibt keine Details darüber, was der Angreifer tun muss, um die Codeausführung auszulösen.
CVE-2024-43464, CVE-2024-38227und CVE-2024-38228 erfordern Berechtigungen der Websitebesitzer. Zudem muss dafür eine eigens gestaltete Datei hochgeladen und über eine API-Anfrage darauf zugegriffen werden. Dies würde eine Deserialisierung der Dateiparameter auslösen und Code in den SharePoint-Serverprozess einschleusen.
In unseren überwachten Umgebungen haben wir erlebt, dass ca. 30 % der Umgebungen über mindestens einen Computer mit einem installierten SharePoint-Server verfügten.
Da SharePoint-Server normalerweise für die gemeinsame Nutzung von Dokumenten vorgesehen sind, kann es schwierig sein, den Nutzerzugriff auf sie zu segmentieren oder zu beschränken – zumindest ohne dabei den normalen Betrieb zu beeinträchtigen. Wir empfehlen Ihnen daher, Ihre Server so schnell wie möglich zu patchen.
Da aber beide RCE-CVEs eine Nutzerauthentifizierung erfordern, ist es vielleicht möglich, einige der Risiken zu mindern, indem der Nutzerzugriff gestärkt oder die Warnsensitivität bei verdächtigen Nutzeraktivitäten oder Anmeldungen erhöht wird.
Windows Network Address Translation (NAT)
Network Address Translation (NAT) ist eine Form der Netzwerkkommunikation, die mehrere IP-Adressen hinter einer einzelnen IP-Adresse abbildet. Der Hauptverwendungszweck besteht in der Netzwerktrennung, da der gesamte IP-Bereich des internen Netzwerks hinter einer einzigen externen IP-Adresse liegt.
In diesem Monat bedarf es für die kritische RCE-Sicherheitsanfälligkeit in Windows NAT, CVE-2024-38119 , die Überwindung einer Race-Bedingung, um sie erfolgreich ausnutzen zu können. Es ist unklar, welche spezifische Komponente in Windows für NAT verantwortlich ist. Da NAT vor dem typischen Netzwerkstack geschieht, stellt Segmentierung wahrscheinlich keine mögliche Abwehrmaßnahme dar. Daher empfehlen wir das Patchen als einzige Abwehrmaßnahme.
Microsoft SQL Server
In diesem Monat gibt es 13 CVEs in Microsoft SQL Server (MSSQL). Neun davon sind in der Funktion „Native Bewertung“ von MSSQL lokalisiert (eine Funktion für maschinelles Lernen zur Vorhersage von Datenwerten auf Basis vortrainierter Modelle). Und von diesen neun sind sechs RCEs. Es gibt zudem noch vier weitere CVEs im nativen MSSQL-Server.
SQL-Server enthalten in der Regel vertrauliche Informationen und sollten segmentiert und mit Zugriffsbeschränkungen versehen werden, um Datendiebstahl zu verhindern. Wenn Sie bisher noch keine entsprechenden Maßnahmen zum Einsatz bringen, ist dies eine gute Gelegenheit, dies nachzuholen. Bilden Sie Ihre vorhandenen MSSQL-Server ab (durch eine Suche nach dem MSSQL-Service oder nach Verbindungen über die Ports 1433 und 1434).
Erstellen Sie nach der Zuordnung vorhandener Server Segmentierungsrichtlinien auf der Grundlage des vorhandenen Daten-Traffic und anderer Segmente, die Zugriff haben sollen (z. B. IT für alle oder Finanzabteilung für Finanzabteilung usw.). Dies ist auch eine gute Gelegenheit, um zu prüfen, wer unbefugt auf Datenbanken zugreift.
Unseren Beobachtungen zufolge verfügen 75 % der Netzwerke über MSSQL-Server.
Service |
CVE-Nummer |
Auswirkung |
|---|---|---|
Native Bewertung von Microsoft SQL Server |
Remotecodeausführung |
|
Offenlegung von Informationen |
||
Microsoft SQL Server |
||
Erhöhung von Berechtigungen |
||
Zuvor behandelte Services
Viele CVEs im aktuellen Patch Tuesday beziehen sich auf Systeme, die wir bereits beschrieben haben. Wenn Sie an unserer Analyse oder allgemeinen Empfehlungen zu diesen Services interessiert sind, empfehlen wir Ihnen, unsere vorherigen Einschätzungen zum Patch Tuesday zu lesen.
Service |
CVE-Nummer |
Auswirkung |
Erforderlicher Zugriff |
|---|---|---|---|
Denial of Service |
Netzwerk |
||
Erhöhung von Berechtigungen |
Netzwerk |
||
Remotecodeausführung |
Netzwerk mit aktiviertem NetNAT-Service |
||
Spoofing |
Netzwerk |
||
Remotecodeausführung |
Netzwerk, jeder authentifizierte Nutzer |
||
Offenlegung von Informationen |
Netzwerk |
||
Denial of Service |
|||
Spoofing |
Diese Zusammenfassung gibt einen Überblick über unser aktuelles Verständnis der verfügbaren Informationen und über unsere Empfehlungen. Unsere Überprüfung läuft und alle hierin enthaltenen Informationen können sich jederzeit ändern. Besuchen Sie uns auch auf X (ehemals Twitter) und erhalten Sie Echtzeit-Updates.