Einschätzung von Akamai zum Patch Tuesday im August
von Akamai Security Research
Microsofts Patch Tuesday für August wurde veröffentlicht und wir bei Akamai Security Research haben uns auf die Suche nach den faszinierendsten gepatchten Schwachstellen gemacht. In diesem Bericht werden wir versuchen, zu bewerten, wie kritisch die Schwachstellen und wie alltäglich die betroffenen Anwendungen und Dienste sind, und bieten unsere eigene Perspektive auf die Fehler, die behoben wurden. Diese Einblicke erscheinen immer mittwochs nach jedem Patch Tuesday.
Dies ist ein aktualisierter Bericht, und wir werden ihm weitere Informationen hinzufügen, während unsere Forschung voranschreitet – schauen Sie also wieder vorbei!
In diesem Bericht konzentrieren wir uns auf vier Bereiche, in denen Fehler gepatcht wurden:
Windows Point-to-Point-Protokoll (PPP)
Windows Secure Socket Tunneling-Protokoll (SSTP)
Network File System (NFS)
Active Directory-Zertifikatdienste (AD CS)
Microsoft Exchange Server
Für jeden betroffenen Service, den wir abdecken, werden wir versuchen, Empfehlungen für die Überwachung und Minderung zu bieten, wenn Patching nicht möglich ist – entweder durch Zitieren von Microsoft-Empfehlungen oder durch eigene Workarounds aus unserer Erfahrung. Natürlich ist keine Minderung so gut wie ein Patch, also stellen Sie sicher, dass Sie Ihre Systeme nach Möglichkeit patchen und auf dem neuesten Stand halten.
Remote Access Server-Schwachstellen
Dieser Patch Tuesday hat kritische Schwachstellen in zwei Kernprotokollen des RAS (Remote Access Server) vorgestellt: dem Point-to-Point-Protokoll und dem Secure Socket Tunneling-Protokoll.
Remote Access Server ist eine Windows Server-Rolle, die Remote-Clients die Verbindung zum LAN ermöglicht, ähnlich wie bei einem VPN. Die Serverrolle muss aktiv hinzugefügt werden.
Windows Point-to-Point-Protokoll
Das Point-to-Point-Protokoll (PPP) ist in den RAS integriert und bietet Framing- und Authentifizierungsfunktionen für Remoteverbindungen.
In PPP wurden vier Schwachstellen gefunden – zwei kritische Schwachstellen für Remotecodeausführung mit einem CVSS-Score von 9,8 und zwei Denial-of-Service-Schwachstellen (mit 7,5 und 5,9). Nach den Ankündigungen von Microsoft kann ein nicht authentifizierter Remoteangreifer durch das Senden einer manipulierten Verbindungsanforderung Code auf einem RAS-Server ausführen.
Die Ausnutzung aller vier Schwachstellen wird als weniger wahrscheinlich eingestuft, was darauf hindeutet, dass die Auslösung der Sicherheitsschwachstellen oder deren Ausnutzung schwierig oder zumindest nicht trivial sein könnte.
Wie beliebt ist PPP? Von allen Windows-Servern, die wir in unseren überwachten Umgebungen abgefragt haben, empfangen 40 % der Server Verbindungen über Port 1723, den Standardport für das Point-to-Point-Tunneling-Protokoll.
Wo ist der Fehler?
CVE-Analyse
| CVE-Nummer | Auswirkung | Erforderlicher Zugriff | Minderung neben Patching |
|---|---|---|---|
| CVE-2022-35744 | Remotecodeausführung | Netzwerk | Deaktivierung von Port 1723 |
| CVE-2022-30133 | |||
| CVE-2022-35769 | Denial of Service | - | |
| CVE-2022-35747 |
Windows Secure Socket Tunneling-Protokoll (SSTP)
Laut Microsoft Developer Network ist das Windows Secure Socket-Tunneling-Protokoll (SSTP) ein Mechanismus zur Kapselung von PPP‑Traffic über HTTPS. Im Wesentlichen ermöglicht dieses Protokoll Nutzern den Zugriff auf ein privates Netzwerk über HTTPS.
Es wurden sechs Schwachstellen für Remotecodeausführung mit einem CVSS-Score von 8,1 behoben. Außerdem wurden zwei weitere Remotecodeausführungs-Fehler, ebenfalls mit einer Punktzahl von 8,1, gepatcht – unsere Vermutung ist, dass sie mit dem SstpSvc-Dienst in Verbindung stehen. Es wurde eine Denial-of-Service-Schwachstelle mit einer Punktzahl von 5,3 behoben.
Wo ist der Fehler? Der Windows-Dienst, der SSTP unterstützt, ist SstpSvc, der letztlich sstpsvc.dll ausführt.
Allgemeine Empfehlungen
Mit Ausnahme von CVE-2022-34701 beinhalten alle Schwachstellen eine Racebedingung. Da Angriffe unter Racebedingungen in der Regel mehrere Versuche (in einem kurzen Zeitrahmen) erfordern, kann es vorkommen, dass der Traffic zunimmt, sodass die Überwachung von Traffic-Raten und -Spitzen Angriffsversuche aufdecken kann.
CVE-Analyse
| CVE-Nummer | Auswirkung | Erforderlicher Zugriff | Minderung neben Patching |
|---|---|---|---|
| CVE-2022-35766 | Ein nicht authentifizierter Angreifer kann auf einem RAS‑Servergerät eine Remotecodeausführung erreichen. | Netzwerk | |
| CVE-2022-34702 | |||
| CVE-2022-35745 | |||
| CVE-2022-35767 | |||
| CVE-2022-34714 | |||
| CVE-2022-35794 | |||
| CVE-2022-35769 | Ein nicht authentifizierter Angreifer kann auf einem RAS‑Servergerät eine Remotecodeausführung erreichen – wahrscheinlich über den Dienst SstpSvc | - | |
| CVE-2022-35747 | |||
| CVE-2022-34701 | Denial of Service |
Network File System
Network File System (NFS) ist ein Netzwerkprotokoll, das ursprünglich von Sun Microsystems entwickelt wurde, um Remote-Dateizugriff über das Netzwerk zu ermöglichen. Eine Implementierung dieser Rolle ist in Microsoft Windows vorhanden und die NFS‑Rolle kann einem Server hinzugefügt werden, um sie in einen NFS‑Server umzuwandeln.
Analyse des Umfangs
Die NFS‑Funktion muss einem Windows-Server und -Client hinzugefügt werden, bevor sie verwendet werden kann. Sie ist in der Serverrolle „Datei- und Speicherdienste“ in Windows Server enthalten.
NFS verwendet in der Regel die Ports 111 (Sun RPCs EpMapper-Port – frühere Versionen von NFS werden über Sun RPC implementiert) und 2049. Bei der Untersuchung verschiedener Rechenzentren haben wir festgestellt, dass es sich nur bei 0,1 % möglicherweise um NFS-v4-Server handelt und dass nur auf etwa der Hälfte Windows ausgeführt wird.
Wir glauben auch, dass die CVE diesen Monats durch eines der neuesten Sicherheitsupdates eingeführt wurde, da Microsofts Empfehlung (Deaktivierung von NFS v4.1) aussagt, dass dies nur auf vollständig gepatchten Servern durchgeführt werden sollte, was bedeutet, dass nicht vollständig gepatchte Server sicher sein könnten.
Allgemeine Empfehlungen
Normalerweise empfehlen wir, zu versuchen, Ihren NFS‑Server auf NFS v4.1 zu aktualisieren, da es sich um die sicherste Version handelt. Die meisten der NFS‑Schwachstellen in diesem Patch Tuesday betreffen frühere Versionen des Protokolls. Dieses Mal betrifft die Schwachstelle jedoch nur NFS v4, weshalb wir ein Upgrade nicht empfehlen können.
Stattdessen empfehlen wir, eine Segmentierung auf NFS‑Server anzuwenden. Sie sollten prüfen, ob Sie die NFS‑Clients auf eine kleinere Gruppe von Servern/Workstations beschränken (Ringfencing) und auch den ausgehenden Traffic vom NFS‑Server begrenzen können. Da es sich um einen Server handelt, sollte es nur wenige Gründe geben, selbst Verbindungen herzustellen. Eine Segmentierung könnte die Auswirkungen einer erfolgreichen Ausnutzung begrenzen.
CVE-Analyse
CVE-Nummer |
Auswirkung |
Erforderlicher Zugriff |
Minderung neben Patching |
Angreifer können mit nicht authentifizierten Aufrufen von NFS v4 remote Code ausführen |
Netzwerk |
– Deaktivierung von NFS v4 – Rollback von Sicherheitsupdates (unter Beibehaltung von NFS v4, da die meisten der vorherigen CVEs frühere Versionen betrafen) |
Active Directory-Zertifikatdienste
Active Directory-Domänendienste (AD DS) sind eine der Kernkomponenten von Active Directory. Server, auf denen diese Rolle ausgeführt wird, sind die Domänencontroller der Windows-Domäne.
Analyse des Umfangs
In jedem Windows-Domänennetzwerk gibt es mindestens einen Windows-Server, auf dem AD DS ausgeführt wird: den Domänencontroller.
Die Sicherheitslücke in diesem Monat befindet sich in den Active Directory-Zertifikatdiensten (AD CS), die nicht standardmäßig verfügbar sind, sondern eine zusätzliche Rolleninstallation erfordern. In unseren überwachten Windows-Servern in Kundenumgebungen sehen wir, dass 66 % unserer überwachten Netzwerke über einen Server mit der AD CS-Rolle verfügen.
AD CS ist bekannt dafür, von Angreifern missbraucht zu werden, wobei das berüchtigste Beispiel der jüngsten Zeit PetitPotam war. Hier wurde es im Angriffsablauf als Ziel für das NTLM-Relay verwendet (hierzu gibt es einen exzellenten Bericht von SpecterOps).
Allgemeine Empfehlungen
Da der AD CS-Dienst nur auf einer ausgewählten Anzahl von Servern (oder sogar auf einem einzelnen Server) in Ihrem Netzwerk installiert werden sollte, die eine wichtige Rolle in Ihrer Domänenarchitektur spielen, empfehlen wir dringend, diese Server so bald wie möglich zu patchen.
Wenn das nicht möglich ist: Der Patch vom Mai hat zusätzliche Windows-Ereignisprotokolle (nach anderen ähnlichen CVEs) eingeführt, die Sie im Falle von unregelmäßigen Aktivitäten überwachen sollten. In KB5014754 erhalten Sie weitere Informationen.
CVE-Analyse
CVE-Nummer |
Auswirkung |
Erforderlicher Zugriff |
Minderung neben Patching |
Angreifer können Systemberechtigungen erhalten, indem sie bestimmte Nutzerattribute ändern und anschließend eine Anforderung an AD CS senden. |
Netzwerk |
Deaktivierung von AD CS |
Microsoft Exchange Server
Microsoft Exchange Server ist der von Microsoft entwickelte Mailserver. In diesem Monat wurden sechs CVEs, drei Schwachstellen für die kritische Erhöhung von Berechtigungen und drei wichtige Schwachstellen für die Offenlegung von Informationen gepatcht. Diese Schwachstellen betreffen lokale Installationen von Exchange und keine Office 365-Instanzen.
Analyse des Umfangs
Mit der Einführung von Office 365 setzen immer mehr Unternehmen auf die On‑Premises-Installation zugunsten von SaaS-Lösungen. Anscheinend verfügen in unseren überwachten Netzwerken nur 40 % über einen lokalen Exchange-Server.
Allgemeine Empfehlungen
Bei den Schwachstellen für die Offenlegung von Informationen ist eindeutig angegeben, dass sie Angreifern das Lesen gezielter E-Mails ermöglichen. Doch Microsoft gibt nicht explizit die Auswirkungen der Schwachstellen für die Erhöhung von Berechtigungen an. Wir glauben, dass sie Angreifern erlauben könnten, E-Mails im Namen anderer Nutzer zu senden. Da sie auch als „Ausnutzung wahrscheinlicher“ eingestuft werden, empfehlen wir Ihnen dringend, Ihre Exchange-Server zu patchen und den erweiterten Schutzzu aktivieren. Weitere Informationen finden Sie im Exchange-Blogvon Microsoft.
Darüber hinaus erfordern einige dieser Schwachstellen, dass der Exchange-Server auf einen schädlichen Server zugreifen kann, der sich unter der Kontrolle des Angreifers befindet. Wenn Sie die erforderlichen Nachbarn Ihres lokalen Exchange-Servers (externe Mailserver, Datenbanken usw.) zuordnen und Regeln für das Ringfencing erstellen können, könnte dies auch eine effektive Minderung sein.
CVE-Analyse
CVE-Nummer |
Auswirkung |
Erforderlicher Zugriff |
Minderung neben Patching |
Bei einem erfolgreichen Angriff kann ein Angreifer E-Mails lesen und senden. |
Netzwerk |
– Ringfencing ausgehender Verbindungen von Exchange-Servern |
|
Netzwerk, Zugriff auf schädliche Server |
|||
Ein authentifizierter Angreifer kann E-Mails lesen und senden. |
Netzwerk, Authentifizierung |
||
Lesen gezielter E‑Mails |
Netzwerk |
||
Netzwerk, Zugriff auf schädliche Server |
Diese Zusammenfassung gibt einen Überblick über unser aktuelles Verständnis der verfügbaren Informationen und über unsere Empfehlungen. Unsere Überprüfung läuft und alle hierin enthaltenen Informationen können sich jederzeit ändern.
