{"id":681,"date":"2024-10-11T14:19:49","date_gmt":"2024-10-11T14:19:49","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=681"},"modified":"2024-10-11T14:19:49","modified_gmt":"2024-10-11T14:19:49","slug":"microsoft-adressiert-zero-day-schwachstellen","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=681","title":{"rendered":"Microsoft adressiert Zero-Day-Schwachstellen"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Bekanntgegebene Sicherheitsl\u00fccken nutzen nicht nur den Verteidigern. Auch Angreifer k\u00f6nnten so erst auf m\u00f6gliche Einfallstore aufmerksam werden.\n

Shutterstock\/Nick Beer<\/p>\n<\/div>\n

Im Oktober wurden in Microsofts Patch-Tuesdays insgesamt\u00a0117 Sicherheitsl\u00fccken<\/a>\u00a0gemeldet. F\u00fcnf davon sind \u00f6ffentlich bekannt gegebene Zero-Day-Schwachstellen.<\/p>\n

Internet Explorer sorgt immer noch f\u00fcr \u00c4rger<\/h3>\n

Von diesen f\u00fcnf werden laut Microsoft zwei aktiv ausgenutzt. Die erste ist\u00a0CVE-2024-43573<\/a>, interessanterweise ein Spoofing-Fehler in der Windows-Komponente MSHTML.<\/p>\n

MSHTML ist die alte HTML-, CSS- und JavaScript-Rendering-Engine des Internet Explorers. Sie wird in Windows beibehalten, um die Abw\u00e4rtskompatibilit\u00e4t mit Websites zu gew\u00e4hrleisten, die noch f\u00fcr den alten Internet Explorer und \u00e4ltere Versionen des Edge-Browsers aus der Zeit vor Chromium optimiert sind.<\/p>\n

Version 11 des Internet Explorers verschwand vor mehr als zwei Jahren f\u00fcr immer von den Desktops. Dennoch verursacht dieses vergessene Fragment weiterhin Probleme.<\/p>\n

Der Hersteller \u00e4u\u00dfert sich dazu im Advisory: Obwohl Microsoft angek\u00fcndigt habe, den Internet Explorer 11 f\u00fcr bestimmte Plattformen einzustellen, und die Legacy-Anwendung in Microsoft Edge abgek\u00fcndigt worden sei, w\u00fcrden die zugrunde liegenden Plattformen MSHTML, EdgeHTML und Scripting weiterhin unterst\u00fctzt.<\/p>\n

Zwar wird die Sicherheitsl\u00fccke mit einem CVSS-Wert von 6,5 als \u201cm\u00e4\u00dfig\u201d eingestuft, dennoch ist CVE-2024-43573 \u00f6ffentlich bekannt. Damit ist sie eine Bedrohung f\u00fcr Windows-Nutzer sowie f\u00fcr Microsoft 365 und Microsoft Office.<\/p>\n

Microsoft liefert nur wenige Details zu der Schwachstelle, aber das \u201cSpoofing\u201d ist interessant. Das deutet darauf hin, dass Angreifer eine b\u00f6sartige Datei hinter einer unschuldig aussehenden Dateierweiterung verstecken, die den Benutzer zum Anklicken verleitet.<\/p>\n

Es ist das vierte Mal, dass MSHTML innerhalb weniger Monate ausgenutzt wurde. Die vorherigen Beispiele waren\u00a0CVE-2024-30040<\/a>,\u00a0CVE-2024-38112<\/a>und\u00a0CVE-2024-43461<\/a>.<\/p>\n

Remote Code Exploit<\/h3>\n

Die zweite ausgenutzte Zero-Day-Schwachstelle,\u00a0CVE-2024-43572<\/a>, ist wohl die schwerwiegendste. Sie ist mit einem CVSS-Score von 7,8 als \u201cwichtig\u201d eingestuft.<\/p>\n

Es handelt sich um einen Remote Code Exploit (RCE) in der Microsoft Management Console (MMC). Um diese Schwachstelle auszunutzen, muss ein User dazu gebracht werden, eine b\u00f6sartige Microsoft Saved Console (MSC)-Datei zu \u00f6ffnen.<\/p>\n

Nach\u00a0CVE-2024-38259<\/a>\u00a0im September ist dies bereits die zweite Sicherheitsl\u00fccke dieser Art in der MMC innerhalb eines Monats. Microsofts L\u00f6sungsvorschlag f\u00fcr das Oktober-Update: Benutzer daran hindern, nicht vertrauensw\u00fcrdige MSC-Dateien zu \u00f6ffnen: \u201cDas Sicherheitsupdate verhindert, dass nicht vertrauensw\u00fcrdige Microsoft Saved Console (MSC)-Dateien ge\u00f6ffnet werden, um Kunden vor den mit dieser Sicherheitsl\u00fccke verbundenen Risiken zu sch\u00fctzen.\u201d<\/p>\n

Verbleibende Zero-Day-L\u00fccken<\/h3>\n

Die anderen drei Zero Days sind\u00a0CVE-2024-6197<\/a>,\u00a0CVE-2024-20659<\/a>und\u00a0CVE-2024-43583<\/a>. Microsoft ist bei diesen nicht der Meinung, dass sie ausgenutzt werden.<\/p>\n

Von diesen sind CVE-2024-6197 und CVE-2024-43583 wahrscheinlich die beiden, die man im Auge behalten sollte. Die erste ist ein RCE in dem nicht von Microsoft stammenden, aber weit verbreiteten Befehlszeilentool Curl. Bei der zweiten Schwachstelle handelt es sich um einen Fehler bei der Ausweitung von Berechtigungen, mit der ein Angreifer Systemrechte erlangen k\u00f6nnte.<\/p>\n

CVE-2024-6197 ist in gewisser Weise eine Kuriosit\u00e4t. Durch sie k\u00f6nnte ein Angreifer einen VM-Hypervisor attackieren. \u201cAuf einer bestimmten Hardware k\u00f6nnte es m\u00f6glich sein, die UEFI [Firmware] zu umgehen, was zu einer Kompromittierung des Hypervisors und des sicheren Kernels f\u00fchren k\u00f6nnte\u201d, kommentiert Microsoft.<\/p>\n

Weitere kritische Schwachstellen<\/h3>\n

Auf der Skala der CVSS-Bewertung stechen mehrere andere Schwachstellen hervor, vor allem\u00a0CVE-2024-43468<\/a>, eine RCE-Schwachstelle in Microsoft Configuration Manager. Sie hat einen \u201ckritischen\u201d CVSS-Wert von 9,8. Hinzu kommt\u00a0CVE-2024-43488<\/a>, ein Problem in der Arduino-Erweiterung f\u00fcr Visual Studio, das Microsoft bereits entsch\u00e4rft hat.<\/p>\n

Eine, auf die sich jedoch jeder Sicherheitsmanager st\u00fcrzen wird, ist\u00a0CVE-2024-43582<\/a>mit einem CVSS-Score von 8,1. Das ist eine kritische RCE-Schwachstelle im Remote Desktop Protocol (RDP)-Server, einer Schnittstelle, auf die Ransomware-Angreifer besonders gerne abzielen.<\/p>\n

Insgesamt wurden acht Schwachstellen als \u201cExploitation more likely\u201d gekennzeichnet, womit Microsoft signalisiert, dass ein Exploit in den n\u00e4chsten Wochen wahrscheinlich ist. Wie immer geht es darum, die Patches in dieser Woche anzuwenden, um diesen Angriffen zuvorzukommen. (jd)<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Bekanntgegebene Sicherheitsl\u00fccken nutzen nicht nur den Verteidigern. Auch Angreifer k\u00f6nnten so erst auf m\u00f6gliche Einfallstore aufmerksam werden. Shutterstock\/Nick Beer Im Oktober wurden in Microsofts Patch-Tuesdays insgesamt\u00a0117 Sicherheitsl\u00fccken\u00a0gemeldet. F\u00fcnf davon sind \u00f6ffentlich bekannt gegebene Zero-Day-Schwachstellen. Internet Explorer sorgt immer noch f\u00fcr \u00c4rger Von diesen f\u00fcnf werden laut Microsoft zwei aktiv ausgenutzt. Die erste ist\u00a0CVE-2024-43573, interessanterweise ein […]<\/p>\n","protected":false},"author":0,"featured_media":682,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-681","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/681"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=681"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/681\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/682"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=681"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=681"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=681"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}