Microsoft repariert 5 Null

Jul 14, 2023

Microsoft hat für den Juli-Patchdienstag eines der größten Sicherheitsupdates der letzten Zeit veröffentlicht und 130 neue Schwachstellen behoben, darunter fünf Zero-Day-Schwachstellen.

In diesem Monat müssen sich Administratoren mit zwei Hinweisen auseinandersetzen, einem Zero-Day ohne Patch, dem nächsten Schritt zur Aktualisierung zweier wichtiger Authentifizierungsprotokolle und neun neu herausgegebenen CVEs. Von den neuen Schwachstellen wurden neun als kritisch eingestuft. Die schiere Anzahl der zu behebenden Schwachstellen in Kombination mit der Komplexität einiger Abhilfemaßnahmen wird diesen Monat viele IT-Abteilungen auf die Probe stellen.

„Ich habe das Gefühl, dass der Juli viele Kollateralschäden, große betriebliche Auswirkungen und viele zeitweise verzögerte Updates mit sich bringen wird“, sagte Chris Goettl, Ivanti Vice President für Sicherheitsproduktmanagement. „Unternehmen müssen darauf achten, nicht zu lange mit dem Patchen zu warten, da viel Aufsehen erregt wird.“

Microsoft hat im Mai einen Fix für eine Zero-Day-Schwachstelle bezüglich der Umgehung der Secure Boot-Sicherheitsfunktion (CVE-2023-24932) aktualisiert, die als wichtig für Windows Server- und Desktop-Systeme eingestuft wurde.

Die Juli-Revision erleichtert die Bereitstellung der Dateien zum Widerrufen der System-Boot-Manager und die Überwachung dieser Aktion über das Ereignisprotokoll. Microsoft gab in seinem Artikel KB5025885 Anweisungen für diese Bereitstellung und forderte Kunden auf, diese Maßnahmen zu befolgen, um die Sicherheit auf ihren Systemen zu erhöhen.

„Diese Schwachstelle hat bereits bekannte Exploits und einen CVSS-Basiswert von 6,7“, sagte Goettl. „Es wird nur als wichtig eingestuft, aber es wird den Organisationen dringend empfohlen, dies als kritisch zu behandeln.“

Neu für den Juli-Patch-Dienstag ist eine Zero-Day-Sicherheitslücke in Microsoft Outlook (CVE-2023-35311), eine Schwachstelle zur Umgehung von Sicherheitsfunktionen, die mit einer CVSS-Bewertung von 8,8 als wichtig eingestuft wird. Ein Angreifer könnte einen Benutzer mit einer speziell gestalteten URL angreifen und dabei das Outlook-Vorschaufenster als Angriffsvektor verwenden. Der Benutzer müsste jedoch auf den Link klicken, damit der Angreifer die Sicherheitslücke ausnutzen kann.

Ein Office- und Windows-HTML-Remotecodeausführungs-Zero-Day (CVE-2023-36884) wird für Windows Server-, Desktop- und Microsoft Office-Anwendungen als wichtig eingestuft. Ein Benutzer müsste ein speziell gestaltetes Microsoft Office-Dokument öffnen, das von einem Angreifer erstellt wurde, um den Exploit auszulösen, der es dem Bedrohungsakteur ermöglichen würde, eine Remotecodeausführung im Kontext des Opfers durchzuführen.

Zum Zeitpunkt der Veröffentlichung dieses Artikels verfügte Microsoft über keinen Patch, sagte jedoch, dass Kunden, die Microsoft Defender für Office verwenden, geschützt seien. Das Unternehmen sagte, dass mehrere seiner anderen Sicherheitsprodukte, darunter Microsoft Defender Antivirus, eine Regel zur Reduzierung der Angriffsfläche verwenden können, um diese Bedrohung zu blockieren. Administratoren, die diese Sicherheitsprodukte nicht verwenden, können laut Microsoft eine Registrierungsänderung entweder über Gruppenrichtlinien oder den Konfigurationsmanager auf anfällige Systeme übertragen.

Goettl sagte, dass Organisationen, die dem Prinzip der geringsten Privilegien folgen, es für einen Angreifer schwieriger machen, diese Schwachstelle auszunutzen, da sie einen anderen Weg finden müssten, ihre Privilegienebene über die eines typischen Endbenutzers hinaus anzuheben.

Ein als wichtig eingestufter Windows Error Reporting Service Elevation-of-Privilege Zero-Day (CVE-2023-36874) betrifft Windows-Desktop- und Serversysteme. Der Angreifer benötigt lokalen Zugriff auf den Zielcomputer mit Berechtigungen zum Erstellen von Ordnern und Leistungsverfolgungen, um die Sicherheitslücke auszunutzen und Administratorrechte zu erlangen.

Beim nächsten Zero-Day handelt es sich um eine Schwachstelle zur Umgehung der Windows SmartScreen-Sicherheitsfunktion (CVE-2023-32049), die für Windows Server- und Desktop-Systeme als wichtig eingestuft wird. Ein Benutzer müsste auf eine speziell gestaltete URL klicken, um den Exploit auszulösen. Goettl sagte, diese Schwachstelle würde typischerweise als Teil einer Angriffskette genutzt, um weiteren Zugriff auf die Infrastruktur des Unternehmens zu erhalten.

Beim letzten neuen Zero-Day-Angriff handelt es sich um eine als wichtig eingestufte Sicherheitslücke in der Windows-MSHTML-Plattform zur Erhöhung von Berechtigungen (CVE-2023-32046), die Windows-Server- und Desktop-Systeme betrifft. Der Angreifer kann einen Benutzer über eine speziell erstellte Datei angreifen, die per E-Mail verschickt oder auf einer Website gehostet wird. Wenn eine der beiden Methoden erfolgreich ist, kann der Angreifer die Rechte des Benutzers erlangen.

Organisationen mit älteren Windows Server-Systemen müssen auf die Patches für diese Schwachstelle achten. Während Internet Explorer 11 nicht mehr unterstützt wird, teilen ältere Server-Betriebssysteme einen Teil seiner Codebasis. Eine IT-Abteilung, die nur Sicherheitsupdates für diese Betriebssysteme bereitstellt, muss auch das kumulative Internet Explorer-Update dieses Monats einbinden, um diesen Fehler zu schließen.

Microsoft gab eine Empfehlung (ADV230001) heraus, die es als „ausgenutzt“ einstufte, der jedoch zum Zeitpunkt der Veröffentlichung kein CVE zugewiesen war. Das Unternehmen sagte, es habe herausgefunden, dass von seinem Windows Hardware Developer Program zertifizierte Treiber bei Angriffen verwendet worden seien, um Administratorrechte zu erlangen, und dass es Maßnahmen ergriffen habe, um weiteren Schaden zu verhindern.

„Microsoft hat Windows-Sicherheitsupdates veröffentlicht …, die Treibern und Treibersignaturzertifikaten für die betroffenen Dateien nicht mehr vertrauen, und hat die Verkäuferkonten der Partner gesperrt“, schrieb das Unternehmen. „Darüber hinaus hat Microsoft Blockierungserkennungen implementiert (Microsoft Defender 1.391.3822.0 und neuer), um Kunden vor rechtmäßig signierten Treibern zu schützen, die bei Post-Exploit-Aktivitäten in böswilliger Absicht verwendet wurden.“

Das Unternehmen sperrte die Entwicklerkonten, die am Betrug mit digitalen Signaturen beteiligt waren, und ergriff weitere Maßnahmen, um Angriffe zu stoppen, die in den Windows-Boot- und Windows-Kernelprozessen auftreten könnten.

Die zweite Empfehlung ADV230002 bezieht sich auf zusätzliche Schutzmaßnahmen, die von Microsoft bereitgestellt werden, um einen Fix zu ergänzen, den Trend Micro veröffentlicht hat, um eine Schwachstelle bei der Umgehung von Sicherheitsfunktionen in einem seiner Produkte zu beheben.

Der Juli-Patchdienstag leitete außerdem die nächsten Schritte zur Verbesserung der Sicherheit in zwei wichtigen Windows-Komponenten ein, die zur Authentifizierung von Computern und Benutzern in der Domäne verwendet werden. Microsoft hat im November 2022 Patches herausgegeben, um eine Schwachstelle bezüglich der Erhöhung von Berechtigungen bei Netlogon RPC (CVE-2022-38023) und eine Schwachstelle bei der Erhöhung von Berechtigungen bei Kerberos (CVE-2022-37967) zu beheben. Diese Korrekturen waren der Beginn einer schrittweisen Einführung, um diese Protokolle zu stärken und es Administratoren zu ermöglichen, etwaige Auswirkungen auf ihre Infrastruktur zu testen, bevor strengere Konfigurationen eingeführt werden.

Das Kerberos-Netzwerkauthentifizierungsprotokoll verwendet Tickets zur Authentifizierung von Benutzern und Computern gegenüber der Domäne. Netlogon erstellt einen sicheren Kommunikationskanal zu den Domänencontrollern, die die Überprüfung der Maschinen- und Benutzeridentitäten übernehmen.

Im Juli-Patchdienstag wurde die „Durchsetzungsphase“ eingeführt, die den letzten Schritt bei der Behebung der Netlogon-Schwachstelle darstellt. Nach der Anwendung des Sicherheitsupdates dieses Monats blockiert der Remote Procedure Call-Dienst auf den Windows-Domänencontrollern anfällige Clients, die RPC-Signatur statt RPC-Versiegelung verwenden. Administratoren können den RequireSeal-Registrierungsunterschlüssel nicht mehr anpassen, um den „Kompatibilitätsmodus“ zu aktivieren, wenn Blockaden auftreten.

Bei der RPC-Signierung fügt der Absender den über das Netzwerk gesendeten Paketen eine digitale Signatur hinzu, die der Empfänger zur Authentifizierung verwendet, um etwaige Manipulationen während der Übertragung zu erkennen. Die RPC-Versiegelung sorgt für ein zusätzliches Maß an Sicherheit, indem sie die über das Netzwerk gesendeten Daten sowohl signiert als auch verschlüsselt.

Die Updates vom Juli-Patchdienstag leiten die Phase der „ersten Durchsetzung“ im Kerberos-Update ein. Sobald ein Administrator die Patches anwendet, fügen Domänencontroller dem Kerberos Privilege Attribute Certificate (PAC)-Puffer Signaturen hinzu, die nicht deaktiviert werden können. Administratoren können einen Überwachungsmodus verwenden, um Verbindungen trotz fehlender oder fehlerhafter Signaturen zuzulassen. Microsoft plant jedoch, am 10. Oktober eine „vollständige Durchsetzungsphase“ einzuführen, die diese Möglichkeit entfernt.

„Hardware und Software von Drittanbietern in einer Umgebung besteht aufgrund dieser Änderungen dem Risiko, dass sie kaputt geht. Unternehmen müssen auf die Audit-Protokollierung achten und sicherstellen, dass sie mit ihren Anbietern Kontakt aufnehmen“, sagte Goettl.

In Russland ansässiger Akteur nutzte ungepatchtes Office Zero Day aus