Microsoft stopft 98 Schwachstellen inklusive einer 0-Day-Lücke

Neue Software, Treiber oder BIOS-Versionen findet ihr hier
[ News about software, drivers and bios can be found here ]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 38065
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Microsoft stopft 98 Schwachstellen inklusive einer 0-Day-Lücke

Beitrag von doelf »

Microsoft hat im Januar stolze 98 Sicherheitslücken in Windows, Office, .NET Core, dem 3D Builder, dem Azure Service Fabric Container, dem Bluetooth-Treiber, dem Exchange Server, der Graphics-Komponente, dem Local Security Authority Server (lsasrv), dem Message Queuing, dem WDAC OLE DB-Anbieter für SQL und Visual Studio Code geschlossen. Elf Schwachstellen wurden als kritisch eingestuft und von den übrigen geht eine hohe Gefahr aus. Auch die 0-Day-Lücke (CVE-2023-21674) stellt eine hohe Gefahr dar, es handelt sich um eine Rechteerweiterung im ALPC (Advanced Local Procedure Call).

Hier die lange Liste der verwundbaren Windows-Komponenten: ALPC (Advanced Local Procedure Calls), Anbieter für virtuelle Registrierung, Anmeldeinformationsverwaltung, Authentifizierungsmethoden, Bind-Filtertreiber, BitLocker, Defender, Druckerspooler-Komponenten, DWM-Kernbibliothek, EFS (verschlüsselndes Dateisystem), Ereignisablaufverfolgung, Fehlerberichterstattung, IKE (Protokoll für den Internetschlüsselaustausch), IKE-Erweiterung, Installer, iSCSI, Kernel, Key Guard, Kryptografiedienste, Layer 2 Tunneling-Protokoll, LDAP (Lightweight Directory Access Protocol), LSA (lokale Sicherheitsautorität), LSM (Lokaler Sitzungs-Manager), MSCryptDImportKey, NTLM, ODBC-Treiber, Point-to-Point-Tunneling-Protokoll, RAS-Dienst L2TP-Treiber, RPC-API, SSTP (Secure Socket Tunneling Protocol), Sicherungsmodul, Smartcard, Start-Manager, Taskplaner, Überlagerungsfilter, Verwaltungsinstrumentation, Workstation-Dienst und Zusatzfunktionstreiber für Winsock. Seitens Office werden neben der Büro-Software selbst auch SharePoint und Visio aufgeführt.

Betrachten wir zunächst die elf kritischen Lücken, sortiert nach ihrer CVSS-Einstufung:
  • CVE-2023-21561 ‐ Sicherheitsanfälligkeit in Microsoft-Kryptografiediensten bezüglich Rechteerweiterungen:
    Ein lokal authentifizierter Benutzer kann seine Berechtigungen von AppContainer auf SYSTEM erhöhen, indem er speziell gestaltete Daten an den lokalen CSRSS-Dienst sendet. Im Anschluss kann er Code ausführen sowie auf Ressourcen auf einer höheren Integritätsebene zugreifen. Betroffen sind Windows 7 bis 11 sowie die Server von 2008 bis 2022. Diese Schwachstelle wurde bisher nicht angegriffen und auch nicht öffentlich dokumentiert. Auch zukünftige Attacken gelten als unwahrscheinlich.
    • Angriffsvektor: Lokal
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Niedrig
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: unwahrscheinlicher
    • CVSS v3.1: 8,8 (Basis); 7,7 (zeitlich)
  • CVE-2023-21535 ‐ Sicherheitsanfälligkeit im Windows Secure Socket Tunneling Protocol (SSTP) bezüglich Remotecodeausführung:
    Ein nicht authentifizierter Benutzer kann eine speziell gestaltete Verbindungsanforderung an einen RAS-Server senden und diesen dazu bringen, beliebigen Code auszuführen. Hierzu ist es erforderlich, dass der Angreifer eine Race-Bedingung gewinnt. Betroffen sind die Windows Server 2008 bis 2022. Diese Schwachstelle wurde bisher nicht angegriffen und auch nicht öffentlich dokumentiert. Auch zukünftige Attacken gelten als unwahrscheinlich. Dieser Fehler erinnert sehr an die Schwachstellen CVE-2022-44670 und CVE-2022-44676, welche Microsoft im Dezember 2022 geschlossen hatte.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Hoch
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: unwahrscheinlicher
    • CVSS v3.1: 8,1 (Basis); 7,1 (zeitlich)
  • CVE-2023-21548 ‐ Sicherheitsanfälligkeit im Windows Secure Socket Tunneling Protocol (SSTP) bezüglich Remotecodeausführung:
    Anderer Server, ähnlicher Angriff: Ein nicht authentifizierter Benutzer kann speziell gestaltete SSTP-Pakete an einen SSTP-Server senden und diesen dazu bringen, beliebigen Code auszuführen. Hierzu ist es erforderlich, dass der Angreifer eine Race-Bedingung gewinnt. Betroffen sind Windows 7 bis 11 sowie die Server von 2008 bis 2022. Diese Schwachstelle wurde bisher nicht angegriffen und auch nicht öffentlich dokumentiert. Auch zukünftige Attacken gelten als unwahrscheinlich.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Hoch
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: unwahrscheinlicher
    • CVSS v3.1: 8,1 (Basis); 7,1 (zeitlich)
  • CVE-2023-21543, CVE-2023-21546, CVE-2023-21555, CVE-2023-21556 und CVE-2023-21679 ‐ Sicherheitsanfälligkeiten im Windows Layer 2 Tunneling Protocol (L2TP) bezüglich Remotecodeausführung:
    Anderes Protokoll, ähnlicher Angriff: Ein nicht authentifizierter Benutzer kann eine speziell gestaltete Verbindungsanforderung an einen RAS-Server senden und diesen dazu bringen, beliebigen Code auszuführen. Hierzu ist es erforderlich, dass der Angreifer eine Race-Bedingung gewinnt. Betroffen sind die Windows Server 2008 bis 2022. Auch diese fünf Schwachstellen wurden bisher nicht angegriffen und auch nicht öffentlich dokumentiert. Auch zukünftige Attacken gelten als unwahrscheinlich.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Hoch
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: unwahrscheinlicher
    • CVSS v3.1: 8,1 (Basis); 7,1 (zeitlich)
  • CVE-2023-21551 und CVE-2023-21730 ‐ Sicherheitsanfälligkeiten in Microsoft-Kryptografiediensten bezüglich Rechteerweiterungen:
    Ein lokal authentifizierter Benutzer kann seine Berechtigungen auf SYSTEM erhöhen. Wie das genau funktioniert, verrät Microsoft allerdings nicht. Während CVE-2023-21551 auf Windows 10 Version 20H2 bis 22H2, Windows 11 und die Server 2019 bis 2022 beschränkt ist, betrifft CVE-2023-21730 alle noch unterstützten Windows-Varianten. Diese beiden Schwachstellen wurden bisher nicht angegriffen und auch nicht öffentlich dokumentiert. Zukünftige Attacken gelten als unwahrscheinlich.
    • Angriffsvektor: Lokal
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Niedrig
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: unwahrscheinlicher
    • CVSS v3.1: 7,8 (Basis); 6,8 (zeitlich)
  • CVE-2023-21743 ‐ Sicherheitsanfälligkeit in Microsoft SharePoint Server bezüglich Umgehung von Sicherheitsfunktionen:
    Trotz einer niedrigen CVSS-Einstufung gilt diese Lücke im SharePoint Enterprise Server 2016, SharePoint Server 2019 und der SharePoint Server Subscription Edition als kritisch. Offenbar ist es nicht authentifizierten Benutzern möglich, eine anonyme Verbindung zu SharePoint Servern herzustellen, was "zu einem gewissen Verlust der Integrität und einem gewissen Verlust der Vertraulichkeit" führen kann. Was hierunter zu verstehen ist, will Microsoft in Kürze erklären. Um eine SharePoint-Farm zu schützen, reicht das Einspielen des Updates nicht aus. Es muss zusätzlich auf jedem SharePoint-Server eine enthaltene SharePoint-Upgrade-Aktion ausgelöst werden. Dies geschieht wahlweise über den SharePoint Products Configuration Wizard, das PowerShell-Cmdlet Upgrade-SPFarm oder den Befehl "psconfig.exe -cmd upgrade -inplace b2b". Auch diese Schwachstelle wurde bisher nicht angegriffen und auch nicht öffentlich dokumentiert. Zukünftige Attacken hält man in Redmond für wahrscheinlich.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: wahrscheinlicher
    • CVSS v3.1: 5,3 (Basis); 4,6 (zeitlich)
Weitere Schwachstellen inklusive der 0-Day-Lücke
36 der hochgefährlichen Sicherheitslücken fallen in die Kategorie Rechteausweitung und weitere 26 sind Remote-Code-Ausführungen. Dazu kommen jeweils zehn Datenlecks sowie Möglichkeiten zum Blockieren von Diensten (Denial of Service). Bleiben noch drei Umgehungen von Sicherheitsmaßnahmen und zwei Täuschungen (Spoofing). Eine hochgefährliche Rechteerweiterung im SMB-Witness-Service praktisch aller noch gepflegten Windows-Varianten (CVE-2023-21549) wurde bereits im Vorfeld offengelegt. Damit kommen wir zur ebenfalls als hochgefährlich eingestuften 0-Day-Lücke:
  • CVE-2023-21674 ‐ Sicherheitsanfälligkeit in Windows Erweiterter lokaler Prozeduraufruf (Advanced Local Procedure Call, ALPC) bezüglich Rechteerweiterungen:
    Mit Hilfe dieser Schwachstelle im ALPC kann ein lokal authentifizierter Benutzer seine Berechtigungen auf SYSTEM erhöhen. Der Fehler eignet sich darüber hinaus zum Verlassen einer Browser-Sandbox. Betroffen sind Windows 8.1 bis 11 sowie die Server von 2012 R2 bis 2022. Über die Ausnutzung dieser Sicherheitslücke wurde Microsoft von den Avast-Mitarbeitern Jan Vojtěšek, Milánek und Przemek Gmerek informiert.
    • Angriffsvektor: Lokal
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Niedrig
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Ja
    • CVSS v3.1: 8,8 (Basis); 8,2 (zeitlich)
Quelle:
https://msrc.microsoft.com/update-guide ... e/2023-Jan
Das Platin. Die Platine. Der Platiner?
Ich plädiere auf eine stimmungsabhängige Geschlechtswahl für alle Wörtinnen :twisted:
Benutzeravatar
The Grinch
Administrator
Administrator
Beiträge: 9153
Registriert: 17 Feb 2004, 07:12

Re: Microsoft stopft 98 Schwachstellen inklusive einer 0-Day-Lücke

Beitrag von The Grinch »

Wenn Windows ein Regenschirm wäre, dann wird man unter dem Schirm anscheinend nasser als ganz ohne Regenschirm?!?
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 38065
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Re: Microsoft stopft 98 Schwachstellen inklusive einer 0-Day-Lücke

Beitrag von doelf »

Mir geben die ganzen Lecks in den "sicheren" Tunneln zu denken. Hätte Microsoft den Kanaltunnel verbrochen, würde ich den nicht benutzen!
Das Platin. Die Platine. Der Platiner?
Ich plädiere auf eine stimmungsabhängige Geschlechtswahl für alle Wörtinnen :twisted:
Benutzeravatar
The Grinch
Administrator
Administrator
Beiträge: 9153
Registriert: 17 Feb 2004, 07:12

Re: Microsoft stopft 98 Schwachstellen inklusive einer 0-Day-Lücke

Beitrag von The Grinch »

Wat bin ich doch Froh das AVM für die Fritten den Schwenk auf Wireguard gemacht hat.
Das Funktioniert mit dem VPN da ganz passabel.
Antworten