Microsoft gab am Dienstag im Rahmen seines Patch-Tuesday-Updates für September 2024 bekannt, dass drei neue Sicherheitslücken, die die Windows-Plattform betreffen, aktiv ausgenutzt werden.
Die monatliche Sicherheitsveröffentlichung behebt insgesamt 79 Sicherheitslücken, von denen sieben als „kritisch“, 71 als „wichtig“ und eine als „mäßig“ eingestuft werden. Hinzu kommen 26 Schwachstellen, die der Technologiegigant seit dem Patch-Tuesday-Release im letzten Monat in seinem Chromium-basierten Edge-Browser behoben hat.
Die drei Sicherheitslücken, die in einem böswilligen Kontext ausgenutzt wurden, sind im Folgenden zusammen mit einem Fehler aufgeführt, den Microsoft als ausgenutzt einstuft:
– CVE-2024-38014 (CVSS-Score: 7.8) – Windows Installer Elevation of Privilege Vulnerability
– CVE-2024-38217 (CVSS-Score: 5.4) – Windows Mark-of-the-Web (MotW) Security Feature Bypass Vulnerability
– CVE-2024-38226 (CVSS-Score: 7.3) – Microsoft Publisher Security Feature Bypass Vulnerability
– CVE-2024-43491 (CVSS-Score: 9.8) – Microsoft Windows Update Remote Code Execution Vulnerability
„Die Ausnutzung von CVE-2024-38226 und CVE-2024-38217 kann zur Umgehung wichtiger Sicherheitsfunktionen führen, die die Ausführung von Microsoft Office-Makros blockieren“, sagte Satnam Narang, Senior Staff Research Engineer bei Tenable, in einer Erklärung.
„In beiden Fällen muss das Ziel davon überzeugt werden, eine speziell gestaltete Datei von einem vom Angreifer kontrollierten Server zu öffnen. Der Unterschied besteht darin, dass ein Angreifer für die Ausnutzung von CVE-2024-38226 am System authentifiziert sein und lokalen Zugriff darauf haben müsste.“
Wie Elastic Security Labs im vergangenen Monat bekannt gab, soll CVE-2024-38217 – auch bekannt als LNK Stomping – bereits im Februar 2018 in freier Wildbahn missbraucht worden sein.
CVE-2024-43491 hingegen ist deshalb bemerkenswert, weil es dem Downgrade-Angriff ähnelt, den das Cybersicherheitsunternehmen SafeBreach Anfang letzten Monats detailliert beschrieben hat.
„Microsoft ist eine Schwachstelle im Servicing Stack bekannt, die die Korrekturen für einige Schwachstellen, die optionale Komponenten unter Windows 10, Version 1507 (erste Version veröffentlicht im Juli 2015), betreffen, rückgängig gemacht hat“, bemerkte Redmond.
„Dies bedeutet, dass ein Angreifer diese zuvor entschärften Schwachstellen auf Systemen mit Windows 10, Version 1507 (Windows 10 Enterprise 2015 LTSB und Windows 10 IoT Enterprise 2015 LTSB), auf denen das Windows-Sicherheitsupdate vom 12. März 2024 – KB5035858 (OS Build 10240.20526) oder andere bis August 2024 veröffentlichte Updates installiert sind, ausnutzen könnte.“
Der Windows-Hersteller erklärte weiter, dass das Problem durch die Installation des Servicing-Stack-Updates vom September 2024 (SSU KB5043936) und des Windows-Sicherheitsupdates vom September 2024 (KB5043083) in dieser Reihenfolge behoben werden kann.
Es ist auch erwähnenswert, dass Microsofts Bewertung „Exploitation Detected“ für CVE-2024-43491 auf die Rücknahme von Korrekturen zurückzuführen ist, die Schwachstellen in einigen optionalen Komponenten für Windows 10 (Version 1507) betrafen, die zuvor ausgenutzt wurden.
„Es wurde keine Ausnutzung von CVE-2024-43491 selbst festgestellt“, so das Unternehmen. „Darüber hinaus hat das Windows-Produktteam von Microsoft dieses Problem entdeckt, und wir haben keine Hinweise darauf, dass es öffentlich bekannt ist.“
Software-Patches von anderen Anbietern
Zusätzlich zu Microsoft haben in den letzten Wochen auch andere Anbieter Sicherheitsupdates veröffentlicht, um verschiedene Sicherheitslücken zu beheben, darunter:
– Adobe
– Arm
– Bosch
– Broadcom (einschließlich VMware)
– Cisco
– Citrix
– CODESYS
– D-Link
– Dell
– Drupal
– F5
– Fortinet
– Fortra
– GitLab
– Google Android und Pixel
– Google Chrome
– Google Cloud
– Google Wear OS
– Hitachi Energy
– HP
– HP Enterprise (einschließlich Aruba Networks)
– IBM
– Intel
– Ivanti
– Lenovo
– Linux-Distributionen Amazon Linux, Debian, Oracle Linux, Red Hat, Rocky Linux, SUSE und Ubuntu
– MediaTek
– Mitsubishi Electric
– MongoDB
– Mozilla Firefox, Firefox ESR, Focus und Thunderbird
– NVIDIA
– ownCloud
– Palo Alto Networks
– Progress Software
– QNAP
– Qualcomm
– Rockwell Automation
– Samsung
– SAP
– Schneider Electric
– Siemens
– SolarWinds
– SonicWall
– Spring Framework
– Synology
– Veeam
– Zimbra
– Zoho ManageEngine ServiceDesk Plus, SupportCenter Plus und ServiceDesk Plus MSP
– Zoom