Mit den ersten Patch Tuesday Updates für 2023 hat Microsoft insgesamt 98 Sicherheitslücken geschlossen, darunter auch einen Fehler, der nach Angaben des Unternehmens aktiv ausgenutzt wird.
11 der 98 Schwachstellen sind als kritisch und 87 als wichtig eingestuft, wobei eine der Schwachstellen zum Zeitpunkt der Veröffentlichung auch als öffentlich bekannt galt. Unabhängig davon wird der Windows-Hersteller voraussichtlich Updates für seinen Chromium-basierten Edge-Browser veröffentlichen.
Die Sicherheitslücke, die angegriffen wird, betrifft CVE-2023-21674 (CVSS-Score: 8.8), eine Schwachstelle in Windows Advanced Local Procedure Call(ALPC), die von einem Angreifer ausgenutzt werden kann, um SYSTEM-Rechte zu erlangen.
„Diese Schwachstelle kann dazu führen, dass ein Angreifer aus der Sandbox des Browsers ausbricht“, schreibt Microsoft in einem Advisory und dankt den Avast-Forschern Jan Vojt????ek, Mil??nek und Przemek Gmerek für die Meldung des Fehlers.
Die Details der Schwachstelle sind noch geheim, aber für einen erfolgreichen Angriff muss der Angreifer bereits eine erste Infektion des Rechners erreicht haben. Es ist auch wahrscheinlich, dass die Schwachstelle mit einem Fehler im Webbrowser kombiniert wird, um aus der Sandbox auszubrechen und erhöhte Rechte zu erlangen.
„Wenn die Angreifer erst einmal Fuß gefasst haben, werden sie versuchen, sich im Netzwerk zu bewegen oder sich weitere Zugriffsrechte zu verschaffen, und diese Art von Schwachstellen zur Privilegienerweiterung sind ein wichtiger Bestandteil des Spielplans der Angreifer“, sagt Kev Breen, Director of Cyber Threat Research bei Immersive Labs.
Allerdings ist die Wahrscheinlichkeit, dass eine solche Exploit-Kette in großem Stil eingesetzt wird, aufgrund der automatischen Aktualisierungsfunktion von Browsern begrenzt, so Satnam Narang, Senior Staff Research Engineer bei Tenable.
Es ist auch erwähnenswert, dass die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) die Schwachstelle in ihrenKEV-Katalog (Known Exploited Vulnerabilities) aufgenommen hat und die Bundesbehörden auffordert, bis zum 31. Januar 2023 Patches zu installieren.
Darüber hinaus ist CVE-2023-21674 die vierte Schwachstelle dieser Art, die in ALPC – einer Interprozesskommunikation (IPC) des Microsoft Windows-Kernels – identifiziert wurde, nach CVE-2022-41045, CVE-2022-41093 und CVE-2022-41100 (CVSS-Scores: 7.8), von denen die letzten drei im November 2022 geschlossen wurden.
Zwei weitere Schwachstellen mit hoher Priorität betreffen Microsoft Exchange Server(CVE-2023-21763 und CVE-2023-21764, CVSS-Scores: 7.8), die laut Qualys auf einen unvollständigen Patch für CVE-2022-41123 zurückzuführen sind.
„Ein Angreifer könnte Code mit SYSTEM-Privilegien ausführen, indem er einen fest kodierten Dateipfad ausnutzt“, so Saeed Abbasi, Manager für Schwachstellen- und Bedrohungsforschung bei Qualys, in einer Stellungnahme.
Außerdem hat Microsoft eine Sicherheitslücke in SharePoint Server(CVE-2023-21743, CVSS-Score: 5.3) behoben, die es einem nicht authentifizierten Angreifer ermöglichen könnte, die Authentifizierung zu umgehen und eine anonyme Verbindung herzustellen. Der Tech-Gigant weist darauf hin, dass „Kunden außerdem eine SharePoint-Upgrade-Aktion auslösen müssen, die in diesem Update enthalten ist, um ihre SharePoint-Farm zu schützen“.
Das Januar-Update behebt außerdem eine Reihe von Schwachstellen, die zu einer Privilegienerweiterung führen, darunter eine im Windows Credential Manager(CVE-2023-21726, CVSS-Score: 7.8) und drei, die die Print Spooler Komponente betreffen(CVE-2023-21678, CVE-2023-21760 und CVE-2023-21765).
Die US-amerikanische National Security Agency (NSA) hat CVE-2023-21678 gemeldet. Insgesamt ermöglichen 39 der Sicherheitslücken, die Microsoft mit seinem neuesten Update geschlossen hat, die Erhöhung von Berechtigungen.
Abgerundet wird die Liste durch CVE-2023-21549 (CVSS-Score: 8.8), eine öffentlich bekannte Sicherheitslücke im Windows SMB Witness Service und eine weitere Umgehung von Sicherheitsfunktionen, die BitLocker betrifft(CVE-2023-21563, CVSS-Score: 6.8).
„Ein erfolgreicher Angreifer könnte die BitLocker-Geräteverschlüsselung auf dem Systemspeichergerät umgehen“, so Microsoft. „Ein Angreifer mit physischem Zugriff auf das Zielgerät könnte diese Schwachstelle ausnutzen, um Zugriff auf verschlüsselte Daten zu erhalten.
Schließlich hat Redmond seine Hinweise zur böswilligen Nutzung signierter Treiber (Bring Your Own Vulnerable Driver) überarbeitet und eine aktualisierte Sperrliste aufgenommen, die im Rahmen der Windows-Sicherheitsupdates am 10. Januar 2023 veröffentlicht wird.
Die CISA hat am Dienstag auch CVE-2022-41080, eine Schwachstelle in Exchange Server, in den KEV-Katalog aufgenommen, nachdem berichtet wurde, dass die Schwachstelle mit CVE-2022-41082 gekoppelt wird, um Remotecodeausführung auf anfälligen Systemen zu erreichen.
Der Exploit mit dem Codenamen OWASSRF von CrowdStrike wurde von den Play-Ransomware-Akteuren ausgenutzt, um in Zielumgebungen einzudringen. Die Fehler wurden von Microsoft im November 2022 behoben.
Die Patch Tuesday-Updates kommen auch deshalb, weil Windows 7, Windows 8.1 und Windows RT am 10. Januar 2023 das Ende ihres Supports erreichen. Microsoft sagte, dass es kein Extended Security Update (ESU) für Windows 8.1 anbieten wird und stattdessen die Nutzer/innen auffordert, auf Windows 11 zu aktualisieren.
„Die weitere Nutzung von Windows 8.1 nach dem 10. Januar 2023 kann das Sicherheitsrisiko eines Unternehmens erhöhen oder seine Fähigkeit beeinträchtigen, Compliance-Verpflichtungen zu erfüllen“, warnte das Unternehmen.
Software-Patches von anderen Anbietern
Neben Microsoft haben auch andere Hersteller seit Anfang des Monats Sicherheitsupdates veröffentlicht, um verschiedene Schwachstellen zu beheben, darunter