Microsoft hat im Rahmen seiner Patch Tuesday-Updates für Februar 2024 Patches veröffentlicht, um 73 Sicherheitslücken in seiner Softwarepalette zu beheben, darunter zwei Zero-Days, die aktiv ausgenutzt wurden.
Von den 73 Schwachstellen werden 5 als kritisch eingestuft, 65 als wichtig und drei als moderat. Zusätzlich wurden seit den Patch Tuesday-Updates vom 24. Januar 24 Fehler im Chromium-basierten Edge-Browser behoben.
Die beiden Schwachstellen, die zum Zeitpunkt der Veröffentlichung aktiv angegriffen wurden, sind folgende:
– CVE-2024-21351 (CVSS-Score: 7,6) – Windows-SmartScreen-Sicherheitslücke
– CVE-2024-21412 (CVSS-Score: 8,1) – Sicherheitslücke bei Internet-Verknüpfungsdateien
„Die Schwachstelle ermöglicht es einem bösartigen Akteur, Code in SmartScreen einzuschleusen und möglicherweise Codeausführung zu erlangen, was zu einer potenziellen Datenexposition, mangelnder Systemverfügbarkeit oder beidem führen könnte“, so Microsoft über CVE-2024-21351.
Bei erfolgreicher Ausnutzung der Schwachstelle kann ein Angreifer SmartScreen-Schutzmaßnahmen umgehen und beliebigen Code ausführen. Allerdings muss der Bedrohungsakteur dem Benutzer eine bösartige Datei senden und ihn davon überzeugen, sie zu öffnen.
CVE-2024-21412 ermöglicht es einem nicht authentifizierten Angreifer auf ähnliche Weise, Sicherheitsprüfungen zu umgehen, indem er eine speziell manipulierte Datei an einen bestimmten Benutzer sendet.
„Der Angreifer hätte jedoch keine Möglichkeit, den Benutzer dazu zu zwingen, den von ihm kontrollierten Inhalt anzuzeigen.“ Redmond bemerkte. „Stattdessen müsste der Angreifer sie überzeugen, Maßnahmen zu ergreifen, indem er auf den Dateilink klickt.“
CVE-2024-21351 ist der zweite Umgehungsberechtigungsfehler in SmartScreen, nachdem CVE-2023-36025 (CVSS-Score: 8,8) im November 2023 von dem Technologieriesen behoben wurde. Die Schwachstelle wurde seitdem von mehreren Hacking-Gruppen ausgenutzt, um DarkGate, Phemedrone Stealer und Mispadu zu verbreiten.
Trend Micro, das eine Angriffskampagne von Water Hydra (auch bekannt als DarkCasino) beschrieb, bei der Finanzmarkttrader mithilfe einer ausgefeilten Zero-Day-Angriffskette unter Verwendung von CVE-2024-21412 ins Visier genommen wurden, bezeichnete CVE-2024-21412 als Umgehung für CVE-2023-36025, was es den Angreifern ermöglicht, SmartScreen-Prüfungen zu umgehen.
Water Hydra, erstmals 2021 entdeckt, hat bereits Banken, Kryptowährungsplattformen, Handelsdienstleister, Glücksspielseiten und Casinos angegriffen, um den Trojaner DarkMe mithilfe von Zero-Day-Exploits zu verbreiten, darunter auch eine Schwachstelle in WinRAR, die im August 2023 bekannt wurde (CVE-2023-38831, CVSS-Score: 7,8).
Ende letzten Jahres stufte das chinesische Cybersicherheitsunternehmen NSFOCUS die „ökonomisch motivierte“ Hacking-Gruppe als eine ganz neue Advanced Persistent Threat (APT) ein.
„Im Januar 2024 aktualisierte Water Hydra seine Infektionskette, indem es CVE-2024-21412 ausnutzte, um eine bösartige Microsoft Installer-Datei (.MSI) auszuführen und den DarkMe-Infektionsprozess zu optimieren“, so Trend Micro.
Beide Schwachstellen wurden vom U.S. Cybersecurity and Infrastructure Security Agency (CISA) dem Katalog der bekannten ausgenutzten Schwachstellen (KEV) hinzugefügt und forderten Bundesbehörden auf, die neuesten Updates bis zum 5. März 2024 anzuwenden.
Microsoft hat außerdem fünf kritische Schwachstellen behoben:
– CVE-2024-20684 (CVSS-Score: 6,5) – Windows Hyper-V Denial of Service-Schwachstelle
– CVE-2024-21357 (CVSS-Score: 7,5) – Windows Pragmatic General Multicast (PGM) Remote Code Execution-Schwachstelle
– CVE-2024-21380 (CVSS-Score: 8,0) – Microsoft Dynamics Business Central/NAV Informationen Offenlegungs-Schwachstelle
– CVE-2024-21410 (CVSS-Score: 9,8) – Microsoft Exchange Server Elevation of Privilege-Schwachstelle
– CVE-2024-21413 (CVSS-Score: 9,8) – Microsoft Outlook Remote Code Execution-Schwachstelle
„CVE-2024-21410 ist eine Schwachstelle zur Erhöhung von Rechten in Microsoft Exchange Server“, so Satnam Narang, Senior Staff Research Engineer bei Tenable, in einer Stellungnahme. „Nach Angaben von Microsoft ist diese Schwachstelle wahrscheinlicher von Angreifern ausgenutzt zu werden.“
„Die Ausnutzung dieser Schwachstelle könnte zur Offenlegung des Netzwerk-Neu Technologie LAN Manager (NTLM) Version 2-Hashs eines gezielten Benutzers führen, der in einem NTLM Weiterleitung oder Pass-the-Hash-Angriff anfälligen Exchange Servern zurückgespielt werden könnte, was dem Angreifer eine Authentifizierung als der gezielte Benutzer ermöglichen würde.“
Das Sicherheitsupdate behebt außerdem 15 Remote Code Execution-Schwachstellen im Microsoft WDAC OLE DB-Anbieter für SQL Server, die von einem Angreifer ausgenutzt werden könnten, indem er einen authentifizierten Benutzer dazu verleitet, über OLEDB eine Verbindung zu einem bösartigen SQL-Server herzustellen.
Den Patch abschließend gibt es eine Behebung für CVE-2023-50387 (CVSS-Score: 7,5), eine 24 Jahre alte Design-Schwachstelle in der DNSSEC-Spezifikation, die missbraucht werden kann, um die CPU-Ressourcen zu erschöpfen und DNS-Resolver zu blockieren, was zu einer Denial-of-Service (DoS) führt.
Die Schwachstelle wurde vom Nationalen Forschungszentrum für Angewandte Cybersicherheit (ATHENE) in Darmstadt als KeyTrap bezeichnet.
„Sie haben gezeigt, dass alle weit verbreiteten DNS-Implementierungen und öffentlichen DNS-Provider wie Google Public DNS und Cloudflare mit einem einzigen DNS-Paket überlastet werden können“, so die Forscher. „Tatsächlich kann die beliebte DNS-Implementierung BIND 9 bis zu 16 Stunden lang blockiert werden.“
Neben Microsoft haben auch andere Anbieter seit Beginn des Monats Sicherheitsupdates veröffentlicht, um verschiedene Schwachstellen zu beheben, darunter Adobe, AMD, Android, Arm, ASUS, Atos, Canon, Cisco, Dell, Drupal, ExpressVPN, F5, Fortinet, GitLab, Google Chrome, Google Cloud, Hitachi Energy, HP, IBM, Intel, ISC BIND 9, Ivanti, JetBrains TeamCity, Juniper Networks, Lenovo, Linux-Distributionen Debian, Oracle Linux, Red Hat, SUSE und Ubuntu, Mastodon, MediaTek, Mitsubishi Electric, Mozilla Firefox, Firefox ESR und Thunderbird, NVIDIA, PowerDNS, QNAP, Qualcomm, Rockwell Automation, Samsung, SAP, Schneider Electric, Siemens, SolarWinds, SonicWall, Spring Framework, Synology, Veeam, Veritas, VMware, WordPress, Zoom und viele mehr.