Quantcast
Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Hardware & Software Alert! Patchday: Microsoft meldet fünf Zero-Days, teils ohne Update

Der Microsoft-Patchday im Juli hat es in sich: 130 Lücken meldet das Unternehmen. Davon würden fünf bereits in freier Wildbahn angegriffen. Eine Zero-Day-Lücke untersuchen die Entwickler noch, ein Update zum Abdichten des Lecks gibt es noch nicht.

Neben den Informationen zu den Sicherheitslücken hat Microsoft zudem zwei Security-Advisories herausgegeben. Eines behandelt 133 infizierte Treiber mit gültiger Signatur. In dem Zweiten erläutert Microsoft eine Aktualisierung der DBX-Datenbank, die zu blockierende UEFI-Module enthält: Trend Micro hat Schwachstellen in EFI-Modulen behoben, die das Umgehen von Secure Boot ermöglichten.

Microsoft-Patchday: Mehrere aktiv angegriffene Lücken​

Cyberkriminelle greifen einige der Schwachstellen bereits an, es handelt sich somit um Zero-Day-Lücken. Neben den vorgenannten Malware-Treibern sind fünf weitere Microsoft-Produkte von Zero-Days betroffen: Beim Datei-Öffnen lässt sich die Sicherheitswarnung von Windows SmartScreen umgehen (CVE-2023-32049, CVSS 8.8, Risiko "hoch"). Eine Sicherheitsrückfrage in Microsoft Office Outlook ist umgehbar (CVE-2023-35311, CVSS 8.8, hoch). Außerdem ermöglicht die Windows MSHTML-Platform das Ausweiten von Rechten im System (CVE-2023-32046, CVSS 7.8, hoch). Angreifer können weiterhin durch eine Lücke im Windows Error Reporting ihre Privilegien erhöhen (CVE-2023-36874, CVSS 7.8, hoch).
Heraus stechen aktiv missbrauche Lücken in Microsoft Office (CVE-2023-36884, CVSS 8.3, hoch) – die CVE-Nummer wird uns noch häufiger begegnen. In der Sicherheitsmeldung dazu erläutern die Microsoft-Entwickler, dass sie eine Reihe von Codeschmuggel-Lücken in Windows und Office untersuchen, die in gezielten Angriffen mit sorgsam präparierten Microsoft-Office-Dateien missbraucht würden. Diese Dokumente könnten Schadcode einschleusen, der mit den Rechten von Opfern laufe; allerdings müsse ein Opfer zunächst zum Öffnen eines Dokuments verleitet werden. Nach Abschluss der Untersuchung will Microsoft angemessene Maßnahmen zum Schutz der Kunden ergreifen, das könne etwa ein Update zu einem der kommenden Patchdays oder sogar eines außer der Reihe sein. Die Sicherheitslücke steht derzeit also weiter offen, Microsoft berichtet lediglich davon.

In einem Blog-Beitrag erläutert Microsoft, dass Mitglieder der russischen, Storm-0978 genannten Cybergang die Lücken ausnutzen, um eine Backdoor namens RomCom zu verteilen. Die kriminelle Bande sei auf Ransomware-Angriffe und Cyber-Erpressung spezialisiert. Am Ende des Blog-Beitrags erläutern die Entwickler ab dem Abschnitt "Recommendations", wie IT-Verantwortliche ihre Nutzer vor diesen Angriffen schützen können. Zudem geben sie konkrete Hinweise, die Auswirkungen von CVE-2023-36884 abzumildern. Unter anderem findet sich der Hinweis, dass Nutzer von Microsoft Defender für Office 365 vor den bösartigen Dateianhängen geschützt seien. Das Aktivieren der Richtlinie "Block all Office applications from creating child processes" respektive das Anlegen des Registry-Schlüssels Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATIONmit den jeweiligen Registry-Einträgen

Excel.exe
Graph.exe
MSAccess.exe
MsPub.exe
PowerPoint.exe
Visio.exe
WinProj.exe
WinWord.exe
Wordpad.exe


als DWORD mit dem Wert 1 solle das Ausnutzen der Sicherheitslücke verhindern.

Neun kritische Schwachstellen​

Drei kritische Sicherheitslücken betreffen den Routing and Remote Access Service (RRAS) vom Windows Server (CVE-2023-35365, CVE-2023-35366, CVE-2023-35367; alle CVSS 9.8, kritisch). Eine weitere findet sich im Microsoft Message Queuing (CVE-2023-32057, CVSS 9.8, kritisch). Diese Lücken erlauben Angreifern aus der Ferne, Schadcode einzuschleusen und auszuführen. Abweichend von dem CVSS-Wert stuft Microsoft zudem Lücken in Microsoft Sharepoint (CVE-2023-33157, CVE-2023-33160, beide CVSS 8.8, hoch), eine Schwachstelle im Windows Layer-2 Bridge Network Driver (CVE-2023-35315, CVSS 8.8, hoch), eine weitere in Windows Pragmatic General Multicast (PGM) (CVE-2023-35297, CVSS 7.5, hoch) sowie ein Leck im Windows Remote Desktop (CVE-2023-35352, CVSS 7.5, hoch) als kritisch ein.

Microsofts Release-Notes zum Juli-Patchday listen alle behandelten Sicherheitslücken auf und verlinken auf die individuellen Sicherheitsmeldungen. Da die bereitstehenden Updates teils bereits ausgenutzte sowie kritische Sicherheitslücken abdichten, sollten IT-Verantwortliche die Aktualisierungen rasch anwenden.

Die Aktualisierungen umfassen auch nicht-sicherheitsrelevante Anpassungen, die Interessierte in der optionalen Update-Vorschau ausprobieren konnten. So steht jetzt die Taskleisten-Uhr mit Sekundenanzeige bereit und Windows 11 erhält einen Mutli-App-Kioskmodus.

UPDATE12.07.2023 11:15 Uhr
Die anzulegenden Registry-Schlüssel zum Abmildern von CVE-2023-36884 korrigiert. Jedes Office-Programm muss einen DWORD-Eintrag unter dem Registry-Schlüssel erhalten.
Quelle: heise
 
Zurück
Oben