Eine Sicherheitslücke, für die Microsoft ein Update bereitgestellt hat, ermöglicht unerwartet Angreifern ohne Anmeldung, Schadcode einzuschleusen.
Eine Sicherheitslücke, für die Microsoft am September-Patchday ein Update bereitgestellt hat, ist doch kritisch. Zunächst wurde die Schwachstelle als mittleres Risiko eingestuft, da vermeintlich lediglich Informationen unbefugt dadurch auslesbar waren. Die IBM-Sicherheitsforscherin Valentina Palmiotti hat nun festgestellt, dass die Lücke das Ausführen von Schadcode erlaubt – ohne vorherige Authentifizierung, aus dem Netz.
Verwundbarer Sicherheitsmechanismus
Die Schwachstelle befindet sich im SPNEGO Extended Negotiation (NEGOEX)-Sicherheitsmechanismus, mit dem Client und Server den zu verwendenden Sicherheitsmechanismus von Verbindungen aushandeln können. Angreifer könnten beliebigen Code aus dem Netz einschleusen, indem sie ein beliebiges Windows-Anwendungsprotokoll mit manipuliertem Verkehr aufrufen, das Nutzer standardmäßig authentifiziert. Dazu gehören etwa SMB, das Remote-Desktop-Protokoll (RDP), aber auch SMTP. Wenn für HTTP-Zugriffe auf einen Dienst SPNEGO-Authentifizierung aktiviert wurde, etwa als Anmeldung mittels Kerberos, ist auch das Protokoll anfällig.
Die Schwachstelle könnte Wurm-Potenzial haben, schätzen einige IT-Spezialisten, sie fühlen sich an die WannaCry-Angriffe auf eine ähnliche SMB-Schwachstelle vor fünf Jahren erinnert. Microsoft schreibt in der aktualisierten Sicherheitsnotiz zur Schwachstelle, dass die Entwickler daher die Risikobewertung, die Auswirkungen sowie die CVSS-Einstufung auf "kritische Remote Code Execution" heraufgestuft hätten.
Der CVSS-Wert der Sicherheitsmeldung CVE-2022-37958 landet nun bei 8.1 anstatt 7.5, was weiterhin einem hohen Risiko entspricht. Allerdings stuft Microsoft die Angriffskomplexität als hoch ein, da Angreifer vorher einige Informationen oder Zugriff im lokalen Netzwerk erlangen müssten. Diese Einschätzung dürfte mit der vorgenannten WannaCry-Infektionswelle im Blick zumindest diskussionswürdig sein.
Betroffen sind alle Windows-Versionen von Windows 7 bis Windows 11, auch Windows RT 8.1, sowie Windows Server 2008 R2 bis Server 2022. Falls noch nicht geschehen, sollten Administratoren den Sicherheitspatch zum Schließen der Schwachstelle jetzt zügig installieren.
Quelle; heise
Eine Sicherheitslücke, für die Microsoft am September-Patchday ein Update bereitgestellt hat, ist doch kritisch. Zunächst wurde die Schwachstelle als mittleres Risiko eingestuft, da vermeintlich lediglich Informationen unbefugt dadurch auslesbar waren. Die IBM-Sicherheitsforscherin Valentina Palmiotti hat nun festgestellt, dass die Lücke das Ausführen von Schadcode erlaubt – ohne vorherige Authentifizierung, aus dem Netz.
Verwundbarer Sicherheitsmechanismus
Die Schwachstelle befindet sich im SPNEGO Extended Negotiation (NEGOEX)-Sicherheitsmechanismus, mit dem Client und Server den zu verwendenden Sicherheitsmechanismus von Verbindungen aushandeln können. Angreifer könnten beliebigen Code aus dem Netz einschleusen, indem sie ein beliebiges Windows-Anwendungsprotokoll mit manipuliertem Verkehr aufrufen, das Nutzer standardmäßig authentifiziert. Dazu gehören etwa SMB, das Remote-Desktop-Protokoll (RDP), aber auch SMTP. Wenn für HTTP-Zugriffe auf einen Dienst SPNEGO-Authentifizierung aktiviert wurde, etwa als Anmeldung mittels Kerberos, ist auch das Protokoll anfällig.
Die Schwachstelle könnte Wurm-Potenzial haben, schätzen einige IT-Spezialisten, sie fühlen sich an die WannaCry-Angriffe auf eine ähnliche SMB-Schwachstelle vor fünf Jahren erinnert. Microsoft schreibt in der aktualisierten Sicherheitsnotiz zur Schwachstelle, dass die Entwickler daher die Risikobewertung, die Auswirkungen sowie die CVSS-Einstufung auf "kritische Remote Code Execution" heraufgestuft hätten.
Der CVSS-Wert der Sicherheitsmeldung CVE-2022-37958 landet nun bei 8.1 anstatt 7.5, was weiterhin einem hohen Risiko entspricht. Allerdings stuft Microsoft die Angriffskomplexität als hoch ein, da Angreifer vorher einige Informationen oder Zugriff im lokalen Netzwerk erlangen müssten. Diese Einschätzung dürfte mit der vorgenannten WannaCry-Infektionswelle im Blick zumindest diskussionswürdig sein.
Betroffen sind alle Windows-Versionen von Windows 7 bis Windows 11, auch Windows RT 8.1, sowie Windows Server 2008 R2 bis Server 2022. Falls noch nicht geschehen, sollten Administratoren den Sicherheitspatch zum Schließen der Schwachstelle jetzt zügig installieren.
Quelle; heise
