Clik here to view.
Shutterstock/Nick Beer
Im Oktober wurden in Microsofts Patch-Tuesdays insgesamt 117 Sicherheitslücken gemeldet. Fünf davon sind öffentlich bekannt gegebene Zero-Day-Schwachstellen.
Internet Explorer sorgt immer noch für Ärger
Von diesen fünf werden laut Microsoft zwei aktiv ausgenutzt. Die erste ist CVE-2024-43573, interessanterweise ein Spoofing-Fehler in der Windows-Komponente MSHTML.
MSHTML ist die alte HTML-, CSS- und JavaScript-Rendering-Engine des Internet Explorers. Sie wird in Windows beibehalten, um die Abwärtskompatibilität mit Websites zu gewährleisten, die noch für den alten Internet Explorer und ältere Versionen des Edge-Browsers aus der Zeit vor Chromium optimiert sind.
Version 11 des Internet Explorers verschwand vor mehr als zwei Jahren für immer von den Desktops. Dennoch verursacht dieses vergessene Fragment weiterhin Probleme.
Der Hersteller äußert sich dazu im Advisory: Obwohl Microsoft angekündigt habe, den Internet Explorer 11 für bestimmte Plattformen einzustellen, und die Legacy-Anwendung in Microsoft Edge abgekündigt worden sei, würden die zugrunde liegenden Plattformen MSHTML, EdgeHTML und Scripting weiterhin unterstützt.
Zwar wird die Sicherheitslücke mit einem CVSS-Wert von 6,5 als “mäßig” eingestuft, dennoch ist CVE-2024-43573 öffentlich bekannt. Damit ist sie eine Bedrohung für Windows-Nutzer sowie für Microsoft 365 und Microsoft Office.
Microsoft liefert nur wenige Details zu der Schwachstelle, aber das “Spoofing” ist interessant. Das deutet darauf hin, dass Angreifer eine bösartige Datei hinter einer unschuldig aussehenden Dateierweiterung verstecken, die den Benutzer zum Anklicken verleitet.
Es ist das vierte Mal, dass MSHTML innerhalb weniger Monate ausgenutzt wurde. Die vorherigen Beispiele waren CVE-2024-30040, CVE-2024-38112und CVE-2024-43461.
Remote Code Exploit
Die zweite ausgenutzte Zero-Day-Schwachstelle, CVE-2024-43572, ist wohl die schwerwiegendste. Sie ist mit einem CVSS-Score von 7,8 als “wichtig” eingestuft.
Es handelt sich um einen Remote Code Exploit (RCE) in der Microsoft Management Console (MMC). Um diese Schwachstelle auszunutzen, muss ein User dazu gebracht werden, eine bösartige Microsoft Saved Console (MSC)-Datei zu öffnen.
Nach CVE-2024-38259 im September ist dies bereits die zweite Sicherheitslücke dieser Art in der MMC innerhalb eines Monats. Microsofts Lösungsvorschlag für das Oktober-Update: Benutzer daran hindern, nicht vertrauenswürdige MSC-Dateien zu öffnen: “Das Sicherheitsupdate verhindert, dass nicht vertrauenswürdige Microsoft Saved Console (MSC)-Dateien geöffnet werden, um Kunden vor den mit dieser Sicherheitslücke verbundenen Risiken zu schützen.”
Verbleibende Zero-Day-Lücken
Die anderen drei Zero Days sind CVE-2024-6197, CVE-2024-20659und CVE-2024-43583. Microsoft ist bei diesen nicht der Meinung, dass sie ausgenutzt werden.
Von diesen sind CVE-2024-6197 und CVE-2024-43583 wahrscheinlich die beiden, die man im Auge behalten sollte. Die erste ist ein RCE in dem nicht von Microsoft stammenden, aber weit verbreiteten Befehlszeilentool Curl. Bei der zweiten Schwachstelle handelt es sich um einen Fehler bei der Ausweitung von Berechtigungen, mit der ein Angreifer Systemrechte erlangen könnte.
CVE-2024-6197 ist in gewisser Weise eine Kuriosität. Durch sie könnte ein Angreifer einen VM-Hypervisor attackieren. “Auf einer bestimmten Hardware könnte es möglich sein, die UEFI [Firmware] zu umgehen, was zu einer Kompromittierung des Hypervisors und des sicheren Kernels führen könnte”, kommentiert Microsoft.
Weitere kritische Schwachstellen
Auf der Skala der CVSS-Bewertung stechen mehrere andere Schwachstellen hervor, vor allem CVE-2024-43468, eine RCE-Schwachstelle in Microsoft Configuration Manager. Sie hat einen “kritischen” CVSS-Wert von 9,8. Hinzu kommt CVE-2024-43488, ein Problem in der Arduino-Erweiterung für Visual Studio, das Microsoft bereits entschärft hat.
Eine, auf die sich jedoch jeder Sicherheitsmanager stürzen wird, ist CVE-2024-43582mit einem CVSS-Score von 8,1. Das ist eine kritische RCE-Schwachstelle im Remote Desktop Protocol (RDP)-Server, einer Schnittstelle, auf die Ransomware-Angreifer besonders gerne abzielen.
Insgesamt wurden acht Schwachstellen als “Exploitation more likely” gekennzeichnet, womit Microsoft signalisiert, dass ein Exploit in den nächsten Wochen wahrscheinlich ist. Wie immer geht es darum, die Patches in dieser Woche anzuwenden, um diesen Angriffen zuvorzukommen. (jd)