Microsoft-Sicherheitslücken: CVE-2024-38106, CVE-2024-38107, CVE-2024-38109, CVE-2024-38206, CVE-2024-38166, CVE-2024-38140, CVE-2024-38063, CVE-2024-38159, CVE-2024-38160, CVE-2024-38189
Im August 2024 veröffentlichte Microsoft ein wichtiges Sicherheitsupdate, das mehrere Schwachstellen behebt, darunter mehrere kritische und schwerwiegende Probleme.
CVE-2024-38106: Sicherheitslücke im Windows-Kernel bezüglich Rechteausweitung
CVE-2024-38106 ist eine Sicherheitslücke zur Rechteausweitung im Windows-Kernel mit einem Basiswert von 7,0 (HOCH). Diese Sicherheitslücke ermöglicht es einem lokalen Angreifer, SYSTEM-Privilegien zu erlangen, indem er einen Race Condition im Kernel ausnutzt.
Einzelheiten zur Nutzung
Um diese Schwachstelle auszunutzen, muss ein Angreifer einen Race Condition ausnutzen, der präzises Timing erfordert. Trotz seines geringeren Schweregrads wurde CVE-2024-38106 aktiv als Zero-Day-Schwachstelle ausgenutzt, was auf seine schwerwiegenden Auswirkungen hinweist.
* Beispielszenario : Ein Mitarbeiter in einer Organisation erhält eine Phishing-E-Mail und lädt versehentlich ein bösartiges Skript herunter. Der Angreifer nutzt dieses Skript, um CVE-2024-38106 auszunutzen und erhält SYSTEM-Berechtigungen. Mit diesem Zugriff kann der Angreifer Malware installieren, auf vertrauliche Dateien zugreifen und neue Benutzerkonten mit Administratorrechten erstellen, was zu einer erheblichen Sicherheitsverletzung führt.
Minderungsstrategien
- **Sicherheitspatches anwenden: Stellen Sie sicher, dass alle Systeme mit den neuesten Patches von Microsoft aktualisiert sind.
- **Auf Anomalien achten: Implementieren Sie Überwachungslösungen, um ungewöhnliche Zugriffsmuster oder Privilegienerweiterungen zu erkennen.
- **Schulung der Benutzer: Schulen Sie Ihre Mitarbeiter im Erkennen von Phishing-Versuchen und der Aufrechterhaltung der Sicherheitshygiene.
---
CVE-2024-38107: Sicherheitslücke im Windows Power Dependency Coordinator bezüglich Rechteausweitung
CVE-2024-38107 ist eine weitere Sicherheitslücke zur Rechteausweitung, die den Windows Power Dependency Coordinator (pdc.sys) betrifft, mit einem Basiswert von 7,8 (HOCH). Dieser Treiber ist für die Verwaltung der Energiezustände in Windows verantwortlich.
Einzelheiten zur Nutzung
Diese Sicherheitslücke wurde auch in freier Wildbahn als Zero-Day-Schwachstelle ausgenutzt, was darauf schließen lässt, dass Angreifer sie erfolgreich ausgenutzt haben, bevor ein Patch verfügbar war. Die Einzelheiten der Ausnutzungsmethode bleiben geheim, aber sie ermöglicht es einem Angreifer, erweiterte Privilegien zu erlangen.
*Beispielszenario : Ein Benutzer installiert unwissentlich eine bösartige Anwendung, die mit Energieverwaltungsfunktionen interagiert. Der Angreifer nutzt CVE-2024-38107 aus, um seine Privilegien zu erhöhen, was ihm den Zugriff auf vertrauliche Systemdateien ermöglicht und ihm möglicherweise die Installation zusätzlicher Malware ermöglicht.
Minderungsstrategien
- **Regelmäßige Systemaktualisierungen: Stellen Sie sicher, dass alle Windows-Systeme mit den aktuellsten Sicherheitspatches auf dem neuesten Stand sind.
- **Anwendungsinstallationen einschränken: Beschränken Sie die Installation auf vertrauenswürdige Anwendungen, um das Risiko eines Missbrauchs zu minimieren.
- **Implementieren Sie den geringstmöglichen Zugriff: Stellen Sie sicher, dass Benutzer nur über die erforderlichen Berechtigungen verfügen, um ihre Arbeit auszuführen.
---
CVE-2024-38109: Serverseitige Anforderungsfälschung im Microsoft Azure Health Bot
CVE-2024-38109 ist eine kritische Server-Side Request Forgery (SSRF)-Sicherheitslücke im Microsoft Azure Health Bot mit einem Basiswert von 9,1 (KRITISCH). Diese Sicherheitslücke ermöglicht es einem authentifizierten Angreifer, vom Server gesendete Anfragen zu manipulieren, was möglicherweise zu einem unbefugten Zugriff auf vertrauliche Informationen führt.
Einzelheiten zur Nutzung
Ein authentifizierter Angreifer kann diese Sicherheitsanfälligkeit ausnutzen, um seine Berechtigungen im Netzwerk zu erhöhen und so Zugriff auf interne Dienste oder Daten zu erhalten.
*Beispielszenario: In einer Gesundheitsorganisation, die Azure Health Bot verwendet, könnte ein Angreifer mit gültigen Anmeldeinformationen CVE-2024-38109 ausnutzen, um bösartige Anfragen zu senden und auf vertrauliche Patientendaten zuzugreifen, die auf internen Servern gespeichert sind. Dies könnte zu Datenlecks und schweren Reputationsschäden für die Organisation führen.
Minderungsstrategien
- *Implementieren Sie Netzwerksicherheitskontrollen: Verwenden Sie Firewalls und Intrusion Detection Systeme, um nicht autorisierte Zugriffsversuche zu überwachen und zu blockieren.
- *Überprüfen Sie regelmäßig die Zugriffsberechtigungen: Stellen Sie sicher, dass nur autorisierte Benutzer Zugriff auf vertrauliche Dienste haben.
- *Sicherheitsupdates anwenden: Halten Sie Azure-Dienste mit den neuesten Sicherheitspatches auf dem neuesten Stand.
---
CVE-2024-38206: Umgehung des SSRF-Schutzes in Microsoft Copilot Studio
CVE-2024-38206 ist eine Sicherheitslücke, die es einem authentifizierten Angreifer ermöglicht, den SSRF-Schutz in Microsoft Copilot Studio zu umgehen und so möglicherweise vertrauliche Informationen über ein Netzwerk preiszugeben.
Einzelheiten zur Nutzung
Diese Sicherheitslücke kann von einem Angreifer ausgenutzt werden, der sich bereits Zugriff auf das System verschafft hat. So kann er Anfragen manipulieren und auf vertrauliche interne Ressourcen zugreifen.
*Beispielszenario: Ein Angreifer mit Zugriff auf Microsoft Copilot Studio könnte CVE-2024-38206 ausnutzen, um Sicherheitsmaßnahmen zu umgehen und so vertrauliche Informationen wie API-Schlüssel oder interne Service-Endpunkte preiszugeben, die für weitere Angriffe verwendet werden könnten.
Minderungsstrategien
- *Verbesserte Eingabevalidierung: Stellen Sie sicher, dass alle Eingaben ordnungsgemäß validiert und bereinigt werden, um unbefugten Zugriff zu verhindern.
- *Netzwerkverkehr überwachen: Implementieren Sie eine Überwachung, um ungewöhnliche Muster zu erkennen, die auf Ausnutzungsversuche hinweisen können.
- *Aktualisieren Sie Sicherheitsprotokolle regelmäßig: Halten Sie Sicherheitsmaßnahmen auf dem neuesten Stand, um auf neue Bedrohungen zu reagieren.
---
CVE-2024-38166: Unsachgemäße Neutralisierung von Eingaben in Microsoft Dynamics 365
Bei CVE-2024-38166 handelt es sich um eine unzulässige Neutralisierung einer Eingabeschwachstelle in Microsoft Dynamics 365, die es einem nicht authentifizierten Angreifer ermöglicht, Benutzer zu täuschen, indem er sie dazu verleitet, auf einen bösartigen Link zu klicken.
Einzelheiten zur Nutzung
Ein Angreifer könnte diese Sicherheitsanfälligkeit ausnutzen, um einen schädlichen Link zu erstellen, der Benutzer beim Anklicken auf eine schädliche Site umleiten oder unerwünschte Aktionen innerhalb von Dynamics 365 ausführen könnte.
*Beispielszenario: Ein Angreifer sendet eine E-Mail mit einem Link, der legitim erscheint, aber CVE-2024-38166 ausnutzen soll. Wenn ein Benutzer auf den Link klickt, wird er auf eine bösartige Site umgeleitet, die seine Anmeldeinformationen erfasst oder Malware installiert.
Minderungsstrategien
- *Schulung des Benutzerbewusstseins: Schulen Sie Benutzer im Erkennen verdächtiger Links und E-Mails.
- * URL-Filterung implementieren: Verwenden Sie Webfilterlösungen, um den Zugriff auf bekannte bösartige Websites zu blockieren.
- * Regelmäßige Softwareaktualisierungen: Stellen Sie sicher, dass Microsoft Dynamics 365 auf die neueste Version aktualisiert ist, um Schwachstellen zu schließen.
---
CVE-2024-38140 und CVE-2024-38063: Sicherheitslücken bei Remotecodeausführung
Bei CVE-2024-38140 und CVE-2024-38063 handelt es sich um kritische Schwachstellen zur Remote-Code-Ausführung, beide mit einem Basiswert von 9,8 (KRITISCH). Diese Schwachstellen ermöglichen es Angreifern, beliebigen Code auf betroffenen Systemen remote auszuführen.
Einzelheiten zur Nutzung
Angreifer können diese Schwachstellen durch bösartige Netzwerkpakete ausnutzen, Systeme kompromittieren und möglicherweise zu Datenverlust oder -beschädigung führen.
*Beispielszenario: Ein Angreifer sendet ein speziell gestaltetes Paket an einen anfälligen Server und nutzt dabei entweder CVE-2024-38140 oder CVE-2024-38063 aus. Bei Erfolg könnte er Ransomware installieren, kritische Daten verschlüsseln und ein Lösegeld für deren Freigabe fordern.
Minderungsstrategien
- *Implementieren Sie eine Netzwerksegmentierung: Begrenzen Sie die Internetexposition kritischer Systeme, um die Angriffsfläche zu verringern.
- *Verwenden Sie Intrusion Prevention Systems: Setzen Sie Systeme ein, die bösartige Pakete erkennen und blockieren können, bevor sie ihr Ziel erreichen.
- *Software regelmäßig aktualisieren: Stellen Sie sicher, dass die gesamte Software, insbesondere netzwerkbezogene Anwendungen, mit den aktuellsten Sicherheitspatches auf dem neuesten Stand ist.
---
CVE-2024-38159 und CVE-2024-38160: Sicherheitslücken bei der Remotecodeausführung in der Windows-Netzwerkvirtualisierung
CVE-2024-38159 und CVE-2024-38160 sind kritische Schwachstellen zur Remotecodeausführung mit einem Basiswert von 9,1 (KRITISCH). Diese Schwachstellen ermöglichen Angreifern die Ausführung von Remotecode innerhalb der Windows-Netzwerkvirtualisierung.
Einzelheiten zur Nutzung
Ein Angreifer könnte diese Schwachstellen ausnutzen, um unbefugten Zugriff auf virtualisierte Netzwerkressourcen zu erhalten, was möglicherweise zu einer umfassenderen Beeinträchtigung der Cloud-Infrastruktur führen könnte.
*Beispielszenario: In einer Cloud-Umgebung könnte ein Angreifer diese Schwachstellen ausnutzen, um Zugriff auf virtualisierte Netzwerkressourcen zu erhalten und so Netzwerkkonfigurationen zu manipulieren oder vertrauliche Daten zu exfiltrieren.
Minderungsstrategien
- *Führen Sie regelmäßige Sicherheitsprüfungen durch: Bewerten Sie regelmäßig Netzwerkkonfigurationen und Zugriffskontrollen, um Schwachstellen zu identifizieren.
- *Implementieren Sie starke Authentifizierungsmechanismen: Verwenden Sie eine Multi-Faktor-Authentifizierung, um den Zugriff auf virtualisierte Ressourcen zu sichern.
- *Halten Sie die Systeme auf dem neuesten Stand: Stellen Sie sicher, dass alle virtualisierten Umgebungen mit den neuesten Sicherheitsupdates gepatcht sind.
---
CVE-2024-38189: Sicherheitslücke in Microsoft Project bezüglich Remotecodeausführung
CVE-2024-38189 ist eine Remotecodeausführungsschwachstelle in Microsoft Project mit einem Basiswert von 8,8 (HOCH). Diese Schwachstelle ermöglicht es einem Angreifer, beliebigen Code auf betroffenen Systemen auszuführen.
Einzelheiten zur Nutzung
Ein Angreifer könnte diese Sicherheitsanfälligkeit durch eine speziell gestaltete Projektdatei ausnutzen, die beim Öffnen schädlichen Code ausführt.
*Beispielszenario: Ein Mitarbeiter erhält per E-Mail eine Projektdatei, die scheinbar von einer vertrauenswürdigen Quelle stammt. Beim Öffnen der Datei nutzt der Angreifer CVE-2024-38189 aus, um Code auszuführen, der Malware auf dem Computer des Mitarbeiters installiert und möglicherweise das gesamte Netzwerk gefährdet.
Minderungsstrategien
- *Informieren Sie Benutzer zur Dateisicherheit: Schulen Sie Mitarbeiter darin, bei E-Mail-Anhängen vorsichtig zu sein, auch von bekannten Kontakten.
- *Verwenden Sie Antivirenlösungen: Implementieren Sie Antivirensoftware, die schädliche Dateien erkennen und blockieren kann.
- *Microsoft Project regelmäßig aktualisieren: Stellen Sie sicher, dass Microsoft Project auf die neueste Version aktualisiert ist, um Sicherheitslücken zu schließen.
---
Abschluss
Die in diesem Blog besprochenen Schwachstellen unterstreichen die Bedeutung robuster Sicherheitspraktiken in der heutigen digitalen Landschaft. Durch das Verständnis der Natur dieser Schwachstellen und die Umsetzung wirksamer Minderungsstrategien können Unternehmen ihr Ausnutzungsrisiko erheblich senken und ihre vertraulichen Daten vor potenziellen Bedrohungen schützen. Regelmäßige Updates, Schulung der Mitarbeiter und proaktive Überwachung sind Schlüsselkomponenten einer umfassenden Sicherheitsstrategie.
Zitate:
- https://nvd.nist.gov/