Patch Day
Microsoft schließt 130 Sicherheitslücken
Kommentar von Satnam Narang, leitender Forschungsingenieur bei Tenable
„Der Patch-Dienstag dieses Monats umfasst Korrekturen für 130 CVEs, den bisher größten Patch-Dienstag des Jahres 2023. Von den 130 CVEs, die diesen Monat gepatcht wurden, wurden neun als kritisch und 121 als wichtig eingestuft. In diesem Monat wurden fünf Schwachstellen als Zero-Days ausgenutzt und Microsoft hat eine Warnung bezüglich der kriminelle Verwendung von Microsoft Signed Drivers herausgegeben.
Zwei Sicherheitsfunktionen zur Umgehung von Zero-Day-Schwachstellen in Microsoft Outlook (CVE-2023-35311) und Windows SmartScreen (CVE-2023-32049) wurden von Angreifern in freier Wildbahn ausgenutzt. Details zur Ausnutzung waren zum Zeitpunkt der Patch-Tuesday-Updates nicht verfügbar veröffentlicht, aber es scheint, dass die Angreifer mithilfe von Social Engineering ein Ziel dazu verleiten konnten, auf eine schädliche URL zu klicken. In beiden Fällen wurden Sicherheitswarnmeldungen, die zum Schutz der Benutzer dienen sollen, umgangen.
Den Forschern der Threat Analysis Group (TAG) von Google wird die Offenlegung eines Zero-Days im Windows-Fehlerbericht von Microsoft (CVE-2023-36874) zugeschrieben, der einem Angreifer Administratorrechte gewähren könnte. Darüber hinaus wird dies dem Microsoft Threat Intelligence Center (MSTIC) zugeschrieben Offenlegung eines Zero-Days in der Windows MSHTML-Plattform (CVE-2023-32046). Um diesen Fehler auszunutzen, müsste ein Benutzer überzeugt werden, eine speziell gestaltete Datei zu öffnen, entweder per E-Mail oder über einen webbasierten Angriffsvektor. Eine interessante Sache ist die Einbeziehung kumulativer IE-Updates. Trotz der Einstellung von Internet Explorer 11 werden einige seiner Komponenten, darunter MSHTML und EdgeHTML, immer noch in mehreren Versionen von Windows Server unterstützt, weshalb Sicherheitskorrekturen für diese Produkte veröffentlicht wurden.
Microsoft hat außerdem CVE-2023-36884 gepatcht, einen Remote-Codeausführungsfehler in Microsoft Windows und Office, der in freier Wildbahn als Zero-Day ausgenutzt wurde und bei gezielten Angriffen als Teil schädlicher Microsoft Office-Dokumente eingesetzt wurde. Die Angriffe wurden durchgeführt wird einem Bedrohungsakteur namens Storm-0978 oder DEV-0978 zugeschrieben, der angeblich seinen Sitz in Russland hat. Es ist bekannt, dass Storm-0978 Ransomware- und Erpressungsangriffe, einschließlich Kampagnen zum Diebstahl von Zugangsdaten, gegen Ziele in der Ukraine, Nordamerika und Europa durchführt.
Schließlich hat Microsoft im Rahmen seines Microsoft Windows Hardware Developer Program (MWHDP) auch Hinweise zur kriminellen Verwendung signierter Treiber herausgegeben. Es wurde festgestellt, dass bestimmte Microsoft Partner Center-Entwicklerkonten schädliche Treiber eingereicht haben, um eine Microsoft-Signatur zu erhalten. Der Missbrauch dieser signierten Treiber wurde im Rahmen einer Post-Exploitation-Aktivität entdeckt, bei der ein Angreifer zunächst Administratorrechte auf dem Zielsystem erlangen musste, bevor er die signierten Treiber ausführen konnte. Diese Entwicklerkonten wurden gesperrt, und mit den jüngsten Windows-Sicherheitsupdates werden die schädlichen Treiber nun als nicht vertrauenswürdig gekennzeichnet.“