2023-04 Patchday Microsoft

Quelle: microsoft.com

Willkommen zum Patch Tuesday im April. In diesem Monat hat Microsoft eine Reihe von wichtigen Sicherheitsupdates für seine Produkte veröffentlicht, um sicherzustellen, dass Ihre Systeme auf dem neuesten Stand und vor potenziellen Bedrohungen geschützt sind.

In dieser Patch Tuesday-Veröffentlichung hat Microsoft insgesamt 102 Sicherheitslücken behoben, was mehr ist als die Anzahl der im März behobenen Sicherheitslücken. Die Zahl der kritischen Updates hat jedoch abgenommen, da nur 7 Updates im Vergleich zu 9 im März veröffentlicht wurden.

In diesem Monat wurden zwei Zero-Day-Schwachstellen behoben, genauso viele wie im Vormonat. Außerdem wurden zwei Sicherheitslücken öffentlich bekannt gegeben. Nachfolgend finden Sie weitere Einzelheiten zu den wichtigsten kritischen Updates.

Ein Zero-Day behoben: Die WinVerifyTrust-Signaturvalidierungsschwachstelle

Die WinVerifyTrust-Signaturvalidierungsschwachstelle (CVE-2013-3900) ist eine alte Sicherheitslücke, die von Microsoft hervorgehoben wird, um seine Kunden über die Verfügbarkeit von EnableCertPaddingCheck in allen derzeit unterstützten Versionen von Windows 10 und Windows 11 zu informieren. Diese Zero-Day-Schwachstelle ermöglicht es einem Angreifer, bösartigen Code in eine ausführbare Binärdatei einzuschleusen, ohne die aktuelle Zertifizierung von Microsoft ungültig zu machen, was die Software für den Benutzer legitim erscheinen lässt. Während die aktuellen Patches diese Schwachstelle nicht direkt beheben, ist die Abschwächung bereits in den neuesten Betriebssystemversionen enthalten und kann auf Wunsch manuell in der Registrierung aktiviert werden. Microsoft schlägt vor, dass Entwickler sicherstellen, dass ihre signierten Binärdateien dem neuen Überprüfungsstandard entsprechen, indem sie alle überflüssigen Informationen in der WIN_CERTIFICATE-Struktur entfernen, und empfiehlt, dass Kunden diese Änderung testen, um die Auswirkungen in ihren eigenen Umgebungen zu bewerten.

Sicherheitslücke im Windows Common Log File System-Treiber (Erhöhung der Berechtigung)

Es wurde eine weitere Zero-Day-Schwachstelle entdeckt, die den Windows Common Log File System-Treiber betrifft. Diese Sicherheitsanfälligkeit hat eine geringe Komplexität und nutzt einen lokalen Angriffsvektor, der nur geringe Berechtigungen zur Ausnutzung und keine Interaktion des Benutzers erfordert. Sie betrifft Windows Server-Versionen ab 2008 sowie alle Versionen von Windows 10. Die Schwachstelle hat einen CVSS-Risiko-Score von 7,8, der niedriger ist, weil sie nur lokal ausgeführt werden kann. Sie birgt jedoch immer noch ein hohes Risiko der Rechteerweiterung, da ein Angreifer, der sie erfolgreich ausnutzt, SYSTEM-Rechte erlangen kann. Microsoft hat bestätigt, dass diese Sicherheitslücke in freier Wildbahn aktiv ausgenutzt wird, aber es wurde noch kein PoC dafür gefunden. Daher müssen alle Microsoft-Kunden ihre Systeme sofort aktualisieren.

Sicherheitsanfälligkeit im DHCP-Serverdienst (Remote Code Execution)

Diese Sicherheitslücke betrifft den Microsoft DHCP-Server. Sie hat eine geringe Komplexität, nutzt nur das DHCP-Protokoll zum Ausnutzen, erfordert keine Berechtigungen zum Ausnutzen und erfordert keine Benutzerinteraktion. Die Sicherheitsanfälligkeit betrifft die DHCP-Rolle von Windows Server-Versionen ab Windows Server 2008 und hat eine hohe CVSS-Risikoeinstufung von 8,8. Obwohl es noch keine Anzeichen für eine Ausnutzung gibt, warnt Microsoft, dass diese Sicherheitsanfälligkeit wahrscheinlich ausgenutzt werden kann.

Um die Sicherheitslücke auszunutzen, könnte ein Angreifer mit Authentifizierungsdaten einen speziell gestalteten RPC-Aufruf an den DHCP-Dienst verwenden. Das bedeutet, dass der Angreifer bereits Zugriff auf das Netzwerk haben muss, was die Schwachstelle zu einem idealen Angriffspunkt für laterale Bewegungen macht. Um sich vor dieser Schwachstelle zu schützen, sollte jedes Unternehmen, das den DHCP-Server von Microsoft verwendet, seine DHCP-Server aktualisieren.

Microsoft Snipping Tool

Microsoft hat ein Notfall-Update für sein Snipping Tool veröffentlicht, das unter Windows 10 und Windows 11 verfügbar ist, um eine Sicherheitslücke namens Acropalypse zu schließen.

Diese Sicherheitslücke wird als CVE-2023-2830 bezeichnet und wird dadurch verursacht, dass Bildbearbeitungsprogramme abgeschnittene Bilddaten beim Überschreiben der Quelldatei nicht vollständig entfernen. Das Google Pixel Markup Tool ist ebenfalls von diesem Problem betroffen. Die zurückbleibenden Daten können möglicherweise sensible Informationen preisgeben, die der Benutzer eigentlich verbergen wollte. Obwohl die Schwachstelle als geringfügig eingestuft wird, haben Forscher festgestellt, dass eine beträchtliche Anzahl von öffentlich zugänglichen Bildern von Acropalypse betroffen sein könnte, da allein auf VirusTotal mehr als 4.000 Bilder veröffentlicht wurden.

Benutzern wird empfohlen, auf die neuesten Versionen von Windows 10 Snip & Sketch (11.2302.20.0) und Windows 11 Snipping Tool (10.2008.3001.0) zu aktualisieren, um diese Sicherheitslücke zu vermeiden.

Außerdem ist es wichtig, die Möglichkeit der Wiederherstellung von Daten in Schnappschüssen, die mit früheren Versionen der Software erstellt wurden, zu berücksichtigen.