Quelle: microsoft.com
Der Patch Tuesday dieses Monats behebt drei Zero-Day-Schwachstellen, von denen zwei in Angriffen ausgenutzt wurden und eine weitere öffentlich bekannt ist.
Microsoft stuft eine Sicherheitslücke als Zero-Day ein, wenn sie öffentlich bekannt ist oder aktiv ausgenutzt wird, ohne dass ein offizieller Fix verfügbar ist.
Die beiden aktiv ausgenutzten Zero-Day-Schwachstellen in den heutigen Updates sind:
CVE-2023-29336 - Win32k-Sicherheitslücke durch Erhöhung der Zugriffsrechte
Microsoft hat eine Sicherheitslücke im Win32k-Kernel-Treiber behoben, die zu einer Erhöhung der Berechtigungen auf SYSTEM, die höchste Berechtigungsstufe von Windows, führt.
"Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, kann SYSTEM-Rechte erlangen", heißt es in der Mitteilung von Microsoft.
Während Microsoft berichtet, dass der Fehler aktiv ausgenutzt wird, gibt es keine Details darüber, wie er missbraucht wurde.
Laut Microsoft haben Jan Vojtešek, Milánek und Luigino Camastra von Avast die Sicherheitslücke entdeckt.
CVE-2023-24932 - Umgehung der Sicherheitsfunktion von Secure Boot
Microsoft hat eine Sicherheitslücke bei der Umgehung von Secure Boot behoben, die von einem Bedrohungsakteur zur Installation des BlackLotus UEFI Bootkit genutzt wurde.
"Um die Schwachstelle auszunutzen, könnte ein Angreifer, der physischen Zugriff oder administrative Rechte auf ein Zielgerät hat, eine betroffene Boot-Policy installieren", heißt es in der Mitteilung von Microsoft.
Bei UEFI-Bootkits handelt es sich um Malware, die in die Systemfirmware eingeschleust wird und für die Sicherheitssoftware des Betriebssystems unsichtbar ist, da die Malware in der Anfangsphase des Bootvorgangs geladen wird.
Seit Oktober 2022 verkauft ein Bedrohungsakteur das BlackLotus-Bootkit in Hackerforen und entwickelt seine Funktionen ständig weiter. So berichtete ESET im März, dass der Entwickler die Malware so verbessert hat, dass sie selbst bei vollständig gepatchten Windows 11 Betriebssystemen Secure Boot umgeht.
Microsoft veröffentlichte letzten Monat eine Anleitung zur Erkennung von BlackLotus UEFI-Bootkit-Angriffen. Mit dem heutigen Patch Tuesday behebt Microsoft die vom Bootkit genutzte Sicherheitslücke, aktiviert sie aber nicht standardmäßig.
"Das Sicherheitsupdate behebt die Schwachstelle durch eine Aktualisierung des Windows-Bootmanagers, ist aber nicht standardmäßig aktiviert", heißt es in der Mitteilung von Microsoft.
"Zum jetzigen Zeitpunkt sind zusätzliche Schritte erforderlich, um die Sicherheitslücke zu beheben. Bitte beachten Sie die folgenden Schritte, um die Auswirkungen auf Ihre Umgebung zu ermitteln: KB5025885: Verwalten der Windows Boot Manager-Widerrufe für Secure Boot-Änderungen im Zusammenhang mit CVE-2023-249320."
Laut Microsoft ist diese Sicherheitslücke eine Umgehung der zuvor behobenen Sicherheitslücke CVE-2022-21894.
Microsoft hat außerdem ein Sicherheitsupdate für eine öffentlich gemeldete Zero-Day-Schwachstelle veröffentlicht, die nicht aktiv ausgenutzt wurde.
Manuelle Schritte zur Entschärfung von CVE-2023-24932 erforderlich
Die heute von Redmond veröffentlichten Sicherheitsupdates enthalten zwar eine Korrektur für den Windows-Bootmanager, sind jedoch standardmäßig deaktiviert und beseitigen nicht den Angriffsvektor, der bei BlackLotus-Angriffen ausgenutzt wird.
Um ihre Windows-Geräte zu schützen, müssen Kunden eine Prozedur durchlaufen, die mehrere manuelle Schritte erfordert, "um bootfähige Medien zu aktualisieren und Widerrufe anzuwenden, bevor dieses Update aktiviert wird."
Um den Schutz für den Secure Boot CVE-2023-24932-Bug manuell zu aktivieren, müssen Sie die folgenden Schritte in genau dieser Reihenfolge durchführen (andernfalls lässt sich das System nicht mehr starten):
- INSTALLIEREN Sie die Updates vom 9. Mai 2023 auf allen betroffenen Systemen.
- UPDATE Ihrer bootfähigen Medien mit Windows-Updates, die am oder nach dem 9. Mai 2023 veröffentlicht wurden. Wenn Sie keine eigenen Medien erstellen, müssen Sie die aktualisierten offiziellen Medien von Microsoft oder Ihrem Gerätehersteller (OEM) beziehen.
- APPLY-Widerrufe zum Schutz vor der Sicherheitslücke in CVE-2023-24932.
Microsoft verfolgt außerdem einen stufenweisen Ansatz zur Durchsetzung der Schutzmaßnahmen gegen diese Sicherheitslücke, um die Auswirkungen auf die Kunden durch die Aktivierung der CVE-2023-24932-Schutzmaßnahmen zu verringern.
Der Zeitplan für die Einführung umfasst drei Phasen:
-
- Mai 2023: Die erste Korrektur für CVE-2023-24932 wird veröffentlicht. In dieser Version erfordert diese Korrektur das Windows-Sicherheitsupdate vom 9. Mai 2023 und zusätzliche Kundenmaßnahmen, um die Schutzmaßnahmen vollständig zu implementieren.
-
- Juli 2023: Eine zweite Version wird zusätzliche Update-Optionen bereitstellen, um die Bereitstellung der Schutzmaßnahmen zu vereinfachen.
- Erstes Quartal 2024: In dieser endgültigen Version wird der Fix für CVE-2023-24932 standardmäßig aktiviert und der Entzug des Bootmanagers auf allen Windows-Geräten erzwungen.
Microsoft warnte die Kunden außerdem, dass es keine Möglichkeit gibt, die Änderungen rückgängig zu machen, sobald die Abhilfemaßnahmen für CVE-2023-24932 vollständig implementiert sind.
"Sobald die Abschwächung für dieses Problem auf einem Gerät aktiviert ist, was bedeutet, dass die Widerrufe angewendet wurden, kann dies nicht mehr rückgängig gemacht werden, wenn Sie weiterhin Secure Boot auf diesem Gerät verwenden", so Microsoft.
"Selbst eine Neuformatierung des Datenträgers wird die Widerrufe nicht entfernen, wenn sie bereits angewendet wurden.
CVE-2023-29325 - Windows OLE-Sicherheitsanfälligkeit für Remotecode-Ausführung
Microsoft hat eine Windows OLE-Schwachstelle in Microsoft Outlook behoben, die durch speziell gestaltete E-Mails ausgenutzt werden kann.
"In einem E-Mail-Angriffsszenario könnte ein Angreifer die Sicherheitslücke ausnutzen, indem er eine speziell gestaltete E-Mail an das Opfer sendet", warnt Microsoft in seinem Advisory.
"Die Ausnutzung der Sicherheitsanfälligkeit kann dazu führen, dass entweder ein Opfer eine speziell gestaltete E-Mail mit einer betroffenen Version der Microsoft Outlook-Software öffnet oder die Outlook-Anwendung des Opfers eine Vorschau einer speziell gestalteten E-Mail anzeigt."
"Dies könnte dazu führen, dass der Angreifer Remotecode auf dem Computer des Opfers ausführt.
Ein Angreifer muss jedoch eine "Race"-Bedingung gewinnen und zusätzliche Aktionen durchführen, um die Schwachstelle erfolgreich auszunutzen.
Microsoft sagt, dass Benutzer diese Schwachstelle durch Lesen aller Nachrichten im Klartextformat entschärfen können.
Will Dormann von Vuln Labs hat die Sicherheitslücke entdeckt.
Die Mai 2023 Patch Tuesday Sicherheitsupdates
| Tag | CVE ID | CVE Title | Severity |
|---|---|---|---|
| Microsoft Bluetooth Driver | CVE-2023-24947 | Windows Bluetooth Driver Remote Code Execution Vulnerability | Important |
| Microsoft Bluetooth Driver | CVE-2023-24948 | Windows Bluetooth Driver Elevation of Privilege Vulnerability | Important |
| Microsoft Bluetooth Driver | CVE-2023-24944 | Windows Bluetooth Driver Information Disclosure Vulnerability | Important |
| Microsoft Edge (Chromium-based) | CVE-2023-29354 | Microsoft Edge (Chromium-based) Security Feature Bypass Vulnerability | Moderate |
| Microsoft Edge (Chromium-based) | CVE-2023-2468 | Chromium: CVE-2023-2468 Inappropriate implementation in PictureInPicture | Unknown |
| Microsoft Edge (Chromium-based) | CVE-2023-2459 | Chromium: CVE-2023-2459 Inappropriate implementation in Prompts | Unknown |
| Microsoft Edge (Chromium-based) | CVE-2023-29350 | Microsoft Edge (Chromium-based) Elevation of Privilege Vulnerability | Important |
| Microsoft Edge (Chromium-based) | CVE-2023-2467 | Chromium: CVE-2023-2467 Inappropriate implementation in Prompts | Unknown |
| Microsoft Edge (Chromium-based) | CVE-2023-2463 | Chromium: CVE-2023-2463 Inappropriate implementation in Full Screen Mode | Unknown |
| Microsoft Edge (Chromium-based) | CVE-2023-2462 | Chromium: CVE-2023-2462 Inappropriate implementation in Prompts | Unknown |
| Microsoft Edge (Chromium-based) | CVE-2023-2460 | Chromium: CVE-2023-2460 Insufficient validation of untrusted input in Extensions | Unknown |
| Microsoft Edge (Chromium-based) | CVE-2023-2465 | Chromium: CVE-2023-2465 Inappropriate implementation in CORS | Unknown |
| Microsoft Edge (Chromium-based) | CVE-2023-2466 | Chromium: CVE-2023-2466 Inappropriate implementation in Prompts | Unknown |
| Microsoft Edge (Chromium-based) | CVE-2023-2464 | Chromium: CVE-2023-2464 Inappropriate implementation in PictureInPicture | Unknown |
| Microsoft Graphics Component | CVE-2023-24899 | Windows Graphics Component Elevation of Privilege Vulnerability | Important |
| Microsoft Office | CVE-2023-29344 | Microsoft Office Remote Code Execution Vulnerability | Important |
| Microsoft Office Access | CVE-2023-29333 | Microsoft Access Denial of Service Vulnerability | Important |
| Microsoft Office Excel | CVE-2023-24953 | Microsoft Excel Remote Code Execution Vulnerability | Important |
| Microsoft Office SharePoint | CVE-2023-24955 | Microsoft SharePoint Server Remote Code Execution Vulnerability | Critical |
| Microsoft Office SharePoint | CVE-2023-24954 | Microsoft SharePoint Server Information Disclosure Vulnerability | Important |
| Microsoft Office SharePoint | CVE-2023-24950 | Microsoft SharePoint Server Spoofing Vulnerability | Important |
| Microsoft Office Word | CVE-2023-29335 | Microsoft Word Security Feature Bypass Vulnerability | Important |
| Microsoft Teams | CVE-2023-24881 | Microsoft Teams Information Disclosure Vulnerability | Important |
| Microsoft Windows Codecs Library | CVE-2023-29340 | AV1 Video Extension Remote Code Execution Vulnerability | Important |
| Microsoft Windows Codecs Library | CVE-2023-29341 | AV1 Video Extension Remote Code Execution Vulnerability | Important |
| Remote Desktop Client | CVE-2023-24905 | Remote Desktop Client Remote Code Execution Vulnerability | Important |
| SysInternals | CVE-2023-29343 | SysInternals Sysmon for Windows Elevation of Privilege Vulnerability | Important |
| Visual Studio Code | CVE-2023-29338 | Visual Studio Code Information Disclosure Vulnerability | Important |
| Windows Backup Engine | CVE-2023-24946 | Windows Backup Service Elevation of Privilege Vulnerability | Important |
| Windows Installer | CVE-2023-24904 | Windows Installer Elevation of Privilege Vulnerability | Important |
| Windows iSCSI Target Service | CVE-2023-24945 | Windows iSCSI Target Service Information Disclosure Vulnerability | Important |
| Windows Kernel | CVE-2023-24949 | Windows Kernel Elevation of Privilege Vulnerability | Important |
| Windows LDAP - Lightweight Directory Access Protocol | CVE-2023-28283 | Windows Lightweight Directory Access Protocol (LDAP) Remote Code Execution Vulnerability | Critical |
| Windows MSHTML Platform | CVE-2023-29324 | Windows MSHTML Platform Security Feature Bypass Vulnerability | Important |
| Windows Network File System | CVE-2023-24941 | Windows Network File System Remote Code Execution Vulnerability | Critical |
| Windows NFS Portmapper | CVE-2023-24901 | Windows NFS Portmapper Information Disclosure Vulnerability | Important |
| Windows NFS Portmapper | CVE-2023-24939 | Server for NFS Denial of Service Vulnerability | Important |
| Windows NTLM | CVE-2023-24900 | Windows NTLM Security Support Provider Information Disclosure Vulnerability | Important |
| Windows OLE | CVE-2023-29325 | Windows OLE Remote Code Execution Vulnerability | Critical |
| Windows PGM | CVE-2023-24940 | Windows Pragmatic General Multicast (PGM) Denial of Service Vulnerability | Important |
| Windows PGM | CVE-2023-24943 | Windows Pragmatic General Multicast (PGM) Remote Code Execution Vulnerability | Critical |
| Windows RDP Client | CVE-2023-28290 | Microsoft Remote Desktop app for Windows Information Disclosure Vulnerability | Important |
| Windows Remote Procedure Call Runtime | CVE-2023-24942 | Remote Procedure Call Runtime Denial of Service Vulnerability | Important |
| Windows Secure Boot | CVE-2023-28251 | Windows Driver Revocation List Security Feature Bypass Vulnerability | Important |
| Windows Secure Boot | CVE-2023-24932 | Secure Boot Security Feature Bypass Vulnerability | Important |
| Windows Secure Socket Tunneling Protocol (SSTP) | CVE-2023-24903 | Windows Secure Socket Tunneling Protocol (SSTP) Remote Code Execution Vulnerability | Critical |
| Windows SMB | CVE-2023-24898 | Windows SMB Denial of Service Vulnerability | Important |
| Windows Win32K | CVE-2023-29336 | Win32k Elevation of Privilege Vulnerability | Important |
| Windows Win32K | CVE-2023-24902 | Win32k Elevation of Privilege Vulnerability | Important |