Quelle: microsoft.com
Microsoft Schwachstellen
Microsofts Patch Tuesday vom Februar 2024, der Sicherheitsupdates für 73 Schwachstellen und zwei aktiv ausgenutzte Zero-Days enthält.
Dieser Patch Tuesday behebt fünf kritische Sicherheitslücken, darunter Denial-of-Service-Schwachstellen, Remotecode-Ausführung, Offenlegung von Informationen und Erhöhung von Berechtigungen.
Die Anzahl der Bugs in jeder Schwachstellenkategorie ist unten aufgeführt:
- 16 Sicherheitslücken durch Erhöhung von Berechtigungen
- 3 Anfälligkeiten für die Umgehung von Sicherheitsfunktionen
- 30 Schwachstellen bei der Remote-Code-Ausführung
- 5 Sicherheitslücken durch Offenlegung von Informationen
- 9 Denial-of-Service-Schwachstellen
- 10 Spoofing-Schwachstellen
In der Gesamtzahl von 73 Schwachstellen sind 6 Microsoft Edge-Schwachstellen, die am 8. Februar behoben wurden, und 1 Mariner-Schwachstelle nicht enthalten.
CVE-2024-21351 - Sicherheitslücke in Windows SmartScreen zur Umgehung von Sicherheitsfunktionen**
Microsoft hat eine aktiv ausgenutzte Sicherheitslücke in Windows SmartScreen behoben, die es Angreifern ermöglicht, die SmartScreen-Sicherheitsüberprüfungen zu umgehen.
"Ein autorisierter Angreifer muss dem Benutzer eine bösartige Datei schicken und ihn überzeugen, diese zu öffnen", erklärt Microsoft.
"Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, kann die SmartScreen-Benutzererfahrung umgehen", so Microsoft weiter.
Es ist nicht bekannt, wie die Schwachstelle in Angriffen ausgenutzt wurde oder von welchem Bedrohungsakteur.
Die Schwachstelle wurde von Eric Lawrence von Microsoft entdeckt.
CVE-2024-21412 - Sicherheitslücke in Internet-Verknüpfungsdateien zur Umgehung von Sicherheitsfunktionen**
Microsoft hat eine aktiv ausgenutzte Schwachstelle in Internet-Verknüpfungsdateien behoben, durch die Mark of the Web (MoTW)-Warnungen in Windows umgangen werden können.
"Ein nicht authentifizierter Angreifer könnte dem Zielbenutzer eine speziell gestaltete Datei senden, die dazu dient, die angezeigten Sicherheitsprüfungen zu umgehen", erklärt Microsoft.
"Der Angreifer hätte jedoch keine Möglichkeit, einen Benutzer dazu zu zwingen, den vom Angreifer kontrollierten Inhalt anzuzeigen. Stattdessen müsste der Angreifer den Benutzer davon überzeugen, durch Klicken auf den Dateilink aktiv zu werden.
Peter Girnus (gothburz) von der Zero-Day-Initiative von Trend Micro, der die Schwachstelle entdeckte, veröffentlichte heute einen Bericht darüber, wie sie von der APT-Gruppe DarkCasino (Water Hydra) in einer auf Finanzhändler abzielenden Kampagne aktiv ausgenutzt wurde.
Microsoft sagt, dass andere Forscher die Schwachstelle unabhängig entdeckt haben, darunter dwbzn von Aura Information Security sowie Dima Lenz und Vlad Stolyarov von der Threat Analysis Group von Google.
Microsoft hat keine Angaben dazu gemacht, wie die Sicherheitslücke CVE-2024-21351 in Angriffen ausgenutzt wurde.
Die Sicherheitsanfälligkeit für Remote Code Execution in Microsoft Outlook
Eine kritische Sicherheitsanfälligkeit für Remote Code Execution (RCE) in Microsoft Outlook, identifiziert als CVE-2024-21413, birgt ein hohes Risiko für Benutzer und Unternehmen mit einem Schweregrad von 9,8 auf der CVSS-Skala. Die Sicherheitsanfälligkeit zeichnet sich durch einen netzwerkbasierten Angriffsvektor aus, der keine besonderen Berechtigungen oder Benutzerinteraktionen für die Ausnutzung erfordert und die Vertraulichkeit, Integrität und Verfügbarkeit erheblich beeinträchtigen kann.
Ein Angreifer kann diese Sicherheitsanfälligkeit über das Vorschaufenster in Outlook ausnutzen, um die geschützte Office-Ansicht zu umgehen und das Öffnen von Dateien im Bearbeitungsmodus zu erzwingen, anstatt im sichereren geschützten Modus.
Um dieses Risiko zu verringern, rät Microsoft den Nutzern von Office 2016, die neuesten Updates zu installieren, die für die Architektur ihres Systems (32-Bit oder 64-Bit) spezifisch sind. Zu den relevanten Sicherheitsupdates gehören 5002537, 5002467, 5002522, 5002469 und 5002519, die dieses Problem umfassend beheben sollen.
Die Bedrohung durch diese Sicherheitslücke ist beträchtlich, da sie es einem Angreifer möglicherweise ermöglicht, erweiterte Rechte zu erlangen, einschließlich der Fähigkeit, Daten zu lesen, zu schreiben und zu löschen. Darüber hinaus könnte ein Angreifer bösartige Links erstellen, die das Protected View Protocol umgehen, was zur Offenlegung lokaler NTLM-Anmeldeinformationen führt und die Remotecodeausführung ermöglicht.
Microsoft berichtet zwar, dass diese Sicherheitsanfälligkeit noch nicht in freier Wildbahn ausgenutzt wurde und kein Konzeptnachweis (PoC) vorliegt, doch die Anwendung der bereitgestellten Updates ist für den Schutz vor einer möglichen Ausnutzung unerlässlich.
Die Microsoft Exchange Server-Sicherheitslücke (Elevation of Privilege)
Eine kritische "Elevation of Privilege"-Schwachstelle in Microsoft Exchange Server, identifiziert als CVE-2024-21410, gefährdet die Systemsicherheit mit einem maximalen CVSS-Schweregrad von 9.8 erheblich. Dieser Angriff mit geringer Komplexität erfordert keine besonderen Privilegien oder Benutzerinteraktion zur Ausnutzung und stellt ein ernsthaftes Risiko für die Vertraulichkeit, Integrität und Verfügbarkeit dar.
Diese Sicherheitsanfälligkeit zielt auf NTLM-Clients wie Outlook ab und nutzt ein Leck in den NTLM-Anmeldeinformationen aus, um diese Anmeldeinformationen an den Exchange-Server weiterzuleiten. Durch diese Weitergabe können die Rechte des Angreifers auf die des Opfers angehoben werden, so dass er als das Opfer Vorgänge auf dem Exchange-Server ausführen kann.
Um diese Bedrohung vor der Anwendung des offiziellen Fixes zu entschärfen, empfiehlt es sich, die Exchange Extended Protection-Dokumentation zu konsultieren und das Skript ExchangeExtendedProtectionManagement.ps1 zu verwenden, um Extended Protection for Authentication (EPA) auf Exchange-Servern zu aktivieren. Darüber hinaus ist es für Benutzer von Exchange Server 2016 CU23 wichtig, das neueste Sicherheitsupdate zu installieren, bevor Sie Extended Protection aktivieren.
Benutzer von Exchange Server 2019 CU14 oder früher sollten beachten, dass der NTLM-Anmeldeinformations-Relay-Schutz oder EPA vor dem kumulativen Update 14 nicht automatisch aktiv war. Die Aktivierung von EPA durch Ausführen des Skripts ist für den Schutz vor dieser Sicherheitsanfälligkeit unerlässlich, ebenso wie die Installation des neuesten kumulativen Updates für einen umfassenden Schutz.
Proaktive Maßnahmen und die zeitnahe Anwendung von Sicherheitsupdates sind für den Schutz vor solch kritischen Sicherheitslücken von größter Bedeutung. Für die richtige Konfiguration und den Schutz vor CVE-2024-21410 sollten Sie sich an Microsoft oder einen erfahrenen IT-Experten wenden.
Obwohl es keine Berichte über die Ausnutzung dieser Sicherheitslücke in freier Wildbahn gibt, weist Microsoft auf eine höhere Wahrscheinlichkeit einer zukünftigen Ausnutzung hin, was die Dringlichkeit von Updates und Schutzmaßnahmen unterstreicht.
Die Febraur 2024 Patch Tuesday Sicherheitsupdates
Nachfolgend finden Sie die vollständige Liste der behobenen Sicherheitslücken in den Februar 2024 Patch Tuesday Updates.
| Tag | CVE ID | CVE Title | Severity |
|---|---|---|---|
| .NET | CVE-2024-21386 | .NET Denial of Service Vulnerability | Important |
| .NET | CVE-2024-21404 | .NET Denial of Service Vulnerability | Important |
| Azure Active Directory | CVE-2024-21401 | Microsoft Entra Jira Single-Sign-On Plugin Elevation of Privilege Vulnerability | Important |
| Azure Active Directory | CVE-2024-21381 | Microsoft Azure Active Directory B2C Spoofing Vulnerability | Important |
| Azure Connected Machine Agent | CVE-2024-21329 | Azure Connected Machine Agent Elevation of Privilege Vulnerability | Important |
| Azure DevOps | CVE-2024-20667 | Azure DevOps Server Remote Code Execution Vulnerability | Important |
| Azure File Sync | CVE-2024-21397 | Microsoft Azure File Sync Elevation of Privilege Vulnerability | Important |
| Azure Site Recovery | CVE-2024-21364 | Microsoft Azure Site Recovery Elevation of Privilege Vulnerability | Moderate |
| Azure Stack | CVE-2024-20679 | Azure Stack Hub Spoofing Vulnerability | Important |
| Internet Shortcut Files | CVE-2024-21412 | Internet Shortcut Files Security Feature Bypass Vulnerability | Important |
| Mariner | CVE-2024-21626 | Unknown | Unknown |
| Microsoft ActiveX | CVE-2024-21349 | Microsoft ActiveX Data Objects Remote Code Execution Vulnerability | Important |
| Microsoft Azure Kubernetes Service | CVE-2024-21403 | Microsoft Azure Kubernetes Service Confidential Container Elevation of Privilege Vulnerability | Important |
| Microsoft Azure Kubernetes Service | CVE-2024-21376 | Microsoft Azure Kubernetes Service Confidential Container Remote Code Execution Vulnerability | Important |
| Microsoft Defender for Endpoint | CVE-2024-21315 | Microsoft Defender for Endpoint Protection Elevation of Privilege Vulnerability | Important |
| Microsoft Dynamics | CVE-2024-21393 | Microsoft Dynamics 365 (on-premises) Cross-site Scripting Vulnerability | Important |
| Microsoft Dynamics | CVE-2024-21389 | Microsoft Dynamics 365 (on-premises) Cross-site Scripting Vulnerability | Important |
| Microsoft Dynamics | CVE-2024-21395 | Microsoft Dynamics 365 (on-premises) Cross-site Scripting Vulnerability | Important |
| Microsoft Dynamics | CVE-2024-21380 | Microsoft Dynamics Business Central/NAV Information Disclosure Vulnerability | Critical |
| Microsoft Dynamics | CVE-2024-21328 | Dynamics 365 Sales Spoofing Vulnerability | Important |
| Microsoft Dynamics | CVE-2024-21394 | Dynamics 365 Field Service Spoofing Vulnerability | Important |
| Microsoft Dynamics | CVE-2024-21396 | Dynamics 365 Sales Spoofing Vulnerability | Important |
| Microsoft Dynamics | CVE-2024-21327 | Microsoft Dynamics 365 Customer Engagement Cross-Site Scripting Vulnerability | Important |
| Microsoft Edge (Chromium-based) | CVE-2024-1284 | Chromium: CVE-2024-1284 Use after free in Mojo | Unknown |
| Microsoft Edge (Chromium-based) | CVE-2024-21399 | Microsoft Edge (Chromium-based) Remote Code Execution Vulnerability | Moderate |
| Microsoft Edge (Chromium-based) | CVE-2024-1060 | Chromium: CVE-2024-1060 Use after free in Canvas | Unknown |
| Microsoft Edge (Chromium-based) | CVE-2024-1077 | Chromium: CVE-2024-1077 Use after free in Network | Unknown |
| Microsoft Edge (Chromium-based) | CVE-2024-1283 | Chromium: CVE-2024-1283 Heap buffer overflow in Skia | Unknown |
| Microsoft Edge (Chromium-based) | CVE-2024-1059 | Chromium: CVE-2024-1059 Use after free in WebRTC | Unknown |
| Microsoft Exchange Server | CVE-2024-21410 | Microsoft Exchange Server Elevation of Privilege Vulnerability | Critical |
| Microsoft Office | CVE-2024-21413 | Microsoft Outlook Remote Code Execution Vulnerability | Critical |
| Microsoft Office | CVE-2024-20673 | Microsoft Office Remote Code Execution Vulnerability | Important |
| Microsoft Office OneNote | CVE-2024-21384 | Microsoft Office OneNote Remote Code Execution Vulnerability | Important |
| Microsoft Office Outlook | CVE-2024-21378 | Microsoft Outlook Remote Code Execution Vulnerability | Important |
| Microsoft Office Outlook | CVE-2024-21402 | Microsoft Outlook Elevation of Privilege Vulnerability | Important |
| Microsoft Office Word | CVE-2024-21379 | Microsoft Word Remote Code Execution Vulnerability | Important |
| Microsoft Teams for Android | CVE-2024-21374 | Microsoft Teams for Android Information Disclosure | Important |
| Microsoft WDAC ODBC Driver | CVE-2024-21353 | Microsoft WDAC ODBC Driver Remote Code Execution Vulnerability | Important |
| Microsoft WDAC OLE DB provider for SQL | CVE-2024-21370 | Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability | Important |
| Microsoft WDAC OLE DB provider for SQL | CVE-2024-21350 | Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability | Important |
| Microsoft WDAC OLE DB provider for SQL | CVE-2024-21368 | Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability | Important |
| Microsoft WDAC OLE DB provider for SQL | CVE-2024-21359 | Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability | Important |
| Microsoft WDAC OLE DB provider for SQL | CVE-2024-21365 | Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability | Important |
| Microsoft WDAC OLE DB provider for SQL | CVE-2024-21367 | Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability | Important |
| Microsoft WDAC OLE DB provider for SQL | CVE-2024-21420 | Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability | Important |
| Microsoft WDAC OLE DB provider for SQL | CVE-2024-21366 | Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability | Important |
| Microsoft WDAC OLE DB provider for SQL | CVE-2024-21369 | Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability | Important |
| Microsoft WDAC OLE DB provider for SQL | CVE-2024-21375 | Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability | Important |
| Microsoft WDAC OLE DB provider for SQL | CVE-2024-21361 | Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability | Important |
| Microsoft WDAC OLE DB provider for SQL | CVE-2024-21358 | Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability | Important |
| Microsoft WDAC OLE DB provider for SQL | CVE-2024-21391 | Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability | Important |
| Microsoft WDAC OLE DB provider for SQL | CVE-2024-21360 | Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability | Important |
| Microsoft WDAC OLE DB provider for SQL | CVE-2024-21352 | Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability | Important |
| Microsoft Windows | CVE-2024-21406 | Windows Printing Service Spoofing Vulnerability | Important |
| Microsoft Windows DNS | CVE-2024-21377 | Windows DNS Information Disclosure Vulnerability | Important |
| Role: DNS Server | CVE-2023-50387 | MITRE: CVE-2023-50387 DNSSEC verification complexity can be exploited to exhaust CPU resources and stall DNS resolvers | Important |
| Role: DNS Server | CVE-2024-21342 | Windows DNS Client Denial of Service Vulnerability | Important |
| Skype for Business | CVE-2024-20695 | Skype for Business Information Disclosure Vulnerability | Important |
| SQL Server | CVE-2024-21347 | Microsoft ODBC Driver Remote Code Execution Vulnerability | Important |
| Trusted Compute Base | CVE-2024-21304 | Trusted Compute Base Elevation of Privilege Vulnerability | Important |
| Windows Hyper-V | CVE-2024-20684 | Windows Hyper-V Denial of Service Vulnerability | Critical |
| Windows Internet Connection Sharing (ICS) | CVE-2024-21343 | Windows Network Address Translation (NAT) Denial of Service Vulnerability | Important |
| Windows Internet Connection Sharing (ICS) | CVE-2024-21348 | Internet Connection Sharing (ICS) Denial of Service Vulnerability | Important |
| Windows Internet Connection Sharing (ICS) | CVE-2024-21357 | Windows Pragmatic General Multicast (PGM) Remote Code Execution Vulnerability | Critical |
| Windows Internet Connection Sharing (ICS) | CVE-2024-21344 | Windows Network Address Translation (NAT) Denial of Service Vulnerability | Important |
| Windows Kernel | CVE-2024-21371 | Windows Kernel Elevation of Privilege Vulnerability | Important |
| Windows Kernel | CVE-2024-21338 | Windows Kernel Elevation of Privilege Vulnerability | Important |
| Windows Kernel | CVE-2024-21341 | Windows Kernel Remote Code Execution Vulnerability | Important |
| Windows Kernel | CVE-2024-21345 | Windows Kernel Elevation of Privilege Vulnerability | Important |
| Windows Kernel | CVE-2024-21362 | Windows Kernel Security Feature Bypass Vulnerability | Important |
| Windows Kernel | CVE-2024-21340 | Windows Kernel Information Disclosure Vulnerability | Important |
| Windows LDAP - Lightweight Directory Access Protocol | CVE-2024-21356 | Windows Lightweight Directory Access Protocol (LDAP) Denial of Service Vulnerability | Important |
| Windows Message Queuing | CVE-2024-21363 | Microsoft Message Queuing (MSMQ) Remote Code Execution Vulnerability | Important |
| Windows Message Queuing | CVE-2024-21355 | Microsoft Message Queuing (MSMQ) Elevation of Privilege Vulnerability | Important |
| Windows Message Queuing | CVE-2024-21405 | Microsoft Message Queuing (MSMQ) Elevation of Privilege Vulnerability | Important |
| Windows Message Queuing | CVE-2024-21354 | Microsoft Message Queuing (MSMQ) Elevation of Privilege Vulnerability | Important |
| Windows OLE | CVE-2024-21372 | Windows OLE Remote Code Execution Vulnerability | Important |
| Windows SmartScreen | CVE-2024-21351 | Windows SmartScreen Security Feature Bypass Vulnerability | Moderate |
| Windows USB Serial Driver | CVE-2024-21339 | Windows USB Generic Parent Driver Remote Code Execution Vulnerability | Important |
| Windows Win32K - ICOMP | CVE-2024-21346 | Win32k Elevation of Privilege Vulnerability | Important |