Microsoft fordert Windows-Benutzer dringend auf, ihre Systeme sofort zu aktualisieren, nachdem im Rahmen seines Sicherheitspatches vom November vier neue Zero-Day-Schwachstellen bestätigt wurden. Unter den über 90 gemeldeten Sicherheitsproblemen werden zwei dieser Zero-Day-Angriffe aktiv ausgenutzt und stellen erhebliche Risiken für Benutzer dar.
Die Zero-Day-Schwachstellen verstehen
Microsoft hat eine einzigartige Sicht auf die Frage, was eine Zero-Day-Bedrohung ausmacht, und berücksichtigt sowohl öffentlich bekannt gegebene als auch aktiv angegriffene Schwachstellen. Wie in der Patch Tuesday-Veröffentlichung vom November 2024 hervorgehoben, werden derzeit zwei der vier identifizierten Schwachstellen ausgenutzt.
CVE-2024-43451 ist besonders bemerkenswert; Es handelt sich um eine Sicherheitslücke im NT LAN Manager, die die Hash-Offenlegung fälscht und das NTLM-Authentifizierungsprotokoll offenlegt. Laut Ryan Braunstein, Teamleiter für Sicherheitsoperationen bei Automox, erfordert die Schwachstelle die Ausnutzung von Benutzerinteraktionen. Konkret müssen Benutzer eine manipulierte Datei öffnen, die über Phishing-Versuche gesendet wurde, damit der Angriff erfolgreich ist. Bei Kompromittierung ermöglicht diese Schwachstelle Angreifern die potenzielle Authentifizierung als Benutzer, da NTLM-Hashing offengelegt wird, das zum Schutz von Passwörtern gedacht ist.
Andererseits handelt es sich bei CVE-2024-49039 um eine Sicherheitslücke im Windows Taskplaner zur Erhöhung von Berechtigungen. Henry Smith, ein leitender Sicherheitsingenieur bei Automox, stellte fest, dass dieser Fehler Remote Procedure Call-Funktionen ausnutzt und es einem Angreifer ermöglicht, seine Berechtigungen zu erhöhen, nachdem er sich zum ersten Mal Zugriff auf ein Windows-System verschafft hat. Patching bleibt die zuverlässigste Verteidigung gegen diese Schwachstellen, insbesondere da funktionsfähiger Exploit-Code bereits im Umlauf ist.
Kritische Schwachstellen mit Schweregrad 9,8
Zusätzlich zur Alarmierung wurden zwei Schwachstellen im Common Vulnerability Scoring System mit 9,8 bewertet, was auf ihre potenziellen Auswirkungen hinweist. CVE-2024-43498 betrifft .NET-Webanwendungen und ermöglicht nicht authentifizierten Remote-Angreifern, die Anwendung durch böswillige Anfragen auszunutzen. Unterdessen zielt CVE-2024-43639 auf Windows Kerberos ab und ermöglicht es nicht autorisierten Angreifern, Code über dieselben nicht authentifizierten Vektoren auszuführen.
Laut Tyler Reguly, stellvertretender Direktor für Sicherheitsforschung und -entwicklung bei Fortra, sollte das Hauptaugenmerk jedoch auf zwei Sicherheitslücken gerichtet werden, die auf der Schweregradskala der Auswirkung mit einem kritischen Wert von 9,8 bewertet wurden. „Während das Common Vulnerability Scoring System kein Risikoindikator ist“, sagte Reguly sagte„Werte von 9,8 sagen oft ziemlich gut aus, wo das Problem liegt.“
Angesichts der Schwere dieser Sicherheitslücken betont Microsoft die Bedeutung der Anwendung von Sicherheitsupdates, insbesondere für Benutzer, die Windows, Office, SQL Server, Exchange Server, .NET und Visual Studio verwenden. Chris Goettl, Vizepräsident für Sicherheitsproduktmanagement bei Ivanti, wies darauf hin, dass Patches aufgrund der bekannten und aktiv ausgenutzten Natur dieser Schwachstellen Priorität haben sollten.
Verfolgung aktueller Angriffe und Schwachstellen
Die Bedenken von Microsoft werden durch die jüngsten Vorfälle verstärkt, bei denen russische Hacker Schwachstellen in ihren Systemen für Angriffe ausnutzten, die speziell auf ukrainische Unternehmen abzielten. Dies verdeutlicht die umfassenderen Auswirkungen dieser Schwachstellen, die über bloße Softwareprobleme hinausgehen. Sicherheitsforscher von ClearSky berichteten, dass die Schwachstelle NTLM-Hash-Offenlegung (CVE-2024-43451) ausgenutzt wurde, um NTLMv2-Hashes durch Phishing-Angriffe zu stehlen, was eine Sequenz auslöste, die es Angreifern ermöglichte, Fernzugriff auf kompromittierte Systeme zu erhalten.
Durch die Verwendung manipulierter Hyperlinks in Phishing-E-Mails zwangen Angreifer Benutzer zur Interaktion mit schädlichen Dateien und aktivierten so die Schwachstelle, die eine Verbindung zu einem vom Angreifer kontrollierten Server herstellt. Dies unterstreicht die dringende Notwendigkeit, dass Benutzer wachsam bleiben und verdächtige Kommunikation melden.
Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat CVE-2024-43451 in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen und schreibt vor, dass Unternehmen ihre anfälligen Systeme bis Anfang Dezember sichern müssen. Wie CISA feststellte, dienen solche Schwachstellen häufig als Angriffsvektoren für böswillige Cyber-Akteure und stellen große Risiken dar, insbesondere innerhalb bundesstaatlicher Netzwerke.
Angesichts der Kenntnis dieser Schwachstellen werden Benutzer aufgefordert, umgehend zu handeln. Der November-Patchdienstag von Microsoft ist ein notwendiger Schritt, um die mit neu entdeckten Schwachstellen verbundenen Risiken zu mindern. Da hybride Arbeitsumgebungen die Grenzen der Cybersicherheit immer weiter verwischen, kann die Einhaltung von Best Practices und die Sicherstellung rechtzeitiger Updates die Gefährdung durch potenzielle Bedrohungen drastisch reduzieren.
Hervorgehobener Bildnachweis: Windows/Unsplash