Angreifer attackieren Microsoft 365 Apps und Windows - Mehrere kritische Lücken
Es sind wichtige Sicherheitsupdates für unter anderem Azure-Dienste, Exchange Server und Windows erschienen. Mehrere Lücken sind als "kritisch" eingestuft.
(Bild: heise online)
Derzeit haben es unbekannte Angreifer auf drei Sicherheitslücken in Microsoft 365 Apps und Windows abgesehen. Sind Attacken erfolgreich, könnten Angreifer im schlimmsten Fall Schadcode mit System-Rechten ausführen und Computer so vollständig kompromittieren. Sicherheitspatches stehen über Windows Update bereit.
Microsoft 365 Apps im Visier von Angreifern
Zwei der ausgenutzten Lücken betreffen Windows-Komponenten (Grafik-Komponente: CVE-2023-21823 "hoch", Common Log File System: CVE2023-23376 "hoch"). In beiden Fällen sollen lokale Attacken möglich sein. Die Komplexität und die Rechte für einen erfolgreichen Angriff sind mit niedrig eingestuft. Weiterhin ist nichts Weiteres über ein konkretes Angriffsszenario bekannt. In beiden Fällen ist die Ausführung von Schadcode mit System-Rechten vorstellbar. Davon sind auch mehrere Windows-Server-Versionen betroffen.
Um die Lücke (CVE-2023-21715 "hoch") in verschiedenen Microsoft 365 Apps wie Office auszunutzen, muss sich ein Angreifer als Voraussetzung lokal auf einem System authentifizieren. Bringt er ein Opfer etwa durch Social Engineering dazu, eine präparierte Datei herunterzuladen und auszuführen, ist ein Angriff erfolgreich. Im Anschluss sollen Sicherheitsmechanismen umgehbar sein. In welchem Ausmaß die Attacken ablaufen, ist derzeit nicht bekannt.
Kritische Schwachstellen
Die "kritischen" Lücken betreffen unter anderem Microsoft Protected Extensible Authentication Protocol (PEAP) (CVE-2023-21689) und Office (CVE-2023-21716). Die PEAP-Schwachstelle ist nur bedrohlich, wenn auf einem Windows Server NPS läuft und eine Netzwerkrichtlinie konfiguriert ist, die PEAP zulässt. An der Word-Lücke können Angreifer mit einem präparierten RTF-Dokument ansetzen.
Die verbleibenden Schwachstellen betreffen etwa 3D Builder, Azure (App Service on Azure Stack, Data Box, DevOps Server und Machine Learning Computer Instance), Microsoft Defender und Windows Secure Channel. Hier könnten Angreifer für DoS-Attacken ansetzen oder sich höhere Nutzerrechte verschaffen. Exchange Server sind für Schadcode-Attacken anfällig (CVE-2023-21529 "hoch"). Hier könnten ein authentifizierter Angreifer über einen Netzwerkaufruf versuchen, Schadcode im Kontext der Serverkontos auszuführen.
Weitere Informationen zu den Lücken und Sicherheitspatches listet Microsoft im Security Update Guide auf.
Einem Beitrag zufolge beginnt Microsoft nun damit, den Internet Explorer 11 aus bestimmten Windows-10-Versionen zu entfernen. Der Support für den Webbrowser ist seit Sommer 2022 ausgelaufen.
Attacken auf Microsoft 365 Apps in der Überschrift und im Fließtext spezifiziert.
Wie aus einem Beitrag von Microsoft hervorgeht, endet am 11. April 2023 der Support für Exchange Server 2013.
(des)
