Patchday: Microsoft dichtet aktiv angegriffene Sicherheitslücken ab

Am März-Patchday schließt Microsoft zig Schwachstellen in diversen Produkten des Unternehmens. Dabei stechen zwei bereits aktiv angegriffene Zero-Day-Lücken hervor. Insgesamt neun Sicherheitslücken stuft Microsoft – teils unabhängig von der CVSS-Beurteilung – als kritisch ein.

Im Security Update Guide listet Microsoft 80 CVE-Einträge zu mit den Updates geschlossenen Sicherheitslücken. Von den 80 Lücken betreffen jedoch vier Github und zwei TPMs, die jetzt auch zusätzlich von Microsoft berücksichtigt werden, sodass die Aktualisierungen zum Patchday effektiv 74 neue Sicherheitslücken in Microsoft-Produkten behandeln.

Microsoft Patchday: Aktiv missbrauchte Sicherheitslücken

In freier Wildbahn werden zwei der jetzt geschlossenen Schwachstellen bereits von bösartigen Akteuren missbraucht. Die US-Cyber-Sicherheitsbehörde CISA hat sie deshalb in den Known Exploited Vulnerabilities Catalog aufgenommen.

Die Erste betrifft Microsoft Outlook und ermöglicht Angreifern, ihre Rechte auszuweiten (CVE-2023-23397, CVSS 9.8, Risiko "kritisch"). Angreifer könnten durch Ausnutzen dieser Schwachstelle an den Net-NTLMv2-Hash eines Benutzers gelangen. Der lässt sich bei einem NTLM-Relay-Angriff gegen einen anderen Dienst verwenden, um sich als das Opfer zu authentifizieren, führt Microsoft in der Beschreibung zur Lücke aus. Um die Sicherheitslücke ausnutzen, genügt das Senden einer speziell präparierten E-Mail. Die löst den Fehler automatisch aus, wenn der Outlook-Client sie abruft und verarbeitet. Der Fehler tritt auf, bevor die E-Mail im Vorschaufenster angezeigt wird. Eine derart manipulierte E-Mail kann eine Verbindung des Opfers zu einem Server der Angreifer auslösen, durch die der Net-NTLMv2-Hash des Opfers zu den Angreifern gelangt.

Die zweite bereits attackierte Lücke umgeht die Sicherheitsfunktion Windows SmartScreen (CVE-2023-24880, CVSS 5.4, mittel). Angreifer können bösartige Dateien erstellen, die die Mark of the Web (MOTW)-Schutzmaßnahmen umgehen. Dies könne "zu einem begrenzten Verlust der Integrität und Verfügbarkeit von Sicherheitsfunktionen wie Protected View in Microsoft Office führen, die auf MOTW-Tagging angewiesen sind", erklärt Microsoft die Schwachstelle. Googles Threat Analysis Group (TAG) hat beobachtet, wie Cyberkriminelle die Schwachstelle zum Verbreiten der Magniber-Malware missbrauchen.

Konkret haben die Angreifer MSI-Dateien verteilt, die mit einer ungültigen, aber sorgsam präparierten Authenticode-Signatur signiert sind. Die fehlerhafte Signatur führt dazu, dass SmartScreen einen Fehler zurückgibt. Der wiederum führt dazu, dass der Sicherheitswarndialog umgangen wird, der den Benutzern eigentlich angezeigt werden soll, wenn eine nicht vertrauenswürdige Datei ein Mark-of-the-Web (MotW) enthält – das darauf hinweist, dass eine potenziell schädliche Datei aus dem Internet heruntergeladen wurde. Den MotW-Mechanismus musste Microsoft schon öfter nachflicken – zuletzt im November vergangenen Jahres, als es Angreifern gelang, ihn zu umgehen.

Zahlreiche aktualisierte Produkte

Die IT-Sicherheitsforscher von der Zero-Day-Initiative schätzen zudem eine weitere kritische Lücke im HTTP-Protokoll-Stack, durch die Angreifer ohne vorherige Anmeldung aus dem Netz mit dem Senden speziell präparierter Pakete Schadcode einschleusen könnten, der mit Systemrechten ausgeführt wird, als "wormable" ein. Schadcode könnte sich so automatisch auf verwundbaren Windows-11- und Server 2022-Systemen ausbreiten (CVE-2023-23392, CVSS 9.8, kritisch). Dieselbe Gefahr sehen sie bei einer kritischen Lücke im Internet Control Message Protocol (ICMP), wobei Anwendungen dafür nur verwundbar sind, wenn sie Raw-Sockets nutzen (CVE-2023-23415, CVSS 9.8, kritisch).

Laut Microsofts Release-Notes zum März-Patchday schließen die bereitgestellten Updates Sicherheitslücken in den Produkten, Komponenten und Funktionen Azure, Client Server Run-time Subsystem (CSRSS), Internet Control Message Protocol (ICMP), Microsoft Bluetooth Driver, Microsoft Dynamics, Microsoft Edge (Chromium-based), Microsoft Graphics Component, Microsoft Office Excel, Microsoft Office Outlook, Microsoft Office SharePoint, Microsoft OneDrive, Microsoft PostScript Printer Driver, Microsoft Printer Drivers, Microsoft Windows Codecs Library, Office for Android, Remote Access Service Point-to-Point Tunneling Protocol, Role: DNS Server, Role: Windows Hyper-V, Service Fabric, Visual Studio und in allen unterstützten Windows-Versionen sowie diversen Windows-Komponenten.

Die kumulativen Aktualisierungen für die Windows-Betriebssysteme enthalten neben den Sicherheits-Fixes auch Korrekturen und Funktionserweiterungen aus der Update-Vorschau vom Februar. Da die mit den Patchday-Updates geschlossenen Schwachstellen teils bereits aktiv angegriffen werden, sollten IT-Verantwortliche nicht zögern und sie umgehend anwenden.

Bereits zum Februar-Patchday hatte Microsoft aktiv angegriffene Sicherheitslücken in Microsoft 365 Apps und Windows geschlossen.

(dmk)