Patchday: Angreifer infizieren Windows mit Nokoyawa-Ransomware
Microsoft hat wichtige Sicherheitsupdates für etwa Azure, Dynamics 365 und Windows veröffentlicht.
(Bild: heise online)
Am Patchday im April schließt Microsoft in Windows eine Sicherheitslücke, die Angreifer derzeit bereits ausnutzen. Außerdem haben die Entwickler einen zehn Jahre alten Sicherheitspatch wiederveröffentlicht.
Die zurzeit ausgenutzte Windows-Lücke (CVE-2023-28252) ist mit dem Bedrohungsgrad „hoch“ eingestuft und wurde einem Beitrag zufolge von Kaspersky entdeckt. Die Schwachstelle betrifft das Common Log File System (CLFS) des Betriebssystems und betrifft neben Windows 10 und 11 auch mehrere Server-Versionen.
Angreifer könnten mit einer präparierte CLFS-Logdatei im .blf-Dateiformat an der Lücke ansetzen. Dafür benötigen sie den Sicherheitsforschern nach aber bereits Zugriff mit Nutzerrechten auf einen verwundbaren PC. Wie eine Attacke im Detail abläuft und in welchem Umfang die Angriffe stattfinden, ist derzeit nicht bekannt. Über die aktuellen Angriffe soll die Ransomware Nokoyawa Windows infizieren.
Schadcode-LĂĽcken
Sieben Schwachstellen, über die Angreifer eigenen Code auf Systemen ausführen können, stuft Microsoft als "kritisch" ein. Davon ist beispielsweise Microsoft Message betroffen (CVE-2023-21554). Computer sind aber nur angreifbar, wenn der Message-Queuing-Service aktiv ist, was standardmäßig nicht der Fall sein soll. Läuft der Service, könnten Angreifer ohne Authentifizierung an der Lücke ansetzen und Schadcode mit erhöhten Rechten ausführen.
Videos by heise
Der Großteil der verbleibenden Schwachstellen ist mit dem Bedrohungsgrad "hoch" eingestuft. Davon sind unter anderem Azure, PostScript und SharePoint Server betroffen. Auch hier könnten entfernte Angreifer in vielen Fällen eigenen Code auf PCs schieben und ausführen. So etwas führt in der Regel zu vollständig kompromittierten Systemen.
Zehn Jahre alte LĂĽcke wieder aktuell
AuĂźerdem hat Microsoft die Dokumentation und Empfehlungen fĂĽr Firmen zu einer zehn Jahre alten LĂĽcke (CVE-2013-3900 "hoch") ĂĽberarbeitet. Der Grund sind Attacken in der jĂĽngsten Vergangenheit. Im Kontext von WinVerifyTrust kann es zu Sicherheitsproblemen bei SignaturprĂĽfungen kommen und es kann Schadcode auf Systeme gelangen. Das Update ist aber optional. Microsoft empfiehlt allen Autoren von ausfĂĽhrbaren Dateien die Installation.
Weitere Informationen zu den Schwachstellen und Sicherheitspatches listet Microsoft im Leitfaden fĂĽr Sicherheitsupdates auf.
(des)
