Patchday: Attacken auf Windows - Sicherheitsfunktion SmartScreen umgangen
Aufgrund von laufenden Attacken sollten Windows-Admins die aktuellen Sicherheitsupdates zĂĽgig installieren.
(Bild: heise online)
Derzeit schlĂĽpft ein Trojaner fĂĽr den Fernzugriff durch eine Schwachstelle in verschiedenen Windows- und Windows-Server-Versionen. Ferner hat sich Microsoft um "kritische" LĂĽcken in Office und Exchange gekĂĽmmert.
Vorsicht vor Attacken!
Von den beiden zurzeit von Angreifer ausgenutzten Schwachstellen (CVE-2024-21351 "hoch", CVE-2024-21412 "hoch") sind neben älteren auch die aktuelle Windows-Ausgabe 11 und Windows Server 2022 bedroht. In beiden Fällen umgehen Angreifer Sicherheitsfunktionen von Windows, um Schadcode abzuladen. Dabei umgehen sie die Schutzfunktion SmartScreen von Microsoft Defender.
Der Ansatz untersucht Dateien auf eine Mark-of-the-Web-Markierung (MotW). Diese zeigt an, ob eine heruntergeladene Datei aus einer vertrauenswĂĽrdigen Quelle stammt. Ist das nicht der Fall, wird die AusfĂĽhrung der Datei verhindert. Im aktuellen Fall umgehen etwa Angreifer der Hydra-Gruppe den Ansatz und infizieren Computer im Finanzmarkt-Sektor, wie Sicherheitsforscher von Trend Micro in einem Bericht ausfĂĽhren.
Weitere Gefahren
Als "kritisch" gelten eine Lücke (CVE-2024-21410) in Exchange Server und eine Schwachstelle (CVE-2024-21413) in Office. An der Exchange-Lücke sollen entfernte Angreifer ohne Authentifizierung ansetzen können. Klappt eine Attacke, können sie auf NTLM-Zugangsdaten zugreifen und sich so als anderer Nutzer ausgeben. Um solche Attacken vorzubeugen, müssen Admins das Exchange Server 2016 Cumulative Update 23, Exchange Server 2019 Cumulative Update 13 oder Exchange Server 2019 Cumulative Update 14 installieren. Weitere Informationen dazu führt Microsoft in einem Beitrag aus.
Durch die Office-Lücke können Angreifer den geschützten Modus beim Öffnen von Dateien aushebeln. Darüber kann dann sogar in der Vorschauansicht Schadcode auf Systeme gelangen.
Der Großteil der verbleibenden Schwachstellen ist mit dem Bedrohungsgrad "hoch" eingestuft. Davon sind unter anderem ActiveX, Dynamics 365 und Defender betroffen. In diesem Kontext sind Schadcode-Attacken vorstellbar, Angreifer können sich aber auch höhere Nutzerrechte aneignen.
Sicherheitsupdates fĂĽr die kritische Exchange-LĂĽcke korrigiert.
(des)
