Mit seinem März-Patch-Set hat Microsoft zwei als beispiellos beschriebene Schwachstellen geschlossen, von denen eine Windows-Systeme und eine Microsoft Outlook betrifft.
Insgesamt hat Microsoft 84 eindeutige CVEs repariert, obwohl vier neu veröffentlicht wurden. 9 Gewalttätiger Extremismus wurde als kritisch eingestuft. Die meisten Sicherheitsupdates betreffen das Windows-Betriebssystem; Durch die Anwendung des kumulativen Updates wird der Großteil der Schwachstellen für diesen Monat behoben.
Die erste Schwachstelle wurde bereits für böswillige Zwecke ausgenutzt
Die beispiellose Schwachstelle, bekannt als Null TageWindows ermöglicht die Umgehung der SmartScreen-Sicherheitsfunktion (CVE-2023-24880). Es wird für Windows-Workstation- und -Serversysteme als mittelschwer eingestuft. Microsoft sagte, dass dieser Fehler auch öffentlich bekannt gegeben wurde. Dieser Fehler hat eine CVSS-Bewertung von 5,4 und erfordert eine Benutzerinteraktion, um den Exploit auszulösen.
Das Web-Tag (MOTW) ist eine Windows-Sicherheitsfunktion, die Inhalte identifiziert, die aus einer nicht vertrauenswürdigen Quelle wie dem Internet kopiert wurden. In den CVE-Hinweisen von Microsoft heißt es, dass die SmartScreen-Funktion beim Versuch, eine Datei auszuführen, nach einer Regionskennung im alternativen Datenstrom der Datei sucht. Aus dem Internet heruntergeladene Dateien werden durch ZoneID = 3 identifiziert, was eine Reputationsprüfung in SmartScreen auslöst. Ein Angreifer kann eine bösartige Datei erstellen, um das MOTW-System und andere Arten von Schutz zu umgehen, wie z. B. die geschützte Ansicht in Microsoft Office.
Eine niedrige CVSS-Bewertung und ein niedriger Schweregrad weisen darauf hin, dass dieser Fehler an sich keine signifikante Bedrohung darstellt, aber möglicherweise das letzte Element ist, das ein Bedrohungsakteur benötigt, um eine Angriffskette aus mehreren Schwachstellen aufzubauen, um die Kontrolle über ein Zielsystem zu übernehmen.
Insbesondere hat Google gerade in einem Blog-Beitrag detailliert beschrieben, wie diese Schwachstelle CVE-2023-24880 bereits ausgenutzt wird, um Magniber-Ransomware zu verbreiten. Laut Google Teams wurden seit Januar mehr als 100.000 Downloads schädlicher Dateien aus dem Launcher beobachtet. Google hat Microsoft seine Ergebnisse am 15. Februar gemeldet. Doch von ihrem ersten Versuch, Microsofts Sicherheitsmechanismen zu umgehen, sind die Magniber-Distributoren weit entfernt.
Und eine zweite von mehr Undercover-Schauspielern
Die zweite beispiellose Schwachstelle, die diese Woche gepatcht wurde, betrifft Microsoft Outlook. CVE-2023-23397 wurde gekennzeichnet und mit einer CVSS-Bewertung von 9,8 als „Kritisch“ eingestuft. Es ermöglicht Rechteerweiterungen und betrifft mehrere Versionen von Outlook. Um sie auszunutzen, ist keine Aktivierung des Vorschaufensters erforderlich: „Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er eine speziell präparierte E-Mail sendet, die automatisch gestartet wird, wenn sie vom Mailserver abgerufen und verarbeitet wird“, sagte Microsoft.
Der Herausgeber empfiehlt, den ausgehenden TCP 445/SMB-Datenverkehr aus dem Unternehmensnetzwerk zu blockieren und Benutzer zu einer Active Directory-Sicherheitsgruppe namens Protected Users hinzuzufügen, um den Diebstahl von Anmeldeinformationen durch NTLM-Relay-Angriffe zu verhindern.
Die Schwachstelle CVE-2023-23397 wurde vom Nationalen CERT der Ukraine entdeckt, erklärt Microsoft. Laut unseren Kollegen aus Schlafender ComputerDiese Schwachstelle wird von den russischen Diensten der APT28-Gruppe (auch bekannt unter den Bezeichnungen Strontium, Sednit, Sofacy und Fancy Bear) seit fast einem Jahr aktiv ausgenutzt, insbesondere um europäische Organisationen anzugreifen – mindestens ein Dutzend.
Aber andere sollten schnell anfangen, es ihrerseits auszunutzen: Dominic Chill, von MDSec, stützte sich auf Informationen von Microsoft und Entdecken Wie einfach es ist, die Schwachstelle auszunutzen.
