Juni-Patchday bei Microsoft

Auch wenn Microsoft in seinem jüngsten Bericht nichts als aktiv ausgenutzt bezeichnet, gibt es dennoch eine Reihe von CVEs mit hoher Priorität, die eher früher als später angewendet werden sollten. Diese Tatsache wird durch die jüngste MOVEit-Schwachstelle bestätigt, bei der trotz der Veröffentlichung weniger technischer Details der Schwachstelle nur wenige Tage vergingen, bevor die vollständige Exploit-Kette aus den Patch-Hinweisen und dem Proof-of-Concept-Code nachgebaut wurde.

Microsoft selbst hat 8 Schwachstellen als „eher ausnutzbar“ eingestuft. Ein Trio von Schwachstellen betrifft eher Windows GDI, eine Komponente von Windows, die von Anwendungen zur Anzeige von Grafiken und Text verwendet wird. Das bedeutet, dass alle GUI-basierten Microsoft-Geräte betroffen sind, einschließlich Server- und Desktop-Betriebssysteme.

Eine Einschätzung der Schwachstellen von Kev Breen, Leiter Cyber Threat Research bei Immersive Labs.

CVE-2023-29357 – 9.8 – Microsoft SharePoint Server Sicherheitsanfälligkeit durch Erhöhung der Berechtigungen

Diese Sicherheitslücke erreicht mit 9.8 CRITICAL fast den höchsten CVSS-Score. Wie bei den meisten Patch-Hinweisen gibt es nur sehr wenige Details, die von Microsoft zur Verfügung gestellt werden. Allerdings wird die Schwachstelle als „unauthentifizierter Netzwerkzugriff“ aufgeführt, was bedeutet, dass jeder Angreifer, der eine Verbindung zu Sharepoint herstellen kann, in der Lage wäre, diese Schwachstelle auszunutzen.

In den Hinweisen heißt es, dass ein Angreifer, der Zugang zu einem gefälschten JWT erhält, sich als Administrator authentifizieren und so die Authentifizierung umgehen kann. JWT oder JSON Web Tokens sind eine häufig verwendete Authentifizierungsmethode in Webanwendungen, um die Identität einer Person zu überprüfen. Während JWY selbst sicher ist, ist es typischerweise die Implementierung oder die verwendete Bibliothek, die eine Sicherheitslücke aufweist.

Ein Angreifer, der in der Lage ist, sich Administrator-Zugriff auf einen internen Sharepoint-Server zu verschaffen, könnte einer Organisation großen Schaden zufügen. Er könnte sich Zugang zu sensiblen und privilegierten Dokumenten verschaffen, Dokumente als Teil eines Ransomware-Angriffs stehlen und löschen oder echte Dokumente durch bösartige Kopien ersetzen, um weitere Benutzer in der Organisation zu infizieren.

CVE-2023-32031 – 8.8 – und CVE-2023-28310 – 8.0 – Microsoft Exchange Server Sicherheitsanfälligkeit durch Remotecodeausführung

Diese beiden Sicherheitsanfälligkeiten betreffen den MS Exchange-Server, die als Teil der ProxyNotShell-Exploits identifiziert wurden, bei denen ein authentifizierter Benutzer im Netzwerk eine Sicherheitsanfälligkeit im Exchange PowerShell Remoting Protocol PSRP ausnutzen kann, um Codeausführung auf dem Server zu erreichen.

In den Patch-Notizen wird darauf hingewiesen, dass ein Angreifer authentifiziert und lokal im Netzwerk sein muss; das bedeutet, dass ein Angreifer bereits Zugriff auf einen Host im Netzwerk erhalten haben muss. Dies wird in der Regel durch Social-Engineering-Angriffe mit Spear-Phishing erreicht, um sich zunächst Zugang zu einem Host zu verschaffen, bevor er nach anderen internen verwundbaren Zielen sucht. Nur weil Ihr Exchange-Server nicht über eine Internet-Authentifizierung verfügt, bedeutet dies nicht, dass er geschützt ist.

Wenn ein Angreifer in der Lage wäre, sich auf diese Weise Zugang zu einem Exchange-Server zu verschaffen, könnte er in einem Unternehmen großen Schaden anrichten. Mit der Möglichkeit, sich Zugang zu verschaffen, um alle gesendeten und empfangenen E-Mails zu lesen oder sich sogar als ein beliebiger Benutzer auszugeben, könnte dies für finanziell motivierte Kriminelle von Vorteil sein, wenn die Angriffe auf Business Email Compromise nicht mehr von gefälschten Konten, sondern vom rechtmäßigen E-Mail-Inhaber ausgehen.

CVE-2023-29358 – CVE-2023-29359 – CVE-2023-29371 – Sicherheitslücke bei Windows GDI

Trotz ihrer Beliebtheit bei Angreifern werden Schwachstellen, die zu einer Erhöhung der Berechtigungen führen, im CVSS-Score immer noch schlechter bewertet als Schwachstellen, die Remotecode ausführen. Die niedrige Punktzahl sollte jedoch nicht darüber hinwegtäuschen, dass sie weniger wichtig sind. Sobald sich ein Angreifer als einfacher Benutzer Zugang verschafft hat, besteht seine nächste Aufgabe darin, sich durch eine Fehlkonfiguration oder die Ausnutzung einer privilegierten Sicherheitslücke Zugang zur SYSTEM- oder Domänenebene zu verschaffen.

Mit dem Zugriff auf SYSTEM-Ebene können Angreifer Sicherheitstools und AV/EDR deaktivieren und dann zusätzliche Malware wie Mimikatz einsetzen, die weiteren Zugriff und laterale Bewegungen innerhalb des Unternehmens ermöglicht.