Jetzt Windows aktualisieren
Diese Woche hat Microsoft eine weitere wichtige Entdeckung von Sicherheitslücken bestätigt, die sich auf Benutzer seiner Produkte auswirken. Inmitten der Unklarheit, die einen Bericht über insgesamt mehr als 90 Sicherheitsprobleme darstellt, gibt es vier Zero-Day-Schwachstellen und zwei davon, bestätigte Microsoft, werden von Bedrohungsakteuren aktiv ausgenutzt. Hier erfahren Sie, was Sie wissen und tun müssen.
Microsoft bestätigt, dass der uneinheitliche Dienstag im November 2024 mit vier Zero-Day-Schwachstellen abgeschlossen ist
Microsoft verfügt über eine sehr Microsoft-zentrierte Methode zur Bewertung einer Zero-Day-Bedrohung. Während sich die meisten Sicherheitsexperten darin einig sind, dass sich der Begriff auf eine Sicherheitslücke bezieht, die bereits ausgenutzt wurde, wenn der Anbieter oder ein anderer Sicherheitsexperte sie entdeckt, verwendet Microsoft stattdessen eine Definition einer Sicherheitslücke, die öffentlich bekannt gegeben wurde, sowie derjenigen, die aktiv angegriffen werden. Es kommt also vor, dass Microsoft vier Zero-Days in die Liste einbezieht Veröffentlichung der Sicherheitsupdates für den Patch-Dienstag im November 2024. Von diesen beiden ist jedoch bekannt, dass sie zum Zeitpunkt der Patch-Tuesday-Enthüllung am 12. November aktiv ausgenutzt wurden. Von diesen beiden erfüllt einer die beiden Merkmale einer öffentlichen Offenlegung und eines aktiven Angriffs.
CVE 2024-43451 ist eine Schwachstelle im NT LAN Manager, die die Hash-Offenlegung durch Spoofing ermöglicht und einem Angreifer einen wichtigen Teil des NTLM-Authentifizierungsprotokolls offenlegen kann. „NTLM-Hashing ist eine Methode zum Schutz von Passwörtern, indem sie in eine Zeichenfolge fester Länge umgewandelt wird, die dann zu Authentifizierungszwecken übertragen wird“, sagte Ryan Braunstein, Teamleiter für Sicherheitsoperationen bei Automox. Mit anderen Worten: Wenn der Hash offengelegt wird, kann sich der Angreifer möglicherweise als Benutzer authentifizieren. Obwohl bestätigt und aktiv ausgenutzt, sagte Braunstein, dass die Zero-Day-Sicherheitslücke eine Benutzerinteraktion erfordert. „Konkret muss ein Benutzer eine manipulierte Datei öffnen, die ein Angreifer durch Phishing-Versuche versenden könnte“, sagte Braunstein.
Unterdessen handelt es sich bei CVE 2024-49039 um eine Schwachstelle im Windows-Taskplaner zur Erhöhung von Berechtigungen, die es einem Angreifer – wenig überraschend – ermöglichen könnte, seine Berechtigungen auf dem Ziel-Windows-System zu erhöhen. „Diese Sicherheitslücke bezüglich der Erhöhung von Berechtigungen nutzt Remote Procedure Call-Funktionen aus“, sagte Henry Smith, ein leitender Sicherheitsingenieur bei Automox, „die für die Ausführung von Befehlen und die Datenübertragung zwischen einem Client und einem Server unerlässlich sind.“ Dieser Angreifer müsste sich zunächst Zugriff auf das Zielsystem verschaffen, erklärte Smith, und dann eine bösartige Anwendung ausführen, um die Schwachstelle auszunutzen. „Um diese Schwachstelle zu entschärfen“, die bereits über funktionsfähigen Exploit-Code verfügt, ist „Patching Ihre effektivste Strategie“, sagte Smith.
Zwei Microsoft-Sicherheitslücken werden auf der Schweregradskala mit 9,8 bewertet
Laut Tyler Reguly, stellvertretender Direktor für Sicherheitsforschung und -entwicklung bei Fortra, sollte die große Neuigkeit jedoch nicht auf eine, sondern auf zwei Sicherheitslücken abzielen, die auf der Schweregradskala der Auswirkung einen massiven Wert von 9,8 erreichen. „Während das Common Vulnerability Scoring System kein Risikoindikator ist“, sagte Reguly, „sind Bewertungen von 9,8 oft ziemlich aussagekräftig dafür, wo das Problem liegt.“ Im Fall von CVE-2024-43498 handelt es sich um eine Schwachstelle in .NET, die es einem nicht authentifizierten Remote-Angreifer ermöglicht, .NET-Webanwendungen mit böswilligen Anfragen auszunutzen. „In ähnlicher Weise ermöglicht CVE-2024-43639 einem nicht authentifizierten Angreifer, Windows Kerberos anzugreifen, um Code auszuführen“, warnte Reguly.
Microsoft Windows-Benutzer sollten jetzt aktualisieren
Mit den im Mix enthaltenen Zero-Day-Schwachstellen und vier als kritisch eingestuften Schwachstellen wirken sich die Patch Tuesday-Sicherheitsupdates auf Microsoft-Benutzer des Windows-Betriebssystems, Office, SQL Server, Exchange Server, .Net und Visual Studio aus. „Die Aktualisierungen des Microsoft Windows-Betriebssystems sollten diesen Monat oberste Priorität haben, da sie sowohl bekannte als auch ausgenutzte Schwachstellen beheben“, sagte Chris Goettl, Vizepräsident für Sicherheitsproduktmanagement bei Ivanti. Goetti kam zu dem Schluss, dass Microsoft Exchange Server für Unternehmen, die Exchange Server einsetzen, Priorität haben sollte.
