Blog

ION-Hinweis: August 2024 Patch-Dienstag

Eine Person, von hinten gesehen, mit Kopfhörern, an einem Schreibtisch sitzend, vor mehreren Computerbildschirmen, auf denen Daten und Grafiken angezeigt werden, mit dem Text "ION Threat Advisory" (ION-Bedrohungswarnung) in weißer Schrift deutlich sichtbar.

Diese Microsoft August-Update besteht aus 92 Patches für Microsoft-Produkte, von denen 9 als kritisch eingestuft sind, 6 aktiv ausgenutzt werden und 3 als wichtig eingestuft sind und öffentlich bekannt gemacht wurden.

Kritische Schwachstellen

Die folgenden Schwachstellen wurden als kritisch eingestuft, haben aber noch nicht aktiv ausgenutzt oder öffentlich bekannt gemacht wurden.

CVE-2024-38140 - Windows Reliable Multicast Transport Driver (RMCAST) Sicherheitslücke bei der Remotecode-Ausführung
CVE-2024-38063 - Windows TCP/IP-Sicherheitslücke mit Remotecode-Ausführung
CVE-2024-38109 - Azure Health Bot Sicherheitslücke durch Erhöhung der Berechtigung
CVE-2024-38206 - Microsoft Copilot Studio Sicherheitslücke bei der Offenlegung von Informationen
CVE-2024-38166 - Microsoft Dynamics 365 Cross-Site-Scripting-Schwachstelle
CVE-2022-3775 - Redhat: CVE-2022-3775 grub2 - Heap-basierte out-of-bounds write beim Rendern bestimmter Unicode-Sequenzen
CVE-2023-40547 - Redhat: CVE-2023-40547 Shim - RCE in der HTTP-Boot-Unterstützung kann zur Umgehung des sicheren Bootens führen
CVE-2024-38159 & CVE-2024-38160 - Sicherheitslücke in der Windows-Netzwerkvirtualisierung bei der Remotecodeausführung

Erwähnenswert: Mit CVE-2024-38063 - Windows TCP/IP-Schwachstelle mit Remotecodeausführung: Ein nicht authentifizierter Angreifer kann wiederholt IPv6-Pakete, die speziell gestaltete Pakete enthalten, an einen Windows-Rechner senden, wodurch Remotecodeausführung möglich wird. Systeme sind nicht betroffen, wenn IPv6 auf dem Zielcomputer deaktiviert ist.

Zusätzlich, CVE-2024-38140 - Windows Reliable Multicast Transport Driver (RMCAST) Remote Code Execution Vulnerability, Ein nicht authentifizierter Angreifer kann die Sicherheitslücke ausnutzen, indem er speziell gestaltete Pakete an einen offenen Windows Pragmatic General Multicast (PGM) Socket auf dem Server sendet, ohne dass der Benutzer eingreifen muss. Diese Sicherheitsanfälligkeit kann jedoch nur ausgenutzt werden, wenn ein Programm an einem Pragmatic General Multicast (PGM)-Port lauscht. Wenn PGM installiert oder aktiviert ist, aber kein Programm aktiv als Empfänger lauscht, kann diese Sicherheitslücke nicht ausgenutzt werden.

Aktiv ausgenutzt, nicht öffentlich bekannt gemacht:

Mit Ausnahme von CVE-2024-38213 werden die folgenden Sicherheitslücken auf der Grundlage ihrer CVSS-Bewertung als ‘wichtig’ eingestuft.

CVE-2024-38189 - Microsoft Project Sicherheitslücke bei der Remotecodeausführung
- Für diesen Angriff müssen einige Sicherheitsfunktionen deaktiviert werden, damit ein Angreifer aus der Ferne Code auf dem Computer eines Opfers ausführen kann. Das Zielsystem muss in der Lage sein, aus dem Internet heruntergeladene Makros auszuführen. Außerdem muss die Richtlinie, die die Ausführung von Makros in Office-Dateien aus dem Internet blockiert, deaktiviert sein, und das Opfer muss dazu gebracht werden, eine bösartige Datei zu öffnen
CVE-2024-38178 - Sicherheitslücke in der Skripting-Engine, die den Speicher beschädigt
- Die Komplexität dieses Angriffs ist hoch, und das Opfer muss Microsoft Edge im Internet Explorer-Modus und überzeugen ein Opfer, auf einen bösartigen Link zu klicken.
CVE-2024-38193 - Windows-Zusatzfunktionstreiber für WinSock Sicherheitslücke durch Erhöhung der Berechtigung
- Dieser Angriff kann es einem Bedrohungsakteur ermöglichen, SYSTEM-Rechte zu erlangen.
CVE-2024-38106 - Windows-Kernel-Schwachstelle (Erhöhung der Berechtigung)
- Microsoft hat erklärt: “Um diese Schwachstelle erfolgreich ausnutzen zu können, muss ein Angreifer eine Race Condition ausnutzen”, hat aber noch keine weiteren Details genannt.
CVE-2024-38213 - Windows Mark of the Web Security Feature Bypass-Schwachstelle (CVSS: Moderat)
- Ermöglicht einem Angreifer, die SmartScreen-Sicherheitsfunktion zu umgehen. Es ist jedoch eine Benutzerinteraktion erforderlich, um eine bösartige Datei zu öffnen
CVE-2024-38107 - Windows Power Dependency Coordinator - Sicherheitslücke durch Erhöhung der Berechtigung (Elevation of Privilege)
- Ein Angreifer, der diese Sicherheitslücke erfolgreich ausnutzt, könnte SYSTEM-Rechte erlangen. Keine weiteren Details.

Öffentlich bekannt gegeben, nicht aktiv ausgenutzt:

Zum Zeitpunkt dieser Veröffentlichung wurden diese Schwachstellen noch nicht ausgenutzt. Da die Schwachstelle jedoch öffentlich zugänglich ist, wird sich dies wahrscheinlich schnell ändern, da Bedrohungsakteure jede Gelegenheit nutzen werden, um den bekannten Fehler auszunutzen.

CVE-2024-38202 - Sicherheitslücke im Windows Update Stack (Erhöhung der Berechtigung)
CVE-2024-21302 - Sicherheitslücke im Kernel-Modus von Windows, die zu einer Erhöhung der Privilegien führt
CVE-2024-38200 - Microsoft Office Spoofing-Schwachstelle
- Microsoft hat eine alternative Lösung für dieses Problem identifiziert, die am 30.07.2024 per Feature Flighting aktiviert wurde. Kunden sind bereits in allen unterstützten Versionen von Microsoft Office und Microsoft 365 geschützt. Kunden sollten dennoch auf die Updates vom 13. August 2024 aktualisieren, um die endgültige Version des Fixes zu erhalten.

Gegenmaßnahmen und Patches

Bringen Sie Patches so schnell wie möglich nach entsprechenden Tests an.

Referenzen

Sans Report: https://isc.sans.edu/diary/Microsoft%20August%202024%20Patch%20Tuesday/31164

Patch-A-Palooza: https://patchapalooza.com/patchtuesday

Artikel von

Team für fortgeschrittene Bedrohungsabwehr

Ontinue – ATO

Das Advanced Threat Operations (ATO)-Team von Ontinue nutzt proaktive Methoden zur Identifizierung, Analyse und Abwehr von Bedrohungen, um unseren Kunden die nötige Widerstandsfähigkeit zu verleihen, mit der sie der sich ständig weiterentwickelnden Bedrohungslandschaft begegnen können.