< Zurück
Blog

ION-Hinweis: Microsoft Dezember 2024 Patch Tuesday

Microsofts Patch Tuesday-Update für Dezember besteht aus 71 Sicherheitslücken, von denen 16 als kritisch eingestuft werden. Seit dem 10. Dezember wurde eine Schwachstelle gemeldet, die in freier Wildbahn ausgenutzt wird. 9 davon sind Schwachstellen für Remote Code Execution (RCE), die Remote Desktop Services betreffen.

Kritische Schwachstellen

Keine der folgenden kritischen Schwachstellen wurde als aktiv ausgenutzt oder öffentlich bekannt gegeben.

  • Sicherheitslücken bei der Remotecodeausführung von Windows-Remotedesktopdiensten (9 Schwachstellen, Speicherung sensibler Daten in nicht ordnungsgemäß gesperrtem Speicher, Typverwechslung, unsichere Variableninitialisierung)
  • CVE-2024-49126 - Windows Local Security Authority Subsystem Service (LSASS) Sicherheitslücke bei der Remotecodeausführung
    • Der Angreifer könnte bei dieser Sicherheitsanfälligkeit die Serverkonten für eine beliebige oder entfernte Codeausführung anvisieren und versuchen, über einen Netzwerkaufruf bösartigen Code im Kontext des Serverkontos auszulösen. Der Angreifer benötigt keine Privilegien und der Benutzer muss keine Aktion durchführen.
  • CVE-2024-49112 - Windows Lightweight Directory Access Protocol (LDAP) Sicherheitslücke bei der Remotecodeausführung
    • Ein Angriff auf einen Domänencontroller eines LDAP-Servers könnte gelingen, wenn ein entfernter, nicht authentifizierter Angreifer speziell gestaltete RPC-Aufrufe an das Ziel sendet, die eine Abfrage der Domäne des Angreifers auslösen. Die Ausnutzung in einer Client-Anwendung erfordert, dass ein Angreifer das Opfer überzeugt oder austrickst, eine Verbindung zu einem bösartigen LDAP-Server herzustellen oder eine Abfrage des Domänencontrollers für die Domäne des Angreifers durchzuführen. Unauthentifizierte RPC-Aufrufe wären jedoch nicht erfolgreich.
    • Wenn Sie sicherstellen, dass Domänencontroller so konfiguriert sind, dass sie entweder nicht auf das Internet zugreifen oder keine eingehenden RPCs aus nicht vertrauenswürdigen Netzwerken zulassen, schützen Sie sich vor dieser Sicherheitsanfälligkeit; die Anwendung beider Konfigurationen bietet eine wirksame Tiefenverteidigung gegen diese Sicherheitsanfälligkeit.
  • CVE-2024-49124 & CVE-2024-49127 - Windows Lightweight Directory Access Protocol (LDAP) Sicherheitslücke bei der Remotecodeausführung
    • Ein nicht authentifizierter Angreifer könnte eine speziell gestaltete Anfrage an einen verwundbaren Server senden, was dazu führt, dass er eine Race Condition gewinnt. Eine erfolgreiche Ausnutzung könnte dazu führen, dass der Code des Angreifers im Kontext des SYSTEM-Kontos ausgeführt wird.
  • CVE-2024-49118 & CVE-2024-49122 - Microsoft Message Queuing (MSMQ) Sicherheitslücken bei der Remotecodeausführung
    • Um diese Schwachstellen auszunutzen, müsste ein Angreifer ein speziell gestaltetes bösartiges MSMQ-Paket an einen MSMQ-Server senden. Dies könnte zu Remotecodeausführung auf der Serverseite führen, da Speicher referenziert wird, nachdem er durch eine Funktionszuweisung freigegeben wurde.
  • CVE-2024-49117 - Windows Hyper-V Sicherheitslücke bei der Remotecodeausführung
    • Diese Sicherheitsanfälligkeit würde es einem authentifizierten Angreifer auf einer Gast-VM ermöglichen, speziell gestaltete Anforderungen für Datei-Operationen auf der VM an Hardware-Ressourcen auf der VM zu senden, was zu Remotecodeausführung auf dem Hostserver führen könnte.

Aktive Ausbeutung

Die folgende Sicherheitslücke wurde gemeldet aktiv ausgebeutet

  • CVE-2024-49138 - Windows Common Log File System-Treiber Sicherheitsanfälligkeit durch Erhöhung der Berechtigung
    • Ein Angreifer, der diese Heap-basierte Pufferüberlaufschwachstelle erfolgreich ausnutzt, könnte SYSTEM-Rechte erlangen.

Gegenmaßnahmen und Patches

  • Bringen Sie Patches so schnell wie möglich nach entsprechenden Tests an.

Referenzen

Sans Report: Microsoft Patch Tuesday: Dezember 2024 - SANS Internet Storm Center

Patch-A-Palooza: PatchaPalooza

Teilen

Artikel von

Team für fortgeschrittene Bedrohungsabwehr

Ontinue – ATO

Das Advanced Threat Operations (ATO)-Team von Ontinue nutzt proaktive Methoden zur Identifizierung, Analyse und Abwehr von Bedrohungen, um unseren Kunden die nötige Widerstandsfähigkeit zu verleihen, mit der sie der sich ständig weiterentwickelnden Bedrohungslandschaft begegnen können.

Teammitglied Balazs Greksza Bild

Balazs Greksza
Teammitglied Domenico de Vitto Bild

Domenico de Vitto
Teammitglied Rhys Downing Bild

Rhys Downing
Team-Mitglied Manupriya Sharma Bild

Manupriya Sharma
Schlüsselwörter

Verwandte Artikel

Podcast-Cover mit einem Mikrofon-Symbol auf einem violetten Hintergrund mit Farbverlauf. Der Text lautet 'Microsoft Security Tips' und 'Defend Your Time Podcast'.
Blog
CISO-Erkenntnisse aus dem ATO-Bedrohungsbericht für das erste Halbjahr 2024

Jetzt anhören >
Ein Cover-Design für den "1H 2024 Threat Intelligence Report" von Ontinue mit einem dunklen abstrakten Hintergrund und farbenfrohen digitalen Mustern.
E-Book
Bericht zur Bedrohungslage im ersten Halbjahr 2024

Weiterlesen >
Ein Geschäftsmann, der durch ein Teleskop schaut, mit einem Doppelbelichtungseffekt, der eine Stadtsilhouette und digitale Elemente zeigt. Dieses Bild bezieht sich auf das Thema "Reflection on 2024 Cybersecurity Predictions".
Blog
Eine Reflexion über unsere Prognosen für 2024

Weiterlesen >
Eine Person, von hinten gesehen, mit Kopfhörern, an einem Schreibtisch sitzend, vor mehreren Computerbildschirmen, auf denen Daten und Grafiken angezeigt werden, mit dem Text "ION Threat Advisory" (ION-Bedrohungswarnung) in weißer Schrift deutlich sichtbar.
Blog
Kundenhinweis: Neue Sicherheitslücke zur Remote-Codeausführung in der Druckfunktion (‘CUPS’), die häufig auf Linux- und ähnlichen Systemen zu finden ist 

Weiterlesen >