Jetzt patchen: Kritischer Windows-Kerberos-Fehler umgeht Microsoft-Sicherheit

Microsoft hat den Sicherheitsteams von Unternehmen bis ins Jahr 2024 mit einem relativ leichten Sicherheitsupdate im Januar erleichtert, das aus Patches für 48 einzigartige CVEs besteht, von denen das Unternehmen nur zwei als kritisch eingestuft hat.

Den zweiten Monat in Folge enthielt der Patch-Dienstag von Microsoft keine Zero-Day-Bugs, was bedeutet, dass Administratoren sich nicht mit neuen Schwachstellen auseinandersetzen müssen, die Angreifer derzeit aktiv ausnutzen – was im Jahr 2023 häufig vorkam.

Nur zwei Fehler mit kritischem Schweregrad

Wie es normalerweise der Fall ist, ist dies bei den CVEs der Fall Microsoft gab dies am 9. Januar bekannt Betroffen waren zahlreiche seiner Produkte, darunter Sicherheitslücken bei der Privilegienerweiterung, Fehler bei der Remotecodeausführung, Sicherheitsumgehungsfehler und andere Schwachstellen. Das Unternehmen stufte 46 der Schwachstellen als schwerwiegend ein, darunter mehrere, bei denen die Wahrscheinlichkeit groß war, dass Angreifer sie ausnutzten.

Einer von zwei schwerwiegenden Fehlern im neuesten Update von Microsoft ist CVE-2024-20674, eine Schwachstelle zur Umgehung der Windows Kerberos-Sicherheitsfunktion, die es Angreifern ermöglicht, Authentifizierungsmechanismen zu umgehen und Identitätswechselangriffe zu starten. „Angreifer können diese Schwachstelle über einen Machine-in-the-Middle-Angriff (MitM) ausnutzen“, sagt Saeed Abbasi, Manager für Schwachstellenforschung bei Qualys, gegenüber Dark Reading. „Sie erreichen dies, indem sie ein lokales Netzwerk-Spoofing-Szenario einrichten und dann bösartige Kerberos-Nachrichten senden, um einen Client-Computer zu täuschen und ihn glauben zu lassen, dass er mit einem legitimen Kerberos-Authentifizierungsserver kommuniziert.“

Die Sicherheitslücke erfordert, dass der Angreifer Zugriff auf dasselbe lokale Netzwerk wie das Ziel hat. Es ist nicht aus der Ferne über das Internet ausnutzbar und erfordert die Nähe zum internen Netzwerk. Dennoch bestehe eine hohe Wahrscheinlichkeit aktiver Ausbeutungsversuche in naher Zukunft, sagt Abbasi.

Ken Breen, leitender Direktor für Bedrohungsforschung bei Immersive Labs, identifizierte CVE-2024-20674 als einen Fehler, den Organisationen schnell beheben sollten. „Diese Art von Angriffsvektoren sind für Bedrohungsakteure wie Ransomware-Betreiber und Zugangsvermittler immer wertvoll“, da sie laut einer Erklärung von Breen einen erheblichen Zugriff auf Unternehmensnetzwerke ermöglichen.

Die andere kritische Sicherheitslücke in den neuesten Sicherheitsupdates von Microsoft ist CVE-2024-20700, eine Sicherheitslücke zur Remotecodeausführung in der Windows-Hypervirtualisierungstechnologie. Laut einer Aussage von Ben McCarthy, leitender Cybersicherheitsingenieur bei Immersive Labs, ist die Schwachstelle nicht besonders einfach auszunutzen, da sich ein Angreifer dazu bereits im Netzwerk und in der Nähe eines anfälligen Computers befinden müsste.

Die Schwachstelle beinhaltet auch eine Race Condition – ein Problem, das für einen Angreifer schwerer auszunutzen ist als viele andere Arten von Schwachstellen. „Diese Schwachstelle wurde als Ausnutzung mit geringerer Wahrscheinlichkeit veröffentlicht, aber da Hyper-V mit den höchsten Berechtigungen auf einem Computer ausgeführt wird, lohnt es sich, über Patches nachzudenken“, sagte McCarthy.

Fehler bei der Remotecodeausführung mit hoher Priorität

Sicherheitsforscher wiesen im Januar-Update auf zwei weitere RCE-Fehler hin, die vorrangige Aufmerksamkeit verdienen: CVE-2024-21307 im Windows Remote Desktop Client und CVE-2024-21318 im SharePoint Server.

Laut Breen hat Microsoft CVE-2024-21307 als eine Schwachstelle identifiziert, die von Angreifern mit größerer Wahrscheinlichkeit ausgenutzt wird, hat jedoch nur wenige Informationen zu den Gründen geliefert. Das Unternehmen hat festgestellt, dass nicht autorisierte Angreifer warten müssen, bis ein Benutzer eine Verbindung herstellt, um die Sicherheitslücke ausnutzen zu können.  

„Das bedeutet, dass die Angreifer einen bösartigen RDP-Server erstellen und Social-Engineering-Techniken einsetzen müssen, um einen Benutzer zum Herstellen einer Verbindung zu verleiten“, sagte Breen. „Das ist nicht so schwierig, wie es klingt, da bösartige RDP-Server für Angreifer relativ einfach einzurichten sind und das Senden von RDP-Anhängen in E-Mails bedeutet, dass ein Benutzer nur den Anhang öffnen muss, um den Exploit auszulösen.“

Ein paar weitere ausnutzbare Fehler bei der Eskalation von Berechtigungen

Das Januar-Update von Microsoft enthielt Patches für mehrere Sicherheitslücken bei der Rechteausweitung. Zu den schwersten davon gehört z CVE-2023-21310, ein Fehler bei der Rechteausweitung im Windows Cloud Files Mini Filter Driver. Der Fehler ist sehr ähnlich CVE-2023-36036, eine Zero-Day-Privilege-Eskalations-Schwachstelle in derselben Technologie, die Microsoft in seinem veröffentlicht hat November 2023 Sicherheitsupdate.

Angreifer nutzten diesen Fehler aktiv aus, um auf lokalen Rechnern Privilegien auf Systemebene zu erlangen – was sie auch mit der neu aufgedeckten Schwachstelle tun können. „Diese Art von Privilegieneskalationsschritt wird von Bedrohungsakteuren häufig bei Netzwerkkompromittierungen beobachtet“, sagte Breen. „Es kann dem Angreifer ermöglichen, Sicherheitstools zu deaktivieren oder Tools zum Dumping von Anmeldeinformationen wie Mimikatz auszuführen, die dann laterale Bewegungen oder die Kompromittierung von Domänenkonten ermöglichen können.“

Einige der anderen wichtigen Fehler bei der Rechteausweitung sind enthalten CVE-2024-20653 im Windows Common Log File System, CVE-2024-20698 im Windows-Kernel, CVE-2024-20683 unter Win32k, und CVE-2024-20686 unter Win32k. Laut einer Aussage von Satnam Narang, leitender Forschungsingenieur bei Tenable, hat Microsoft alle diese Mängel als Probleme eingestuft, die Angreifer mit größerer Wahrscheinlichkeit ausnutzen. „Diese Bugs werden häufig im Rahmen von Post-Compromise-Aktivitäten genutzt“, sagte er. „Das heißt, wenn Angreifer erst einmal auf Systemen Fuß gefasst haben.“

Zu den Mängeln, die Microsoft als wichtig einstufte, die aber schnell behoben werden müssen, gehört CVE-2024-0056, eine Sicherheitsumgehungsfunktion in SQL, sagt Abbasi. Die Schwachstelle ermöglicht es einem Angreifer, einen Machine-in-the-Middle-Angriff durchzuführen und dabei den TLS-Verkehr zwischen einem Client und einem Server abzufangen und möglicherweise zu verändern, stellt er fest. „Bei Ausnutzung könnte ein Angreifer den sicheren TLS-Verkehr entschlüsseln, lesen oder modifizieren und so die Vertraulichkeit und Integrität der Daten verletzen.“ Abbasi sagt, dass ein Angreifer die Lücke auch ausnutzen könnte, um SQL Server über den SQL Data Provider auszunutzen.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/ics-ot-security/critical-windows-kerberos-bug-microsoft-security-bypass