Patchday: Angreifer umgehen Schutzmechanismus von Windows
Microsoft schließt unter anderem in Message Queuing, Outlook und Teams gefährliche Schadcodelücken.
Derzeit attackieren Angreifer Windows und kompromittieren Systeme mit Schadcode. Die Lücke ist seit vergangenem Monat bekannt – ein Sicherheitsupdate gibt es aber erst jetzt. Außerdem hat Microsoft noch wichtige Patches veröffentlicht, unter anderem für Azure, Edge und SharePoint Server.
Immer mehr Nutzer berichten von Problemen mit den aktuellen Exchange-Updates. Das Problem soll primär bei deutschen Versionen auftauchen. Mittlerweile empfiehlt Microsoft Nutzern mit diesen Versionen das Update vorerst nicht zu installieren.
Sicherheitsschranke eingerissen
Die ausgenutzte Lücke (CVE-2023-36884 "hoch") betrifft Windows Search. In welchem Umfang die Attacken ablaufen, ist zurzeit nicht bekannt. Am Patchday im Juli tauchte sie im Kontext von Office auf. Damit eine Attacke erfolgreich ist, müssen Opfer aber mitspielen und etwa auf einen von Angreifern präparierten Link in einem Chat oder einer E-Mail klicken.
Geschieht das, wird der Schutzmechanismus Mark of the Web (MOTW) deaktiviert. Der sorgt dafür, dass aus dem Internet heruntergeladene Dateien als solche markiert werden und etwa in Office im geschützten Modus geöffnet werden. Diese Vorgehensweise blockiert etwa die Ausführung von Makros. Ohne MOTW kann nach dem Öffnen eines manipulierten Dokuments Schadcode auf Systeme gelangen. Der Makro-Weg ist für die Verbreitung von Erpressungstrojanern sehr beliebt.
Kritische Schadcodelücken
Als "kritisch" gelten drei Lücken (CVE-2023-35385, CVE-2023-36910, CVE-2023-3691) in Microsofts Netzwerkprotokoll Message Queuing. An der Schwachstelle sollen Angreifer ohne Authentifizierung aus der Ferne ansetzen können, um Schadcode im Kontext des Protokolls auf einem Server auszuführen. Wie eine Attacken ablaufen könnte, ist bislang nicht bekannt.
Weitere Schadcode-Lücken betreffen Teams (CVE-2023-29328 "hoch", CVE-2023-29330 "hoch"). Für so eine Attacke müssen Angreifer Opfer aber dazu bringen, in eine von ihnen erstellte Teams-Gruppe beizutreten.
Noch mehr Schwachstellen
Außerdem können Angreifer noch Exchange Server ins Visier nehmen und sich höhere Nutzerrechte aneignen oder sogar Schadcode ausführen. Office Visio ist ebenfalls für Schadcode-Attacken anfällig. Auf SharePoint Servern ist das Leaken von Informationen möglich.
Weiterführende Informationen zu an diesem Patchday geschlossenen Sicherheitslücken listet Microsoft in seinem Security Update Guide auf.
(des)
