Quelle: microsoft.com
Microsoft Schwachstellen
Heute ist Microsofts Patch Tuesday für Dezember 2023, der Sicherheitsupdates für insgesamt 34 Schwachstellen und eine zuvor bekannt gewordene, ungepatchte Schwachstelle in AMD-CPUs enthält.
Während acht RCE-Schwachstellen (Remote Code Execution) behoben wurden, stufte Microsoft nur drei als kritisch ein. Insgesamt gab es vier kritische Sicherheitslücken, davon eine in der Power Platform (Spoofing), zwei in der Internetverbindungsfreigabe (RCE) und eine in der Windows MSHTML Platform (RCE).
Die Anzahl der Fehler in jeder Schwachstellenkategorie ist im Folgenden aufgeführt:
- 10 Sicherheitslücken im Zusammenhang mit der Erhöhung von Privilegien
- 8 Sicherheitslücken bei der Remote-Code-Ausführung
- 6 Sicherheitslücken bei der Offenlegung von Informationen
- 5 Denial-of-Service-Schwachstellen
- 5 Spoofing-Schwachstellen
In der Gesamtzahl von 34 Schwachstellen sind 8 Microsoft Edge-Schwachstellen, die am 7. Dezember behoben wurden, nicht enthalten.
Ein öffentlich bekannt gegebener Zero-Day behoben
Der diesmonatige Patch Tuesday behebt eine AMD Zero-Day-Schwachstelle, die im August veröffentlicht wurde und bisher ungepatcht blieb.
Bei der Schwachstelle "CVE-2023-20588 - AMD: CVE-2023-20588 AMD Speculative Leaks" handelt es sich um einen Division-durch-Null-Fehler in bestimmten AMD-Prozessoren, der potenziell sensible Daten liefern könnte.
Die Schwachstelle wurde im August 2023 bekannt gegeben, wobei AMD außer der Empfehlung der folgenden Abhilfemaßnahmen keine weiteren Korrekturen bereitstellte.
"Für betroffene Produkte empfiehlt AMD, die besten Praktiken bei der Softwareentwicklung zu befolgen", heißt es in einem AMD Bulletin zu CVE-2023-20588.
"Entwickler können dieses Problem entschärfen, indem sie sicherstellen, dass keine privilegierten Daten in Teilungsoperationen verwendet werden, bevor sie die Berechtigungsgrenzen ändern. AMD glaubt, dass die potenziellen Auswirkungen dieser Schwachstelle gering sind, da sie lokalen Zugriff erfordert. "
Als Teil der heutigen Dezember-Patch Tuesday-Updates hat Microsoft ein Sicherheitsupdate veröffentlicht, das diesen Fehler in den betroffenen AMD-Prozessoren behebt.
Sicherheitsanfälligkeit der Windows MSHTML-Plattform bei der Remotecodeausführung (CVE-2023-35628)
CVE-2023-35628 ist eine kritische Sicherheitsanfälligkeit, die in Microsoft Windows 10 und späteren Versionen sowie in Microsoft Windows Server 2008 und späteren Versionen festgestellt wurde. Diese Sicherheitsanfälligkeit, die in erster Linie die Remotecodeausführung (RCE) betrifft, wurde von CVSS mit 8.1 eingestuft. Die Einstufung als kritisch ergibt sich aus der Fähigkeit, RCE nach den Kriterien von Microsoft zu ermöglichen. Der mit dieser Sicherheitsanfälligkeit verbundene Angriffsvektor ist netzwerkbasiert und zeichnet sich durch hohe Komplexität und geringe Anforderungen an die Berechtigungen aus, ohne dass eine Benutzerinteraktion erforderlich ist.
Um diese Schwachstelle auszunutzen, muss ein Angreifer einen bösartigen Link an das Opfer senden, möglicherweise per E-Mail, oder den Benutzer durch Täuschungsmanöver, z. B. durch einen Köder in einer E-Mail oder einer Instant-Messenger-Nachricht, zum Anklicken des Links verleiten. In einem besonders schweren E-Mail-Angriffsszenario könnte ein Angreifer eine E-Mail mit einem speziell gestalteten Link versenden, der die Remotecodeausführung auf dem Computer des Opfers ermöglicht, noch bevor die E-Mail geöffnet oder der Link angeklickt wird, auch wenn die E-Mail im Vorschaufenster angezeigt wird. Die Komplexität dieses Angriffs, der ausgeklügelte Techniken zur Speichermanipulation erfordert, trägt jedoch dazu bei, dass die CVSS-Bewertung nicht die maximale Punktzahl von 10 erreicht.
Internet Connection Sharing (ICS) Sicherheitsanfälligkeit bei der Remotecodeausführung (CVE-2023-35641 und CVE-2023-35630)
Es wurden zwei kritische Sicherheitslücken für die Remotecodeausführung, CVE-2023-35641 und CVE-2023-35630, identifiziert, die jeweils eine CVSS-Bewertung von 8,8 aufweisen. Diese Schwachstellen weisen ähnliche Merkmale auf, einschließlich eines benachbarten Angriffsvektors, geringer Komplexität, geringer Anforderungen an die Berechtigungen und keiner erforderlichen Benutzerinteraktion.
Die Reichweite dieser Angriffe ist auf Systeme im selben Netzwerksegment wie der Angreifer beschränkt, d. h. sie können nicht über mehrere Netzwerke, wie z. B. ein WAN, durchgeführt werden. Die Angriffe sind auf Systeme beschränkt, die sich entweder auf demselben Netzwerk-Switch oder innerhalb desselben virtuellen Netzwerks befinden. Um CVE-2023-35641 auszunutzen, müsste ein Angreifer eine in böser Absicht erstellte DHCP-Nachricht an einen Server senden, auf dem der Internet Connection Sharing-Dienst läuft. Wie bei CVE-2023-35630 erfordert die erfolgreiche Ausnutzung, dass der Angreifer das Feld option->length in einer DHCPv6 DHCPV6_MESSAGE_INFORMATION_REQUEST-Eingabenachricht ändert. Diese Sicherheitsanfälligkeiten betreffen Microsoft Windows 10 und spätere Versionen sowie Microsoft Windows Server 2008 und spätere Versionen.
Microsoft Power Platform Connector Spoofing-Schwachstelle (CVE-2023-36019)
Die letzte kritische Sicherheitslücke, die heute diskutiert wird, ist CVE-2023-36019, ein schwerwiegendes Problem, das in der Microsoft Power Platform entdeckt wurde. Diese Sicherheitsanfälligkeit, bei der es in erster Linie um Spoofing geht, ermöglicht es einem Angreifer, einen Benutzer zu täuschen, indem er einen bösartigen Link oder eine Datei als legitim ausgibt. Die Schwachstelle hat einen netzwerkbasierten Angriffsvektor, ist von geringer Angriffskomplexität und erfordert keine Systemprivilegien, erfordert aber eine Benutzerinteraktion, um ausgenutzt zu werden. Die CVSS-Bewertung liegt bei 9,6, was auf einen hohen Schweregrad hindeutet.
Diese besondere Sicherheitsanfälligkeit ist spezifisch für die Microsoft Power Platform und Azure Logic Apps. Wenn Sie also diese Anwendungen nicht verwenden, sind Ihre Systeme nicht gefährdet.
Das Ausnutzungsszenario besteht darin, dass ein Angreifer einen bösartigen Link, eine Anwendung oder eine Datei erstellt, die dem Opfer als legitim erscheint. So könnte diese Sicherheitslücke beispielsweise in Verbindung mit Malware genutzt werden, die sich automatisch herunterlädt und installiert, sobald ein Benutzer auf einen betrügerischen Link klickt. Während die Schwachstelle vom Webserver ausgeht, können die bösartigen Skripte im Browser auf dem Rechner des Opfers ausgeführt werden.
Die Dezember 2023 Patch Tuesday Sicherheitsupdates
Nachfolgend finden Sie die vollständige Liste der behobenen Sicherheitslücken in den Patch Tuesday-Updates vom Dezember 2023.
| Tag | CVE ID | CVE Title | Severity |
|---|---|---|---|
| Azure Connected Machine Agent | CVE-2023-35624 | Azure Connected Machine Agent Elevation of Privilege Vulnerability | Important |
| Azure Machine Learning | CVE-2023-35625 | Azure Machine Learning Compute Instance for SDK Users Information Disclosure Vulnerability | Important |
| Chipsets | CVE-2023-20588 | AMD: CVE-2023-20588 AMD Speculative Leaks Security Notice | Important |
| Microsoft Bluetooth Driver | CVE-2023-35634 | Windows Bluetooth Driver Remote Code Execution Vulnerability | Important |
| Microsoft Dynamics | CVE-2023-35621 | Microsoft Dynamics 365 Finance and Operations Denial of Service Vulnerability | Important |
| Microsoft Dynamics | CVE-2023-36020 | Microsoft Dynamics 365 (on-premises) Cross-site Scripting Vulnerability | Important |
| Microsoft Edge (Chromium-based) | CVE-2023-35618 | Microsoft Edge (Chromium-based) Elevation of Privilege Vulnerability | Moderate |
| Microsoft Edge (Chromium-based) | CVE-2023-36880 | Microsoft Edge (Chromium-based) Information Disclosure Vulnerability | Low |
| Microsoft Edge (Chromium-based) | CVE-2023-38174 | Microsoft Edge (Chromium-based) Information Disclosure Vulnerability | Low |
| Microsoft Edge (Chromium-based) | CVE-2023-6509 | Chromium: CVE-2023-6509 Use after free in Side Panel Search | Unknown |
| Microsoft Edge (Chromium-based) | CVE-2023-6512 | Chromium: CVE-2023-6512 Inappropriate implementation in Web Browser UI | Unknown |
| Microsoft Edge (Chromium-based) | CVE-2023-6508 | Chromium: CVE-2023-6508 Use after free in Media Stream | Unknown |
| Microsoft Edge (Chromium-based) | CVE-2023-6511 | Chromium: CVE-2023-6511 Inappropriate implementation in Autofill | Unknown |
| Microsoft Edge (Chromium-based) | CVE-2023-6510 | Chromium: CVE-2023-6510 Use after free in Media Capture | Unknown |
| Microsoft Office Outlook | CVE-2023-35636 | Microsoft Outlook Information Disclosure Vulnerability | Important |
| Microsoft Office Outlook | CVE-2023-35619 | Microsoft Outlook for Mac Spoofing Vulnerability | Important |
| Microsoft Office Word | CVE-2023-36009 | Microsoft Word Information Disclosure Vulnerability | Important |
| Microsoft Power Platform Connector | CVE-2023-36019 | Microsoft Power Platform Connector Spoofing Vulnerability | Critical |
| Microsoft WDAC OLE DB provider for SQL | CVE-2023-36006 | Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability | Important |
| Microsoft Windows DNS | CVE-2023-35622 | Windows DNS Spoofing Vulnerability | Important |
| Windows Cloud Files Mini Filter Driver | CVE-2023-36696 | Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnerability | Important |
| Windows Defender | CVE-2023-36010 | Microsoft Defender Denial of Service Vulnerability | Important |
| Windows DHCP Server | CVE-2023-35643 | DHCP Server Service Information Disclosure Vulnerability | Important |
| Windows DHCP Server | CVE-2023-35638 | DHCP Server Service Denial of Service Vulnerability | Important |
| Windows DHCP Server | CVE-2023-36012 | DHCP Server Service Information Disclosure Vulnerability | Important |
| Windows DPAPI (Data Protection Application Programming Interface) | CVE-2023-36004 | Windows DPAPI (Data Protection Application Programming Interface) Spoofing Vulnerability | Important |
| Windows Internet Connection Sharing (ICS) | CVE-2023-35642 | Internet Connection Sharing (ICS) Denial of Service Vulnerability | Important |
| Windows Internet Connection Sharing (ICS) | CVE-2023-35630 | Internet Connection Sharing (ICS) Remote Code Execution Vulnerability | Critical |
| Windows Internet Connection Sharing (ICS) | CVE-2023-35632 | Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability | Important |
| Windows Internet Connection Sharing (ICS) | CVE-2023-35641 | Internet Connection Sharing (ICS) Remote Code Execution Vulnerability | Critical |
| Windows Kernel | CVE-2023-35633 | Windows Kernel Elevation of Privilege Vulnerability | Important |
| Windows Kernel | CVE-2023-35635 | Windows Kernel Denial of Service Vulnerability | Important |
| Windows Kernel-Mode Drivers | CVE-2023-35644 | Windows Sysmain Service Elevation of Privilege | Important |
| Windows Local Security Authority Subsystem Service (LSASS) | CVE-2023-36391 | Local Security Authority Subsystem Service Elevation of Privilege Vulnerability | Important |
| Windows Media | CVE-2023-21740 | Windows Media Remote Code Execution Vulnerability | Important |
| Windows MSHTML Platform | CVE-2023-35628 | Windows MSHTML Platform Remote Code Execution Vulnerability | Critical |
| Windows ODBC Driver | CVE-2023-35639 | Microsoft ODBC Driver Remote Code Execution Vulnerability | Important |
| Windows Telephony Server | CVE-2023-36005 | Windows Telephony Server Elevation of Privilege Vulnerability | Important |
| Windows USB Mass Storage Class Driver | CVE-2023-35629 | Microsoft USBHUB 3.0 Device Driver Remote Code Execution Vulnerability | Important |
| Windows Win32K | CVE-2023-36011 | Win32k Elevation of Privilege Vulnerability | Important |
| Windows Win32K | CVE-2023-35631 | Win32k Elevation of Privilege Vulnerability | Important |
| XAML Diagnostics | CVE-2023-36003 | XAML Diagnostics Elevation of Privilege Vulnerability | Important |