
Google Nest Mini vs. Apple HomePod Mini: Kleiner Smart-Speaker-Showdown
May 25, 2023Reiter bewältigen unwegsames Gelände, um Spenden für Special Olympics zu sammeln
May 26, 2023Die 87. Iredell County Agricultural Fair beginnt am 1. September
May 27, 2023Forty Acres Insider: 29. August
May 28, 2023Roodepoort North Street tritt in den neunten Tag der Machtlosigkeit ein
May 29, 2023März 2023 Patch Tuesday: Updates und Analyse
14. März 2023
Microsoft hat 80 Sicherheitspatches für den Rollout am Patch-Dienstag im März 2023 veröffentlicht: 9 Schwachstellen werden als kritisch, 70 als wichtig und 1 als mittel eingestuft.
Zwei aktiv ausgenutzte Zero-Day-Schwachstellen, auf die wir später in diesem Blog eingehen werden, wurden vom Anbieter gemeldet: eine Erhöhung von Berechtigungen in Microsoft Outlook (CVE-2023-23397), die als kritisch eingestuft wurde, und eine Umgehung von Sicherheitsfunktionen in Windows SmartScreen (CVE-2023-23397). 24880) als mittel eingestuft
Der führende Risikotyp in diesem Monat ist die Codeausführung aus der Ferne (40 %, gegenüber 48 % im Februar 2023), gefolgt von der Erhöhung von Berechtigungen mit 31 % (gegenüber fast 16 % im Februar) und der Offenlegung von Informationen mit 22 % (gegenüber 10 %). Im vergangenen Monat).
Abbildung 1. Aufschlüsselung der Angriffstypen für den Patch-Dienstag im März 2023
Die meisten Patches erhielt in diesem Monat die Microsoft Windows-Produktfamilie (56), gefolgt von Extended Support Updates (20) und der Microsoft Office-Produktfamilie (10).
Abbildung 2. Aufschlüsselung der Produktfamilien, die vom Patch-Dienstag im März 2023 betroffen sind
CVE-2023-23397, als kritisch eingestuft, ist eine Schwachstelle, die Microsoft Outlook betrifft. Ein externer Angreifer könnte eine speziell gestaltete E-Mail senden, die eine Verbindung vom Opfer zu einem externen Standort unter der Kontrolle des Angreifers herstellt. Dadurch wird der Net-NTLMv2-Hash des Opfers an den Angreifer weitergegeben, der ihn dann an einen anderen Dienst weiterleiten und sich als Opfer authentifizieren kann.
CVE-2023-24880, eingestuft als „Moderat“, ist eine Schwachstelle, die Windows SmartScreen betrifft. Ein Angreifer kann eine bösartige Datei erstellen, die den Mark of the Web (MOTW)-Abwehrmaßnahmen entgeht, was zu einem begrenzten Verlust der Integrität und der Verfügbarkeit von Sicherheitsfunktionen wie Protected View in Microsoft Office führt, die auf MOTW-Tagging basieren. Microsoft erklärte: „Wenn Sie eine Datei aus dem Internet herunterladen, fügt Windows der Datei die Zonenkennung oder Mark of the Web als NTFS-Stream hinzu. Wenn Sie die Datei ausführen, prüft Windows SmartScreen, ob an die Datei eine Zonenkennung Alternate Data Stream (ADS) angehängt ist. Wenn das ADS ZoneId=3 anzeigt, was bedeutet, dass die Datei aus dem Internet heruntergeladen wurde, führt der SmartScreen eine Reputationsprüfung durch.“
Abbildung 3. Aktiv ausgenutzte Zero-Day-Schwachstellen, die im März 2023 gepatcht wurden
CVE-2023-21708, eine RCE-Schwachstelle, die Remote Procedure Call (RPC) betrifft und als kritisch eingestuft wird, könnte dazu führen, dass remote Code auf der Serverseite mit denselben Berechtigungen wie der laufende RPC-Dienst selbst ausgeführt wird. Microsoft hält dies für „weniger wahrscheinlich ausnutzbar“.
CVE-2023-23392, eine RCE-Schwachstelle, die den HTTP-Protokollstapel in Windows 11 und Windows Server 2022 betrifft, wird als kritisch eingestuft. Ein nicht authentifizierter Angreifer könnte ein speziell gestaltetes Paket an einen Zielserver senden und dabei den HTTP-Protokollstapel (http.sys) verwenden, um Pakete zu verarbeiten.
CVE-2023-23415, eine RCE-Schwachstelle, die das Internet Control Message Protocol (ICMP) betrifft, wird als kritisch eingestuft. Ein Angreifer könnte einen Low-Level-Protokollfehler mit einem fragmentierten IP-Paket in einem anderen ICMP-Paket im Header an den Zielcomputer senden. Um den anfälligen Codepfad auszulösen, muss eine Anwendung auf dem Ziel an einen Raw-Socket gebunden werden.
CVE-2023-1017 und CVE-2023-1018, die als kritisch eingestuft werden, sind Schwachstellen, die die TPM2.0-Modulbibliothek betreffen. Eine Sicherheitslücke beim Schreiben außerhalb der Grenzen ermöglicht das Schreiben von 2-Byte-Daten über das Ende des TPM2.0-Befehls in der CryptParameterDecryption-Routine hinaus. Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzen kann, kann zu einem Denial-of-Service (Absturz des TPM-Chips/-Prozesses oder dessen Unbrauchbarkeit) und/oder zur Ausführung willkürlichen Codes im TPM-Kontext führen.
CVE-2023-23416, eine RCE-Schwachstelle, die Windows-Kryptografiedienste betrifft, wird von Microsoft aufgrund der Komplexität des Angriffsvektors als kritisch und als „weniger wahrscheinlich ausnutzbar“ eingestuft. Für eine erfolgreiche Ausnutzung muss ein bösartiges Zertifikat auf ein betroffenes System importiert werden. Ein Angreifer könnte ein Zertifikat auf einen Dienst hochladen, der Zertifikate verarbeitet oder importiert, oder ein Angreifer könnte einen authentifizierten Benutzer dazu verleiten, ein Zertifikat auf sein System zu importieren.
CVE-2023-23404, eine RCE-Schwachstelle, die das P2P-Tunneling-Protokoll betrifft, wird als kritisch eingestuft. Ein nicht authentifizierter Angreifer könnte eine speziell gestaltete Verbindungsanforderung an einen RAS (Remote Access Server) senden, was zu einer Remote Code Execution (RCE) auf dem RAS-Computer führen könnte. Microsoft hat es als „weniger wahrscheinlich ausnutzbar“ eingestuft, da es erfordert, dass der Angreifer eine Rennbedingung gewinnt.
CVE-2023-23411, eine Denial-of-Service-Schwachstelle, die Windows Hyper-V betrifft, wird als kritisch eingestuft. Eine erfolgreiche Ausnutzung dieser Schwachstelle könnte es einem Hyper-V-Gast ermöglichen, die Funktionalität des Hyper-V-Hosts zu beeinträchtigen. Von Microsoft als „weniger wahrscheinlich ausnutzbar“ gekennzeichnet.
Abbildung 4. Kritische Schwachstellen, die Microsoft-Produkte betreffen
Wie wir bei anderen bemerkenswerten Sicherheitslücken wie Log4j gelernt haben, kann nicht jede hochgradig ausnutzbare Sicherheitslücke einfach gepatcht werden. Wie bei den ProxyNotShell-Schwachstellen ist es von entscheidender Bedeutung, einen Reaktionsplan zu entwickeln, wie Sie Ihre Umgebungen schützen können, wenn kein Patch-Protokoll vorhanden ist.
Die regelmäßige Überprüfung Ihrer Patching-Strategie sollte weiterhin Teil Ihres Programms sein, Sie sollten aber auch die Methoden Ihrer Organisation zur Cybersicherheit ganzheitlicher betrachten und Ihre allgemeine Sicherheitslage verbessern.
Die CrowdStrike Falcon®-Plattform sammelt und analysiert täglich regelmäßig Billionen von Endpunktereignissen von Millionen von Sensoren, die in 176 Ländern eingesetzt werden. Sehen Sie sich diese Demo an, um die Falcon-Plattform in Aktion zu sehen.
Erfahren Sie hier mehr darüber, wie CrowdStrike Falcon® Spotlight Ihnen dabei helfen kann, Schwachstellen schnell und einfach zu entdecken und zu priorisieren.
Das Common Vulnerability Scoring System (CVSS) ist ein kostenloser und offener Industriestandard, den CrowdStrike und viele andere Cybersicherheitsorganisationen nutzen, um den Schweregrad und die Merkmale von Software-Schwachstellen zu bewerten und zu kommunizieren. Der CVSS-Basiswert reicht von 0,0 bis 10,0, und die National Vulnerability Database (NVD) fügt eine Schweregradbewertung für CVSS-Werte hinzu. Erfahren Sie in diesem Artikel mehr über die Schwachstellenbewertung.
KritischMäßigKritischKritischKritischKritischKritischKritischKritischKritisch
