< Zurück
Blog

ION-Hinweis: Oktober-Patch-Dienstag

Eine Person, von hinten gesehen, mit Kopfhörern, an einem Schreibtisch sitzend, vor mehreren Computerbildschirmen, auf denen Daten und Grafiken angezeigt werden, mit dem Text "ION Threat Advisory" (ION-Bedrohungswarnung) in weißer Schrift deutlich sichtbar.

Die Microsoft Oktober Patch Tuesday Update besteht aus einer größeren Anzahl von Korrekturen (117) für verschiedene Microsoft-Produkte. Diese beheben 3 Chromium/Edge-Sicherheitslücken, 3 andere als kritisch eingestufte Sicherheitslücken und 2 weitere Sicherheitslücken, die aktiv ausgenutzt werden. 25 der behobenen Sicherheitslücken können per Fernzugriff ausgenutzt werden, aber es ist noch nicht bekannt, dass sie ausgenutzt werden.

Kritische Schwachstellen

Keine der folgenden kritischen Schwachstellen wurde als aktiv ausgenutzt oder öffentlich bekannt gegeben.

  • CVE-2024-43468 - Microsoft Configuration Manager Sicherheitslücke bei der Ausführung von Remotecode
    • Ein nicht authentifizierter Angreifer könnte diese Sicherheitslücke ausnutzen, indem er speziell gestaltete Anfragen an die Zielumgebung sendet, die auf unsichere Weise verarbeitet werden.
  • CVE-2024-43582 - Remote Desktop Protocol(RDP)-Server Sicherheitslücke bei der Remotecodeausführung
    • Wenn ein nicht authentifizierter Angreifer missgebildete Pakete an einen RPC-Host sendet, manifestiert sich dies in einem serverseitigen RCE, der mit denselben Berechtigungen wie der RPC-Dienst ausgestattet ist.
  • CVE-2024-43488 - Visual Studio Code-Erweiterung für Arduino Sicherheitslücke bei der Remotecodeausführung (keine Maßnahmen erforderlich, behoben)
    • Fehlende Authentifizierung für eine kritische Funktion in der Visual Studio Code-Erweiterung für Arduino ermöglicht einem nicht authentifizierten Angreifer die Ausführung von Remote-Code über das Netzwerk.

Aktive Ausbeutung

Die folgende Sicherheitslücke wurde gemeldet aktiv ausgenutzt und öffentlich bekannt gemacht

  • CVE-2024-43572 - Sicherheitslücke in der Microsoft Management Console(MMC) bei der Ausführung von Remotecode
    • Ein nicht authentifizierter Angreifer könnte diese Schwachstelle ausnutzen, indem er speziell gestaltete Anfragen an die Zielumgebung sendet, die auf unsichere Weise verarbeitet werden und es dem Angreifer ermöglichen, Befehle auf dem Server und/oder der zugrunde liegenden Datenbank auszuführen. Die Sicherheitsanfälligkeit ist auf einen Fehler bei der Bereinigung von Eingaben zurückzuführen. Microsoft berichtete auch über CVE-2024-38259 die in der September-Patch Tuesday-Veröffentlichung von MMC aktiv ausgenutzt wird.
  • CVE-2024-43573 - Windows MSHTML Plattform Spoofing-Schwachstelle
    • Microsoft hat zwar angekündigt, die Anwendung Internet Explorer 11 auf bestimmten Plattformen einzustellen, und die Legacy-Anwendung Microsoft Edge ist veraltet, aber die zugrunde liegenden Plattformen MSHTML, EdgeHTML und Scripting werden weiterhin unterstützt. Die MSHTML-Plattform wird vom Internet Explorer-Modus in Microsoft Edge sowie von anderen Anwendungen über die WebBrowser-Steuerung verwendet. Die EdgeHTML-Plattform wird von WebView und einigen UWP-Anwendungen verwendet. Die Scripting-Plattformen werden von MSHTML und EdgeHTML verwendet, können aber auch von anderen Legacy-Anwendungen genutzt werden. Aktualisierungen zur Behebung von Sicherheitslücken in der MSHTML-Plattform und der Skripting-Engine sind in den kumulativen IE-Updates enthalten; EdgeHTML- und Chakra-Änderungen gelten nicht für diese Plattformen. Die Sicherheitsanfälligkeit betrifft alle Windows-Versionen, außer Windows Server 2008, Windows Server 2008 R2 und Windows Server 2012.

Öffentlich bekannt gegeben

Die folgenden Schwachstellen wurden gemeldet öffentlich bekannt gegeben, aber nicht aber aktiv genutzt werden.

  • CVE-2024-20659 - Windows Hyper-V-Sicherheitsfunktion umgeht Sicherheitslücke
    • Die Schwachstelle bei der Eingabevalidierung kann zur Umgehung von Sicherheitskontrollen führen. Damit ein Angreifer diese Schwachstelle erfolgreich ausnutzen kann, muss der Benutzer zunächst seinen Computer neu starten. Diese Hypervisor-Schwachstelle betrifft virtuelle Maschinen innerhalb eines UEFI-Host-Computers (Unified Extensible Firmware Interface). Auf bestimmter Hardware kann es möglich sein, das UEFI zu umgehen, was zu einer Kompromittierung des Hypervisors und des sicheren Kernels führen kann. Für eine erfolgreiche Ausnutzung dieser Schwachstelle müssen mehrere Bedingungen erfüllt sein, z. B. ein bestimmtes Anwendungsverhalten, Benutzeraktionen, die Manipulation von Parametern, die an eine Funktion übergeben werden, und die Impersonation eines Integritätsstufen-Tokens. Die erfolgreiche Ausnutzung dieser Schwachstelle setzt voraus, dass sich ein Angreifer vor der Ausführung eines Angriffs Zugang zum eingeschränkten Netzwerk verschafft.
  • CVE-2024-20659 - Windows Hyper-V-Sicherheitsfunktion umgeht Sicherheitslücke
    • Diese Hypervisor-Schwachstelle bezieht sich auf virtuelle Maschinen innerhalb eines UEFI-Hosts (Unified Extensible Firmware Interface). Auf bestimmter Hardware kann es möglich sein, das UEFI zu umgehen, was zu einer Kompromittierung des Hypervisors und des sicheren Kernels führen kann. Dazu muss der Benutzer seinen Rechner neu starten, und der Angreifer muss Zugang zum umgebenden Netzwerk rund um das anfällige Gerät haben.
  • CVE-2024-43583 - Winlogon-Schwachstelle mit erhöhtem Zugriffsrecht (Elevation of Privilege)
    • Ein Angreifer, der diese Sicherheitslücke erfolgreich ausnutzt, kann SYSTEM-Rechte erlangen. Um diese Sicherheitsanfälligkeit zu beheben, stellen Sie sicher, dass ein Erstanbieter-IME (Input Method Editor) von Microsoft auf Ihrem Gerät aktiviert ist. Auf diese Weise können Sie Ihr Gerät vor potenziellen Sicherheitslücken schützen, die mit einem IME eines Drittanbieters (3P) während des Anmeldevorgangs verbunden sind.

Bemerkenswerte Schwachstellen

Die folgenden Sicherheitslücken wurden im CVE-System als eher wahrscheinlich eingestuft, dass sie von Microsoft ausgenutzt werden:

Gegenmaßnahmen und Patches

  • Bringen Sie Patches so schnell wie möglich nach entsprechenden Tests an.

Referenzen

Sans Report: Microsoft Patch Tuesday - Oktober 2024 - SANS Internet Storm Center

Patch-A-Palooza: PatchaPalooza

Teilen
Artikel von

Team für fortgeschrittene Bedrohungsabwehr
Ontinue – ATO

Das Advanced Threat Operations (ATO)-Team von Ontinue nutzt proaktive Methoden zur Identifizierung, Analyse und Abwehr von Bedrohungen, um unseren Kunden die nötige Widerstandsfähigkeit zu verleihen, mit der sie der sich ständig weiterentwickelnden Bedrohungslandschaft begegnen können.

Balazs Greksza

Domenico de Vitto

Rhys Downing

Manupriya Sharma

Schlüsselwörter

Verwandte Artikel

Podcast-Cover mit einem Mikrofon-Symbol auf einem violetten Hintergrund mit Farbverlauf. Der Text lautet 'Microsoft Security Tips' und 'Defend Your Time Podcast'.
Blog
CISO-Erkenntnisse aus dem ATO-Bedrohungsbericht für das erste Halbjahr 2024

Jetzt anhören >
Ein Cover-Design für den "1H 2024 Threat Intelligence Report" von Ontinue mit einem dunklen abstrakten Hintergrund und farbenfrohen digitalen Mustern.
E-Book
Bericht zur Bedrohungslage im ersten Halbjahr 2024

Weiterlesen >
Ein Bild, das einen Bericht über Malware mit der Bezeichnung 'MALICIOUS' (bösartig) zeigt. Darin sind Klassifizierungen wie Spyware und Injector sowie die Namen der Bedrohungen aufgeführt: Lumma, C2/Generic-A, Gen:Heur.Mint.Zard.25 und Gen:Variant.Zusy.532927. Dies verdeutlicht einen Anstieg der Infostealer-Malware MummaC2.
Blog
Verschleierte PowerShell führt zu Lumma C2 Stealer

Weiterlesen >
Eine Illustration mit dem Text 'CISO Perspectives' in fetter weißer Schrift auf dunkelviolettem Hintergrund, mit einem Bild des Profils einer Person und Elementen der digitalen Sicherheit, neben einem runden Bild von Gareth Lindahl-Wise.
Blog
Erkennen des Ungewöhnlichen: Praktische Tipps zum Erkennen von Phishing-Angriffen

Weiterlesen >