Die Microsoft-Patches für den Monat Juli haben sich als ziemlich überraschend erwiesen. Zum einen wird wieder einmal der scheinbar totgesagte Internet Explorer gefixt. Zum anderen werden sechs der Schwachstellen bereits aktiv von Angreifern ausgenutzt – und zwei dieser Sicherheitslücken wurden kurioserweise lediglich durch bloße Sicherheitsempfehlungen geschlossen.
Hier die Gesamtstatistik: 132 Sicherheitsmängel wurden behoben, von denen neun als kritisch eingestuft wurden. Der Exploit von 37 dieser Schwachstellen kann zur Ausführung von beliebigem Code führen, bei 33 Schwachstellen zur Erweiterung von Privilegien, bei 13 Schwachstellen zur Umgehung von Sicherheitsfunktionen und bei 22 Schwachstellen möglicherweise zur Verweigerung von Diensten (Denial of Service).
Warum wird der Internet Explorer erneut gepatcht?
Vor nicht allzu langer Zeit haben wir vom – mehr oder weniger – endgültigen Endes des Internet Explorers berichtet. Insbesondere sprachen wir über die Empfehlung von Microsoft, weiterhin Sicherheitsupdates für den IE zu installieren, da einige seiner Komponenten noch immer im System vorhanden sind. Nun wird klar, warum Microsoft diese Empfehlung ausgesprochen hat. Der Juli-Patch schließt nicht weniger als drei Sicherheitslücken in MSHTML, der Engine des legendären Browsers. In den CVE-Beschreibungen gibt Microsoft Folgendes an:
Auch wenn Microsoft angekündigt hat, die Anwendung Internet Explorer 11 auf bestimmten Plattformen einzustellen und das Programm Microsoft Edge Legacy zu verwerfen, werden die zugrunde liegenden MSHTML- und Skriptplattformen weiterhin unterstützt. Die MSHTML-Plattform wird im Internet Explorer-Modus in Microsoft Edge sowie in anderen Anwendungen über die WebBrowser-Steuerung verwendet. Die EdgeHTML-Plattform wird von WebView und einigen UWP-Anwendungen verwendet. Die Skriptplattformen werden von MSHTML und EdgeHTML verwendet, können aber auch von anderen Legacy-Anwendungen verwendet werden. Updates zur Behebung von Sicherheitsanfälligkeiten in der MSHTML-Plattform und der Skript-Engine sind in den kumulativen IE-Updates enthalten. EdgeHTML- und Chakra-Änderungen gelten für diese Plattformen nicht.
Kunden, die ausschließlich Reine Sicherheitsupdates installieren, empfehlen wir, die kumulativen IE-Updates für diese Sicherheitsanfälligkeit zu installieren, damit sie umfassend geschützt sind.
Die gefährlichste der neu aufgedeckten IE-Schwachstellen ist CVE-2023-32046, die bereits für konkrete Angriffe genutzt wird. Bei erfolgreicher Ausnutzung dieser Schwachstelle können Cyberkriminelle ihre Rechte auf die der Opfer erweitern. Die Angriffsszenarien umfassen die Erstellung einer Schaddatei, die per E-Mail an das Opfer gesendet oder auf einer kompromittierten Website gehostet wird. Angreifer müssen den Benutzer dann nur noch dazu bringen, dem Link zu folgen und die Datei zu öffnen.
Die übrigen beiden Schwachstellen – CVE-2023-35308 und CVE-2023-35336 – können zur Umgehung von Sicherheitsfunktionen genutzt werden. Über die erste können Cyberkriminelle eine Datei erstellen, die den Mark-of-the-Web-Mechanismus umgeht, sodass die Datei von Microsoft Office-Anwendungen auch außerhalb der geschützten Ansicht geöffnet werden kann. Beide Sicherheitslücken können genutzt werden, um ein Opfer dazu zu verleiten, auf eine URL in einer weniger restriktiven Internet-Sicherheitszone zuzugreifen als beabsichtigt.
Empfehlungen ersetzen Patches
Auch die folgenden beiden Schwachstellen werden aktiv ausgenutzt, aber statt vollwertiger Patches wurden für sie lediglich Sicherheitsempfehlungen ausgesprochen.
Die erste – CVE-2023-36884 (mit einem CVSS-Rating von 8.3) – wird im Rahmen der Storm-0978/RomCom RCE-Angriffe sowohl in Office als auch auf Windows ausgenutzt. Zum Schutz rät Microsoft, alle ausführbaren Office-Programme zur Liste FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION hinzuzufügen.
Die zweite bislang nicht geschlossene Schwachstelle bezieht sich auf die Signierung von Treibern auf Kernel-Ebene. Für sie gibt es keinen CVE-Index, sondern lediglich einen Leitfaden mit Empfehlungen (ADV-230001). Microsoft hat eine Reihe von Entwickler-Zertifikaten, die in APT-Angriffen verwendet wurden, widerrufen und mehrere schädliche Treiber blockiert, wobei die Ursache des Problems jedoch bestehen blieb. Nach wie vor gelingt es Hackern, Treiber mit Microsoft-Zertifikaten zu signieren oder sie rückdatiert zu signieren, um sie als Ausnahme zu behandeln und die Signatur des MS-Entwicklerportals zu umgehen.
Als Gegenmaßnahme empfiehlt Microsoft, sowohl Windows als auch EDR auf dem aktuellen Stand zu halten. Ein schwacher Trost ist die Tatsache, dass der Angreifer über Administratorrechte verfügen muss, um solche Treiber ausnutzen zu können.
Die verbleibenden Schwachstellen
Neben den bereits erwähnten Schwachstellen gibt es noch 3 weitere Sicherheitslücken, die ebenfalls aktiv von Cyberkriminellen ausgenutzt werden.
- CVE-2023-32049 — Bypass-Schwachstelle der SmartScreen-Sicherheitsfunktion. Durch ihren Exploit können Angreifer eine Datei erstellen, die sich ohne die Windows-Warnung öffnen lässt.
- CVE-2023-36874 — Schwachstelle für die Ausweitung von Privilegien in der Windows-Fehlerberichterstattung. Sie ermöglicht es Angreifern, ihre Rechte zu erweitern, wenn sie bereits über normale Berechtigungen zum Erstellen von Ordnern und Dateien zur technischen Performance-Überwachung verfügen.
- CVE-2023-35311 — Bypass-Schwachstelle in der Sicherheitsfunktion von Outlook. Ihr Exploit hilft Cyberkriminellen, Warnmeldungen bei der Verwendung der Vorschau zu umgehen.
So können Sie sich schützen
Zum Schutz der Unternehmensressourcen empfehlen wir, die Sicherheitspatches möglichst schnell zu installieren und alle im Einsatz befindlichen Computer und Server mit modernen Lösungen zu schützen, die sowohl bekannte als auch noch nicht entdeckte Sicherheitslücken erkennen können.