Microsoft Patch Tuesday Tsunami: Keine Zero-Days, sondern ein Sternchen

Microsoft hat sich mit den Patch Tuesday-Veröffentlichungen dieses Monats selbst übertroffen, die keine Zero-Day-Patches enthalten, obwohl mindestens einer der Patches einen Fehler behebt, der bereits aktiv ausgenutzt wird.

Zu den Produkten, die von den neuesten Patch-Tuesday-Updates betroffen sind, gehören Windows und Windows-Komponenten; Azurblau; .NET Framework und Visual Studio; SQL Server; DNS Server; Windows Defender; Bitlocker; und Windows Secure Boot.

Das April-Update von Microsoft umfasste 147 CVEs, von denen drei als „Kritisch“ eingestuft wurden, 142 als „Wichtig“ kategorisiert wurden und zwei als „Moderat“ eingestuft wurden. Diese Zahl erhöht sich auf 155 CVEs, wenn auch Fehler Dritter einbezogen werden. Die Zahl stellt einen Rekordwert für Patch-Dienstag-Korrekturen dar.

„Microsoft hat im April 147 CVEs gepatcht, die größte Anzahl an CVEs, die in einem Monat gepatcht wurden, seit wir 2017 mit der Verfolgung dieser Daten begonnen haben“, sagte Satnam Narang, leitender Forschungsingenieur bei Tenable, in einer Erklärung. „Das letzte Mal, dass über 100 CVEs gepatcht wurden, war im Oktober 2023, als Microsoft 103 CVEs ansprach.“ Der bisherige Höchststand sei im Juli 2023 erreicht worden, als 130 CVEs gepatcht wurden, fügte Narang hinzu.

Microsoft hat nicht darauf hingewiesen, dass es sich bei den CVEs vom April-Patch-Dienstag um Zero-Day-Bedrohungen handelt, eine willkommene Abkehr von den zahlreichen Zero-Day-Enthüllungen im letzten Jahr.

„Letztes Jahr um diese Zeit wurden sieben Zero-Day-Schwachstellen in freier Wildbahn ausgenutzt“, sagte Narang. In diesem Jahr wurden nur zwei Zero-Days ausgenutzt, und beide fanden im Februar statt. „Es ist schwer zu sagen, warum wir diesen Rückgang beobachten konnten, ob es sich lediglich um einen Mangel an Transparenz handelt oder ob es sich um einen Trend handelt, bei dem Angreifer bekannte Schwachstellen als Teil ihrer Angriffe auf Unternehmen ausnutzen.“

Allerdings bemerkte Dustin Childs von der Zero Day Initiative in seinem April Microsoft Patch Tuesday-Analyse dass seine Organisation Hinweise auf einen bekannten ausgenutzten Fehler in der Liste der Korrekturen dieses Monats hat.

Patch-Dienstag-Korrekturen zur Priorisierung

Childs wies auf die Sicherheitslücke mit maximalem Schweregrad in der SmartScreen Prompt Security Feature Bypass hin (CVE-2024-29988) mit einem CVSS-Score von 8.8, der von ZDI entdeckt wurde, aber im Patch Tuesday-Update von Microsoft nicht als ausgenutzt aufgeführt wurde.

„Der vom ZDI-Bedrohungsjäger Peter Girrus gemeldete Fehler wurde jedoch in freier Wildbahn gefunden“, fügte Childs hinzu. „Wir haben Beweise dafür, dass dies in freier Wildbahn ausgenutzt wird, und ich liste es als solches auf.“

Ein weiterer Fehler mit maximalem Schweregrad, der sich auf die Schwachstelle Remote Procedure Call Runtime Remote Code Execution auswirkt (CVE-2024-20678) erhielt einen CVSS-Score von 8.8 und wurde diesen Monat von Microsoft gepatcht.

Eine Spoofing-Sicherheitslücke (CVE-2024-20670), der als „maximaler Schweregrad“ mit einem Basis-CVSS von 8.1 aufgeführt ist, wurde in Outlook für Windows behoben. Und eine Windows-DNS-Server-Remotecodeausführung, auch als „maximaler Schweregrad“ aufgeführt (CVE-2024-26221) mit einem CVSS-Score von 7.2 wurde ebenfalls gepatcht.

Microsoft SQL erhält zahlreiche Patches

Laut Kev Breen, Senior Director Threat Research bei Immersive Labs, machen Microsoft SQL Server-Schwachstellen einen großen Teil der Patch-Tuesday-Korrekturen dieses Monats aus.

„Obwohl es auf den ersten Blick so aussieht, als hätte Microsoft in seinen neuesten Notizen eine große Anzahl von Schwachstellen aufgezeigt, hängen 40 davon alle mit demselben Produkt zusammen – Microsoft SQL Server“, sagte Breen in einer Erklärung. „Das Hauptproblem liegt bei den Clients, die für die Verbindung zu einem SQL-Server verwendet werden, nicht beim Server selbst.“

Breen erklärte weiter, dass all dies Social Engineering erfordern würde, was es schwierig mache, die SQL-Schwachstellen sinnvoll auszunutzen.

„Alle gemeldeten Schwachstellen folgen einem ähnlichen Muster: Damit ein Angreifer Code ausführen kann, muss er einen authentifizierten Benutzer innerhalb einer Organisation dazu verleiten, eine Verbindung zu einem entfernten SQL-Server herzustellen, den der Angreifer kontrolliert“, fügte Breen hinzu. „Auch wenn dies nicht unmöglich ist, ist es unwahrscheinlich, dass Angreifer dies in großem Umfang ausnutzen.“

Sicherheitsteams, die über diese Art von Angriffen besorgt sind, sollten nach ungewöhnlichen Aktivitäten suchen und ausgehende Verbindungen außer zu vertrauenswürdigen Servern blockieren.

Microsoft SmartScreen-Prompt- und Secure-Boot-Fehler

Narang von Tenable erwähnte den Fix dieses Monats für die Umgehung der SmartScreen Prompt-Sicherheitsfunktion (CVE-2024-29988) mit einem CVSS-Score von 8.8 setzt ebenfalls auf Social Engineering, um eine Ausbeutung zu ermöglichen. Ein ähnlicher Zero-Day-Bug (CVE-2024-21412), der von denselben Forschern entdeckt wurde, wurde in einer DarkGate-Kampagne verwendet, bei der beliebte Marken wie Apple iTunes imitiert wurden.

„Microsoft Defender SmartScreen soll Endbenutzern zusätzlichen Schutz vor Phishing und bösartigen Websites bieten“, sagte Narang. „Wie der Name schon sagt, umgehen diese Schwachstellen jedoch diese Sicherheitsfunktionen, was dazu führt, dass Endbenutzer mit Malware infiziert werden.“

Narang schlug den Sicherheitsteams außerdem vor, einen Blick auf die 24 Windows Secure Boot-Fehlerbehebungen zu werfen, die in der April-Patch-Tuesday-Veröffentlichung von Microsoft enthalten sind.

„Das letzte Mal, als Microsoft einen Fehler in Windows Secure Boot behoben hat (CVE-2023-24932) im Mai 2023 hatte bemerkenswerte Auswirkungen, da es in freier Wildbahn ausgenutzt und mit dem BlackLotus UEFI-Bootkit verknüpft wurde, das in Dark-Web-Foren für 5,000 US-Dollar verkauft wurde“, sagte er.

BlackLotus-Malware ist in der Lage, Sicherheitsmaßnahmen beim Hochfahren zu blockieren.

„Obwohl keine dieser Secure Boot-Schwachstellen, die in diesem Monat behoben wurden, in freier Wildbahn ausgenutzt wurde, erinnern sie doch daran, dass Fehler in Secure Boot weiterhin bestehen und wir in Zukunft möglicherweise mehr böswillige Aktivitäten im Zusammenhang mit Secure Boot sehen könnten“, betonte Narang.

SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
Quelle: https://www.darkreading.com/vulnerabilities-threats/microsoft-patch-tuesday-no-zero-days-but-one-under-active-exploit

Generative Datenintelligenz

Microsoft Patch Tuesday Tsunami: Keine Zero-Days, sondern ein Asterisk

Patch-Dienstag-Korrekturen zur Priorisierung

Microsoft SQL erhält zahlreiche Patches

Microsoft SmartScreen-Prompt- und Secure-Boot-Fehler

Binance-CEO zu Gefängnis verurteilt: Gründer der weltgrößten Krypto-Börse inhaftiert – CryptoInfoNet

Bitcoin-Preis stürzt ab, können Bullen die wichtige Unterstützung bei 60 US-Dollar retten?

Neueste Intelligenz

BDAG steigt bis 30 auf 2030 US-Dollar und übertrifft den TON-Preis in Top-Kryptowährungen

Second Edition – Flip That House Brettspiel, Crowdfunding-Möglichkeit, Projektpräsentation von Indiegogo

Digital Pantry Makeover: Crowdfunding-Projektpitch für Eliminate Diets von Indiegogo

Eines der besten Gaming-Headsets erhält einen stilvollen neuen Look

Pionierarbeit mit Tools, die auf künstlicher Intelligenz basieren – CryptoInfoNet

Dieser 2.8-Milliarden-Dollar-Kohlenbergmann hat auch Bitcoin geschürft – Entschlüsseln