Aktiv ausgenutzter Windows Zero-Day erhält einen Patch

  • Microsofts Patch Tuesday im August 2021 behebt eine geringere Anzahl von Fehlern als üblich, darunter weitere Print Spooler-Probleme, einen Zero-Day und sieben kritische Sicherheitslücken.

    Microsoft hat 51 Sicherheitslücken in seinem geplanten August-Patchdienst-Update gepatcht, darunter sieben kritische Fehler, zwei Probleme, die öffentlich bekannt waren, aber bisher nicht gepatcht wurden, und ein Zero-Day-Problem, das bereits in freier Wildbahn ausgenutzt wurde.

    Besonders erwähnenswert sind 17 Schwachstellen, die eine Erhöhung der Rechte ermöglichen (EoP), 13 RCE-Probleme (Remote Code Execution), acht Schwachstellen, die Informationen preisgeben, und zwei DoS-Fehler (Denial of Service).

    Das Update enthält außerdem Patches für drei weitere Print-Spooler-Fehler, die aus der PrintNightmare-Saga bekannt sind.

    “Glücklicherweise war es ein leichterer Monat als sonst”, sagte Eric Feldman, Senior Product Marketing Manager bei Automox, in einer Patch Tuesday-Analyse des Herstellers. “Im Vergleich zum Juli bedeutet dies einen Rückgang der Schwachstellen um 56 Prozent und im Durchschnitt 33 Prozent weniger Schwachstellen für jeden Monat in diesem Jahr. Auch bei den kritischen Schwachstellen haben wir in diesem Monat einen ähnlichen Rückgang festgestellt, nämlich 30 Prozent weniger im Vergleich zum Monatsdurchschnitt.”

    Kritische Sicherheitslücken in Windows

    Die sieben kritischen Sicherheitslücken, die im August behoben wurden, sind folgende:

    • CVE-2021-26424 – Windows TCP/IP RCE-Schwachstelle
    • CVE-2021-26432 – Windows Services für NFS ONCRPC XDR-Treiber RCE-Sicherheitslücke
    • CVE-2021-34480 – Sicherheitsanfälligkeit der Skripting-Engine für Speicherkorruption
    • CVE-2021-34530 – RCE-Schwachstelle in der Windows-Grafikkomponente
    • CVE-2021-34534 – Windows MSHTML-Plattform RCE-Schwachstelle
    • CVE-2021-34535 – Remote Desktop Client RCE-Schwachstelle
    • CVE-2021-36936 – Windows Print Spooler RCE-Sicherheitslücke

    Der als CVE-2021-26424 verfolgte Fehler existiert im TCP/IP-Protokollstapel, der in Windows 7 und neueren Microsoft-Betriebssystemen, einschließlich Servern, identifiziert wurde.

    “Trotz seines CVSS-Ratings von 9.9 könnte sich dieser Fehler als trivial erweisen, aber er ist dennoch faszinierend”, so Dustin Childs von Trend Micros Zero Day Initiative (ZDI) in seiner Analyse vom Dienstag. “Ein Angreifer auf einem Gast-Hyper-V-Betriebssystem kann Code auf dem Host-Hyper-V-Server ausführen, indem er einen speziell gestalteten IPv6-Ping sendet. Damit fällt die Schwachstelle nicht in die Kategorie der Wurmangriffe. Dennoch würde ein erfolgreicher Angriff es dem Gastbetriebssystem ermöglichen, den Hyper-V-Host vollständig zu übernehmen. Auch wenn es sich nicht um einen Wurm handelt, ist es doch interessant zu sehen, wie neue Fehler in neuen Szenarien in Protokollen gefunden werden, die schon seit Jahren bekannt sind.”

    Der nächste Fehler, CVE-2021-26432 in den Windows-Diensten, ist laut dem Microsoft-Bericht aufgrund seiner geringen Komplexität wahrscheinlicher auszunutzen; er erfordert keine Privilegien oder Benutzerinteraktion, um ihn auszunutzen, aber Microsoft gab keine weiteren Details bekannt.

    “Dies könnte in die Kategorie ‘verwurmbar’ fallen, zumindest zwischen Servern mit installiertem NFS, insbesondere da der Open Network Computing Remote Procedure Call (ONCRPC) aus einer External Data Representation (XDR) Runtime besteht, die auf der Winsock Kernel (WSK) Schnittstelle aufbaut”, so Childs. “Das klingt auf jeden Fall nach erhöhtem Code für einen abhörenden Netzwerkdienst. Ignorieren Sie diesen Patch nicht.”

    Aleks Haugom, Product Marketing Manager bei Automox, fügte hinzu: “Die Ausnutzung führt zu einem vollständigen Verlust der Vertraulichkeit auf allen Geräten, die von derselben Sicherheitsinstanz verwaltet werden. Darüber hinaus können Angreifer die Lücke für Denial-of-Service-Attacken oder zur böswilligen Veränderung von Dateien nutzen. Bislang wurden weder von Microsoft noch von dem Sicherheitsforscher (Liubenjin vom Codesafe Team von Legendsec bei der Qi’anxin Group), der diese Schwachstelle entdeckt hat, weitere Einzelheiten bekannt gegeben. Angesichts der weitreichenden potenziellen Auswirkungen, der Einstufung als ‘Exploitation More Likely’ und der offensichtlichen Geheimhaltung sollte das Patching so schnell wie möglich abgeschlossen werden.”

    In der Zwischenzeit entsteht der Memory-Corruption-Bug (CVE-2021-34480) durch die Art und Weise, wie die Skripting-Engine Objekte im Speicher handhabt, und er ermöglicht ebenfalls RCE. Mit Hilfe eines webbasierten Angriffs oder einer bösartigen Datei, z. B. einer bösartigen Landing Page oder einer Phishing-E-Mail, können Angreifer diese Sicherheitslücke nutzen, um die Kontrolle über ein betroffenes System zu übernehmen, Programme zu installieren, Daten einzusehen oder zu ändern oder neue Benutzerkonten mit vollen Benutzerrechten zu erstellen.

    “CVE-2021-34480 sollte ebenfalls eine Priorität sein”, sagte Kevin Breen, Direktor für Cyber-Bedrohungsforschung bei Immersive Labs, gegenüber Threatpost. “Mit einem CVSS-Wert von 6,8 ist diese Sicherheitslücke zwar niedrig, wurde aber von Microsoft als ‘Exploitation More Likely’ (Ausnutzung wahrscheinlicher) eingestuft, da es sich um einen Angriffstyp handelt, der häufig verwendet wird, um die Erfolgsquote von Spear-Phishing-Angriffen zu erhöhen, um sich Zugang zum Netzwerk zu verschaffen. Einfach, aber effektiv.”

    Der Fehler in der Windows-Grafikkomponente (CVE-2021-34530) ermöglicht es Angreifern laut Microsoft, aus der Ferne bösartigen Code im Kontext des aktuellen Benutzers auszuführen, wenn es ihnen gelingt, ein Ziel durch Social Engineering zum Öffnen einer speziell gestalteten Datei zu bewegen.

    Ein weiterer Fehler besteht in der Windows MSHTML-Plattform, auch bekannt als Trident (CVE-2021-34534). Trident ist die Rendering-Engine (mshtml.dll), die von Internet Explorer verwendet wird. Der Fehler betrifft viele Windows 10 Versionen (1607, 1809,1909, 2004, 20H2, 21H1) sowie Windows Server 2016 und 2019.

    Obwohl er potenziell eine große Anzahl von Nutzern betrifft, ist die Ausnutzung nicht trivial.

    “Um die Sicherheitslücke auszunutzen, müsste ein Bedrohungsakteur einen hochkomplexen Angriff mit Benutzerinteraktion durchführen – was bei den heutigen hochentwickelten Angreifern durchaus möglich ist”, so Peter Pflaster, Technical Product Marketing Manager bei Automox.

    Der als CVE-2021-34535 verfolgte Fehler betrifft den Microsoft Remote Desktop Client, Microsofts nahezu allgegenwärtiges Dienstprogramm für die Verbindung mit entfernten PCs.

    “Angesichts der heutigen hochgradig verstreuten Belegschaft sollte CVE-2021-34535, eine RCE-Schwachstelle in Remote Desktop Clients, ein vorrangiger Patch sein”, so Breen. “Angreifer nutzen den RDP-Zugang zunehmend als Speerspitze, um sich Zugang zum Netzwerk zu verschaffen, und kombinieren ihn oft mit der Ausweitung von Berechtigungen, um sich seitlich zu bewegen. Diese Methoden können sehr wirkungsvoll sein, da sie es dem Angreifer ermöglichen, sich im Netzwerk auf die gleiche Weise zu authentifizieren wie ein Benutzer, was die Entdeckung erschwert.

    Laut Childs ist dieser Fehler nicht so gefährlich wie BlueKeep, der auch RDP betraf.

    “Bevor Sie jetzt an BlueKeep denken: Dieser Fehler betrifft den RDP-Client und nicht den RDP-Server”, sagte er. “Der CVSS 9.9-Fehler ist jedoch nicht zu ignorieren. Ein Angreifer kann ein System übernehmen, wenn es ihm gelingt, einen betroffenen RDP-Client dazu zu bringen, sich mit einem von ihm kontrollierten RDP-Server zu verbinden. Auf Hyper-V-Servern könnte ein bösartiges Programm, das in einer Gast-VM ausgeführt wird, ein Guest-to-Host-RCE auslösen, indem es diese Schwachstelle im Hyper-V Viewer ausnutzt. Dies ist das wahrscheinlichere Szenario und der Grund, warum Sie diesen Patch schnell testen und bereitstellen sollten.”

    Windows-Druckspooler-Fehler – erneut

    Der letzte kritische Fehler ist CVE-2021-36936, ein Windows Print Spooler RCE-Fehler, der als öffentlich bekannt gelistet ist.

    Print Spooler sorgte letzten Monat für Schlagzeilen, als Microsoft eine vermeintlich geringfügige Schwachstelle in diesem Dienst (CVE-2021-1675) behoben hat, die zu einer Erhöhung der Rechte führt. Die Auflistung wurde jedoch später in der Woche aktualisiert, nachdem Forscher von Tencent und NSFOCUS TIANJI Lab herausgefunden hatten, dass die Schwachstelle für RCE genutzt werden kann, was einen neuen Patch erforderte.

    Außerdem wurde ein zweiter Fehler entdeckt, der PrintNightmare ähnelt (CVE-2021-34527); und ein dritter, ein EoP-Problem (CVE-2021-34481).

    “Ein weiterer Monat, ein weiterer Remote-Code-Ausführungsfehler im Print Spooler”, so Childs vom ZDI. “Dieser Fehler ist als öffentlich bekannt gelistet, aber es ist nicht klar, ob es sich um eine Variante von PrintNightmare oder um eine eigenständige Schwachstelle handelt. Es gibt eine ganze Reihe von Print-Spooler-Fehlern, die man im Auge behalten muss. In jedem Fall können Angreifer diesen Fehler nutzen, um Code auf den betroffenen Systemen auszuführen. Microsoft gibt an, dass niedrige Berechtigungen erforderlich sind, so dass diese Schwachstelle in die Kategorie “nicht schädlich” fällt, aber Sie sollten dennoch das Testen und die Bereitstellung dieses als kritisch eingestuften Fehlers priorisieren.

    Die kritische Sicherheitslücke ist nur eines von drei Print Spooler-Problemen in der August-Patch Tuesday-Version.

    “Das Gespenst des PrintNightmare spukt auch an diesem Patch Tuesday mit drei weiteren Druckspooler-Schwachstellen, CVE-2021-36947, CVE-2021-36936 und CVE-2021-34481”, so Breen. “Alle drei sind als RCE über das Netzwerk aufgeführt und erfordern einen geringen Zugriff, ähnlich wie PrintNightmare. Microsoft hat diese als ‘Exploitation More Likely’ (Ausnutzung wahrscheinlicher) gekennzeichnet, was, wenn man sich an der bisherigen Geschwindigkeit der Veröffentlichung von POC-Code orientiert, sicherlich zutrifft.”

    RCE-Zero-Day im Windows Update Medic Service

    Der aktiv ausgenutzte Fehler wird als CVE-2021-36948 verfolgt und ist als wichtig eingestuft; er könnte den Weg für RCE über den Windows Update Medic Service in Windows 10 und Server 2019 und neueren Betriebssystemen ebnen.

    “Update Medic ist ein neuer Dienst, der es Nutzern ermöglicht, Windows Update-Komponenten aus einem beschädigten Zustand zu reparieren, sodass das Gerät weiterhin Updates empfangen kann”, erklärt Jay Goodman von Automox. “Der Exploit ist wenig komplex und kann ohne Benutzerinteraktion ausgenutzt werden, was diese Schwachstelle für Angreifer zu einem leicht zugänglichen Werkzeugkasten macht.”

    Breen von Immersive fügte hinzu: “CVE-2021-36948 ist eine Schwachstelle für die Ausweitung von Privilegien – der Eckpfeiler moderner Angriffe, da sie Angreifern die Zugriffsebene ermöglichen, um Dinge wie das Verbergen ihrer Spuren und das Erstellen von Benutzerkonten zu tun. Im Falle von Ransomware-Angriffen wurden sie auch genutzt, um maximalen Schaden anzurichten.”

    Obwohl der Fehler nach Berichten von Microsoft in freier Wildbahn ausgenutzt wird, scheint die Aktivität begrenzt oder gezielt zu sein: “Wir haben bei Kenna Security derzeit keine Beweise dafür gesehen”, sagte Jerry Gamblin, Leiter der Sicherheitsforschung bei Kenna Security (jetzt Teil von Cisco) gegenüber Threatpost.

    Öffentlich bekannter Windows LSA Spoofing Bug

    Der zweite öffentlich bekannte Fehler (nach dem bereits behandelten Print Spooler-Problem) wird unter der Bezeichnung CVE-2021-36942 geführt und ist eine als wichtig eingestufte Windows LSA (Local Security Authority) Spoofing-Schwachstelle.

    “Sie behebt einen Fehler, der dazu verwendet werden könnte, NTLM-Hashes von einem Domänencontroller oder einem anderen anfälligen Host zu stehlen”, sagte Breen von Immersive. “Diese Art von Angriffen ist bekannt für Lateral Movement und Privilegienerweiterung, wie kürzlich ein neuer Exploit namens PetitPotam gezeigt hat. Es handelt sich dabei um einen Post-Intrusion-Exploit – weiter unten in der Angriffskette – aber dennoch ein nützliches Werkzeug für Angreifer.”

    Childs bot ein wenig Kontext rund um den Fehler.

    “Microsoft hat diesen Patch veröffentlicht, um den Schutz vor NTLM-Relay-Angriffen zu erhöhen, indem dieses Update die LSARPC-Schnittstelle blockiert”, sagte er. “Dies wird sich auf einige Systeme auswirken, insbesondere Windows Server 2008 SP2, die die EFS-API-Funktion OpenEncryptedFileRawA verwenden. Sie sollten dies zuerst auf Ihre Domänencontroller anwenden und die zusätzlichen Anweisungen in ADV210003 und KB5005413 befolgen. Dieses Problem besteht seit 2009, und wahrscheinlich ist dies nicht das letzte Mal, dass wir von diesem hartnäckigen Problem hören werden.”

    Der nächste Patch Tuesday von Microsoft findet am 14. September statt.

    Machen Sie sich Sorgen, woher der nächste Angriff kommen könnte? Wir halten Ihnen den Rücken frei. Melden Sie sich JETZT für unser kommendes Live-Webinar “How to Think Like a Threat Actor” in Zusammenarbeit mit Uptycs am 17. August um 11 AM EST an und finden Sie heraus, wo genau Angreifer es auf Sie abgesehen haben und wie Sie dort zuerst ankommen. Schließen Sie sich der Moderatorin Becky Bracken und den Uptycs-Forschern Amit Malik und Ashwin Vamshi am 17. August um 11 Uhr EST für diese LIVE-Diskussion an.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com