Jetzt bewerben: Haben Sie Lust auf neue Herausforderungen als Vertriebsmitarbeiter*in?

Blog

IT-News der Woche 13.8-19.8.23

Sicherheit

IT-News der Woche 13.8-19.8.23

Inhaltsverzeichnis

  • Microsoft: Security-Update legt deutsche Exchange-Server lahm​
  • Patchday: Kritische Schadcode-Lücken bedrohen Android 11, 12 und 13
  • Patchday: Angreifer umgehen Schutzmechanismus von Windows

Microsoft: Security-Update legt deutsche Exchange-Server lahm​

Microsoft hat Sicherheits-Updates (SU) für Exchange-Server-Version 2016 und 2019 veröffentlicht. Die SUs sollen mehrere Schwachstellen in der Mail-Server-Software schließen. Das Problem: Offenbar scheitert der Prozess vor allem bei deutschsprachigen Exchange-Server-Instanzen, das Update legt die Systeme sogar vorübergehend lahm. Microsoft kann das nicht nachvollziehen.

Verfügbar sind die SUs für Exchange Server 2019 auf den Cumulative-Update-Stufen CU12 und CU13, sowie für CU23 bei Exchange Server 2016. Auch wenn derzeit kein aktives Ausnutzen der von „Sicherheitspartnern gemeldeten und im Rahmen interner Prozesse von Microsoft gefundenen“ Schwachstellen bekannt sei, rät Microsoft Admins zur unverzüglichen Installation. Welche Schwachstellen genau gemeint sind, verrät das Unternehmen indes nicht und verweist lediglich auf den Security Update Guide. Exchange-Online-Installation seien vor den Schwachstellen bereits geschützt, Admins bräuchten keine weiteren Schritte einzuleiten.

Kurz nach der Veröffentlichung der SUs berichteten allerdings erste Admins in den Kommentaren davon, dass das Update bei ihnen nicht installierbar sei. Teilweise zwinge es sogar den jeweiligen Exchange-Server zunächst in die Knie, weil es zentrale Exchange-Dienste deaktiviere, die anschließend manuell wieder resettet werden müssen. Die Berichte häuften sich seit gestern. Zudem zeichnete sich ab, dass vor allem deutsche, beziehungsweise deutschsprachige Server betroffen seien. Vereinzelt berichteten nun aber auch französische Admins von den Problemen, während US-Admins keine Fehlermeldungen beobachteten.

Die Ursache des Problems im SU ist bis dato ungeklärt, laut Microsoft-Mitarbeiter Nino Bilic könne das Team den Fehler derzeit nicht nachvollziehen. Die Log-Files der Betroffenen weisen aber darauf hin, dass das gestern veröffentlichte Update zuvor installierte SUs nicht richtig erkennt. Ein in den Kommentaren verlinktes Skript nimmt Admins zwar die notwendige Rekonfiguration der Systeme und Dienste ab, sodass sich die betroffenen Server wieder starten lassen. Allerdings hilft auch das von User bloodking veröffentlichte Skript nicht, das eigentlich notwendige Sicherheits-Update zu installieren.

Patchday: Kritische Schadcode-Lücken bedrohen Android 11, 12 und 13

Angreifer können Android vielfältig attackieren und Geräte via DoS-Attacke lahmlegen oder sogar Schadcode ausführen. Einige Hersteller haben nun für bestimmte Smartphones und Tablets wichtige Sicherheitspatches veröffentlicht.

In einem Beitrag warnt Google explizit vor einer „kritischen“ System-Lücke (CVE-2023-21273). Davon sind Google zufolge Android 11, 12, 12L und 13 betroffen. Angreifer sollen dafür keine weiteren Ausführungsberechtigungen benötigen. Wie Attacken im Detail aussehen könnten, ist derzeit unbekannt. Im System gibt es noch weitere Schwachstellen und Angreifer können unberechtigt auf Informationen zugreifen und sich höhere Nutzerrechte aneignen.

Eine „kritische“ Schwachstelle (CVE-2023-21282) betrifft das Media Framework und könnte ebenfalls Schadcode auf Geräte lassen. Attacken sollen aus der Ferne möglich sein. Im Framework haben die Entwickler 17 Sicherheitslücken geschlossen, die alle mit dem Bedrohungsgrad „hoch“ eingestuft sind.

Der Kernel ist ebenfalls von einer „kritischen“ Lücke (CVE-2023-21264) betroffen. Hier können Angreifer für höhere Nutzerrechte an der KVM-Subkomponente ansetzen. Arm, MediaTek und Qualcomm haben Lücken in weiteren, sie betreffende Subkomponenten wie Mali geschlossen.

Wer ein im Support befindliches Android-Gerät besitzt, sollte sicherstellen, dass das Patch Level 2023-08-01 oder 2023-08-05 installiert ist. Neben Google stellen noch weitere Hersteller wie LG und Samsung für einige Modelle monatliche Sicherheitsupdates zum Download bereit (siehe Kasten).

Aus einem weiteren Beitrag geht hervor, dass Googles Pixel-Serie zusätzliche Sicherheitsupdates bekommen hat. So wurde etwa die WLAN-Komponente abgesichert. Google stuft die Bedrohung dieser Schwachstellen als „moderat“ ein.

Patchday: Angreifer umgehen Schutzmechanismus von Windows

Derzeit attackieren Angreifer Windows und kompromittieren Systeme mit Schadcode. Die Lücke ist seit vergangenem Monat bekannt – ein Sicherheitsupdate gibt es aber erst jetzt. Außerdem hat Microsoft noch wichtige Patches veröffentlicht, unter anderem für Azure, Edge und SharePoint Server.

Immer mehr Nutzer berichten von Problemen mit den aktuellen Exchange-Updates. Das Problem soll primär bei deutschen Versionen auftauchen. Mittlerweile empfiehlt Microsoft Nutzern mit diesen Versionen das Update vorerst nicht zu installieren.

Die ausgenutzte Lücke (CVE-2023-36884 „hoch„) betrifft Windows Search. In welchem Umfang die Attacken ablaufen, ist zurzeit nicht bekannt. Am Patchday im Juli tauchte sie im Kontext von Office auf. Damit eine Attacke erfolgreich ist, müssen Opfer aber mitspielen und etwa auf einen von Angreifern präparierten Link in einem Chat oder einer E-Mail klicken.

Geschieht das, wird der Schutzmechanismus Mark of the Web (MOTW) deaktiviert. Der sorgt dafür, dass aus dem Internet heruntergeladene Dateien als solche markiert werden und etwa in Office im geschützten Modus geöffnet werden. Diese Vorgehensweise blockiert etwa die Ausführung von Makros. Ohne MOTW kann nach dem Öffnen eines manipulierten Dokuments Schadcode auf Systeme gelangen. Der Makro-Weg ist für die Verbreitung von Erpressungstrojanern sehr beliebt.

Als „kritisch“ gelten drei Lücken (CVE-2023-35385CVE-2023-36910CVE-2023-3691) in Microsofts Netzwerkprotokoll Message Queuing. An der Schwachstelle sollen Angreifer ohne Authentifizierung aus der Ferne ansetzen können, um Schadcode im Kontext des Protokolls auf einem Server auszuführen. Wie eine Attacken ablaufen könnte, ist bislang nicht bekannt.

Weitere Schadcode-Lücken betreffen Teams (CVE-2023-29328 „hoch„, CVE-2023-29330 „hoch„). Für so eine Attacke müssen Angreifer Opfer aber dazu bringen, in eine von ihnen erstellte Teams-Gruppe beizutreten.

Außerdem können Angreifer noch Exchange Server ins Visier nehmen und sich höhere Nutzerrechte aneignen oder sogar Schadcode ausführen. Office Visio ist ebenfalls für Schadcode-Attacken anfällig. Auf SharePoint Servern ist das Leaken von Informationen möglich.

Weiterführende Informationen zu an diesem Patchday geschlossenen Sicherheitslücken listet Microsoft in seinem Security Update Guide auf.

Leave your thought here

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert