Microsoft patcht kritische Schwachstellen in Windows August-Updates
Microsoft hat die August-Updates für Windows Update veröffentlicht. Diese beheben mehrere Schwachstellen, die eine Remote-Ausführung von Code als Administrator ohne Authentifizierung ermöglichen. Obwohl sie scheinbar optionale Funktionen betreffen, stellen sie unabhängig vom Szenario ein Risiko dar.
14.08.2024 19:18
MSMQ und LPD
Die erste Schwachstelle auf der Liste ist CVE-2024-38140, die eine Remote-Codeausführung auf Dienstebene durch Missbrauch des Dienstes Pragmatic General Multicast (PGM) ermöglicht. Der RMCAST-Protokolltreiber erwies sich erneut als anfällig, da PGM nur aktiv ist, wenn der MSMQ-Dienst in Windows verwendet wird, und dieser ist standardmäßig deaktiviert. MSMQ taucht regelmäßig auf der Liste der Schwachstellen auf.
Das zweite Problem wurde im LPD-Druckdienst identifiziert. Die Schwachstelle CVE-2024-38199 ermöglicht eine Remote-Codeausführung ohne vorherige Berechtigungen. LPD ist, ähnlich wie MSMQ, standardmäßig nicht installiert und seit 12 Jahren als Kandidat für die Entfernung aus dem System markiert. Aufgrund von Kompatibilitätsgründen ist LPD jedoch immer noch im System lauffähig, auch in der neuesten Version 24H2.
IPv6
Eine weitere schwerwiegende Schwachstelle befindet sich in der Unterstützung des IPv6-Protokolls (CVE-2024-38063). Das Senden entsprechend verzerrter IPv6-Pakete an Windows ermöglicht eine Remote-Codeausführung auf dem entfernten System. Selbst wenn im System nichts auf Eingaben wartet, schützt die systemeigene Firewall nicht vor der Schwachstelle, da diese in der Netzwerkschnittstelle selbst liegt.
Das ist ein sehr ernstes Problem, da Schwachstellen typischerweise Dienste betreffen und nicht den Netzwerkschnittstellenmechanismus selbst. Es ist wichtig zu beachten, dass die Unterstützung für IPv6 standardmäßig für jede Netzwerkverbindung aktiviert ist, auch wenn es scheinbar nicht verwendet wird. Um IPv6 wirklich zu deaktivieren, muss es in den Verbindungseigenschaften manuell ausgeschaltet werden.
Hyper-V
Die unzureichend dokumentierte Schwachstelle CVE-2024-38160 steht in Verbindung mit der Flucht aus der virtuellen Maschine. Laut Zusammenfassung ist es möglich, mit anderen Maschinen zu interagieren. Microsoft empfiehlt, Hyper-V und „abhängige Dienste“ zu deaktivieren. Es stellt sich jedoch heraus, dass eine der abhängigen Funktionen von Hyper-V VBS ist, also die Kernisolation.
Dies war einst eine optionale Funktion und ist seit der Veröffentlichung von Windows 11 eine obligatorische Sicherheitsfunktion auf Basis der Virtualisierung. Die Unterstützung von VBS war einer der Hauptgründe für die erhöhten Systemanforderungen der Elfer (erfordert kompatible Treiber und Prozessoren). Auf älterer Hardware funktioniert das System, jedoch im Windows 10-Modus ohne Kernisolation.
Inzwischen empfiehlt Microsoft zur Erhöhung der Sicherheit, diese Funktion zu deaktivieren. Tatsächlich betrifft die Schwachstelle jedoch nur Windows Server 2016 (und Windows 10 Enterprise LTSC 2016), wo VBS standardmäßig nie aktiviert war. Neuere Versionen, einschließlich Windows 11, sind nicht anfällig und das erwähnte Problem betrifft sie nicht. Das ist selten.
Die Sicherheitsbulletins vom August sind auch reicher an Kuriositäten als sonst. Dazu gehören Informationen über Schwachstellen im GRUB2-Paket des Red Hat Enterprise Linux-Systems (aufgrund eines ungewöhnlichen Ansatzes zur Risikoanalyse in Bezug auf Secure Boot) sowie die Minderung eines komplexen Angriffs mit Windows Update. Die Schwachstelle mit dem Namen „Windows Downdate“ ermöglicht die Remote-Installation älterer, anfälliger Versionen von Sicherheitsupdates im System zur späteren Ausnutzung.
Die neueste Aktualisierung für Windows 11 wiegt 733 Megabyte. Für Windows 10 sind es 650 Megabyte, wobei vorherige Pakete erforderlich sind. Interessant ist, dass Windows Server 2008, dessen erweiterter Support vor 4,5 Jahren endete und dessen kostenpflichtiger Support vor 1,5 Jahren endete, immer noch Updates erhält. Das Update KB5041850 hat gerade die Version 6.0.6003.22814 des Windows Vista-Kernels vom 10. August 2024 veröffentlicht...