Sicherheitslücken/Schadsoftware, Hacks (Dez. 2024): Windows, 7-Zip, Ivanti etc.

Noch ein kleiner Sammelbeitrag zu Schwachstellen in diversen Produkten wie Windows, Ivanti Cloud-Apps, 7-Zip, Windows 9-Days, Dell Software, und mehr. Manche Schwachstellen sind gepatcht, für andere gibt es ein Exploit oder sie werden ausgenutzt. Weiterhin konnten Sicherheitsforscher die MFA für Azure knacken. Hier ein Überblick über Sicherheitsthemen, die ich nicht separat im Blog aufgegriffen habe.

Windows 0-Day CVE-2024-38193 wird ausgenutzt

Zum 13. August 2024 hat Microsoft die 0-day-Schwachstelle CVE-2024-38193 im Treiber afd.sys mit einem Sicherheitsupdate geschlossen. Dort hieß es vage, dass diese Schwachstelle in freier Wildbahn ausgenutzt werde. Im Artikel Windows: 0-day-Schwachstelle CVE-2024-38193 wurde durch Lazarus angegriffen hatte ich berichtet, dass Cyberangreifer der in Nordkorea verorteten Lazarus-Gruppe auf diese Schwachstelle aufsetzen.

In obigem Tweet weist HackManac darauf hin, dass ein Proof of Concept (PoC) für CVE-2024-38193 öffentlich geworden sei. Security Online hat in diesem Artikel einige Details zusammen gestellt.

Task-Scheduler Schwachstelle CVE-2024-49039

Die Windows Task Scheduler Elevation of Privilege-Schwachstelle CVE-2024-49039 wurde mit einem CVEv3 Score 8.8 als important eingestuft (Microsoft Security Update Summary (12. November 2024)). Ein Angreifer mit lokalem Zugriff auf ein anfälliges System könnte diese Sicherheitslücke durch eine speziell gestaltete Anwendung ausnutzen. Bei erfolgreicher Ausnutzung ließe sich auf Ressourcen zugreifen, die und Code, z. B. RPC-Funktionen (Remote Procedure Call), ausführen. Nach Angaben von Microsoft wurde CVE-2024-49039 in freier Wildbahn als Zero-Day ausgenutzt.

Obiger Tweet weist darauf hin, dass inzwischen eine Exploit-Code für die Schwachstelle veröffentlicht wurde. Security Online fasst in diesem Artikel die Details zusammen.

Ivanti schließt Schwachstellen

Die US CISA weist in nachfolgendem Tweet darauf hin, dass der Anbieter Ivanti Schwachstellen in seiner Cloud Service Application geschlossen habe. Der CISA-Artikel Ivanti Releases Security Updates for Multiple Products vom 10.12.2024 enthält Details zu den Empfehlungen.

Die Kollegen von Bleeping Computer haben die Ivanti-Schwachstellen in diesem Artikel thematisiert.

Kritische 7-Zip-Schwachstelle CVE-2024-11477

In der Software 7-Zip wurde eine kritische Schwachstelle gefunden, die Angreifern gemäß nachfolgendem Tweet die Ausführung eines beliebigen Codes ermöglicht.

Blog-Leser Adrian hat mir diese Woche ebenfalls einen Link zur Schwachstelle CVE-2024-11477 (CVSS Wert 7.8, hoch), die am 22.11.2024 von der Zero Day Initiative gemeldet wurde, geschickt. Die Schwachstelle bezieht sich auf einen Integer Underflow in der 7-Zip Zstandard Decompression, was Remote-Angreifern die Ausführung von beliebigem Code auf betroffenen Installationen von 7-Zip ermöglicht. Um diese Sicherheitslücke auszunutzen, ist eine Interaktion mit dieser Bibliothek erforderlich. Aber die Angriffsvektoren können je nach Implementierung variieren.

Der spezifische Fehler besteht in der Implementierung der Zstandard Dekompression. Das Problem resultiert aus dem Fehlen einer ordnungsgemäßen Validierung der vom Benutzer bereitgestellten Daten, was zu einem Integer-Unterlauf vor dem Schreiben in den Speicher führen kann. Ein Angreifer kann diese Schwachstelle ausnutzen, um Code im Kontext des aktuellen Prozesses auszuführen. Die Schwachstelle ist in 7-Zip Version 24.07 beseitigt worden.

US-Medizin-Produkte Hersteller Artivion gehackt

Die Artivion, Inc. vertreibt kryogenisch konserviertes menschliches Gewebe für Herz- und Gefäßtransplantationen und entwickelt medizinische Geräte. Zu den Produkten des Unternehmens gehören menschliche Herzklappen, die behandelt werden, um überschüssiges Zellmaterial und Antigene zu entfernen, sowie der chirurgische Klebstoff BioGlue. Das Unternehmen wurde Opfer eines Cyberangriffs, wie ich nachfolgendem Tweet entnommen habe.

Gemäß diesem Artikel von The Recorded Media hat das in Atlanta ansässige Unternehmen am 9.12.2024 Dokumente über einen Cyberangriff vom 21. November 2024 bei der US-Börsenaufsichtsbehörde (SEC) eingereicht und warnte, dass der Vorfall Auswirkungen auf seine Geschäftstätigkeit habe. Das Unternehmen war gezwungen, einige Systeme vom Netz zu nehmen, und es wurden Dateien verschlüsselt sowie Dokumente abgezogen.

AuthQuake: Microsoft Azure MFA geknackt

Dann gab es noch die Meldung, dass es Sicherheitsforschern von Oasis gelungen ist, die Verschlüsselung der Microsoft Azure Multifaktor-Authentifizierung (MFA) zu knacken. Der nachfolgende Tweet weist auf das Thema und den Artikel Oasis Security Research Team Discovers Microsoft Azure MFA Bypass von Oasis.

Angreifer wären auf Grund der Implementierung der Multi-Faktor-Authentifizierung (MFA) von Microsoft bei Azure in der Lage, diese zu umgehen und unbefugten Zugriff auf das ein Benutzerkonto zu erhalten. Das betraf auch Konten für Outlook, OneDrive, Teams-Chats, Azure Cloud und mehr.

Wenn Benutzer zum ersten Mal auf die Anmeldeseite gelangen, wird ihnen eine Sitzungskennung zugewiesen. Dabei muss der Nutzer sich durch Eingabe einer gültigen E-Mail und eines Passworts identifizieren, wird aber aufgefordert, sich per MFA-Methode zu authentifizieren. Microsoft unterstützt eine Reihe von MFA-Methoden, darunter einen Verifizierungscode (TOTP) aus einer Anwendung (Microsoft Auth-App).

Bei Verwendung einer speziellen MFA-Anmeldung geben die Benutzer einen 6-stelligen Code aus einer Anwendung zur Authentifizierung ein. Für eine einzelne Sitzung waren zwar bis zu 10 Fehlversuche zulässig. Die Forscher erzeugten einfach parallel neue Sitzungen und generierten Codes. So waren sie in der Lage, die möglichen Kombinationen abzuprüfen und binnen einer Stunde den notwendigen Authentifizierungscode zu generieren. Der Benutzer des Kontos wurde nicht über diese fehlgeschlagenen Anmeldeversuche informiert.

Die Forscher meldeten die Schwachstelle an Microsoft, die die Einstellungen für das Rate-Limit für diese Zugriffe anpassten. Diese Art Angriff ist nun wohl nicht mehr möglich.

Microsoft Aktivierung geknackt?

Bolko wies kürzlich darauf hin, dass das Aktivierungssystem bzw. das Lizenz-Schlüssel-System von Microsoft angeblich geknackt wurde. Er bezog sich auf nachfolgenden Tweet eines Nutzers, TechSpot berichtet hier.

Das betreffe von Vista über Windows 10 und 11 bis Server 2025 alle Betriebssysteme von Microsoft inklusive die ESU-Schlüssel, schreib Bolko. Für Office gilt es ebenfalls (Ausnahme ist Microsoft Office 365 wegen monatlichem Abo). Laut Bolko muss ESU für Windows 10 nicht mehr (wie bei ByPassESU) umgangen werden. Es sei auch keine Datei zu installieren oder etwas zu patchen, eine Netzwerkverbindung oder (alte Methoden wie KMS oder Hardware-ID (HWID) oder ohook-Activation oder Windows-Loader) seien nicht mehr erforderlich.

Windows oder Office könne permanent aktiviert werden, was bei Produkten, wo der Aktivierungsserver abgeschaltet ist, helfen würde. Bolko fragt: "Muss Microsoft jetzt das Schlüsselsystem in die Tonne kloppen und neu schreiben oder wird der Hack totgeschwiegen, ignoriert, toleriert?"

Ich denke, es wird nicht viel passieren. Wer unbedingt sein Produkt über einen Crack aktivieren wollte, konnte schon entsprechende Lösungen finden und darauf zurückgreifen. Im Firmenumfeld wird aber eine Lizenzierung benötigt, da wird man bei einem Audit nicht ein solches Risiko einer gecrackten Version eingehen. Zudem wird in diesem Bereich mit Volumenlizenzen, Abo-Lösungen bzw. Software-Subscriptions gearbeitet.

Im Privatbereich wird Windows über die Hersteller lizenziert, Upgrades sind seit Jahren kostenlos – und zur Monetarisierung setzt Microsoft zunehmend auf Abonnements. Aber mal abwarten, was sich diesbezüglich entwickelt – ich tippe eher auf "gehen sie weiter, es gibt nichts zu sehen".

Dell Sicherheitsupdates

Hersteller Dell hat die Woche eine Reihe Sicherheitsupdates für Treiber, Firmware etc. veröffentlich. heise hat in diesem Artikel die Details zusammen getragen.

Gab es einen Office CrowdStrike-Crash?

Ich stelle mal einen älteren Tweet hier im Blog ein, der noch bei mir schlummerte. Laut diesem Artikel sind Nutzer, die die Sicherheitslösung von CrowdStrike verwenden, nach einem Upgrade in Windows 11 24H2 in Probleme gelaufen. CrowdStrike ließ Microsoft Office abstürzen. War da jemand aus der Leserschaft betroffen?