[English]Noch ein kleiner Nachtrag zum Juli 2024 Patchday bei Microsoft. Mit den Sicherheitsupdates hat Microsoft auch eine MSHTML Spoofing-Schwachstelle geschlossen. Es gab die Information, dass diese Schwachstelle (CVE-2024-38112) durch Malware ausgenutzt wurde und wird. Die Schwachstelle steckt in Internet Explorer-Komponenten und es gibt aktuell Zoff, weil ZDI die Sicherheitslücke als kritischer einstuft, als dies von Microsoft erfolgt ist.
Anzeige
Die MSHTML Schwachstelle CVE-2024-38112
Zuerst ein kurzer Rückblick, was die Schwachstelle aus Sicht von Microsoft betrifft. Ich hatte im Blog-Beitrag Microsoft Security Update Summary (9. Juli 2024) einige Informationen zur Schwachstelle CVE-2024-38112, basierend auf den Microsoft-Angaben, veröffentlicht. Es handelt sich um eine Windows MSHTML Platform Spoofing-Schwachstelle, die mit dem CVEv3 Score7.5 als "important" eingestuft wurde.
Microsoft gibt an, dass ein nicht authentifizierter, Remote-Angreifer diese Schwachstelle ausnutzen könnte. Er muss sein Opfer dazu bringen, eine (HTML) Datei zu öffnen. Microsoft weist darauf hin, dass ein Angreifer, um diese Schwachstelle erfolgreich auszunutzen, "zusätzliche Maßnahmen" ergreifen müsste, um "die Zielumgebung vorzubereiten".
Das Kürzel MSHTML steht für die Trident-Engine, die das HTML-Rendering im Internet Explorer übernommen hat. Der Internet Explorer ist aber doch längst aus Windows entfernt (bis auf wenige Ausnahmen) und durch den Edge-Browser ersetzt worden? Mitnichten, Microsoft hat zwar den Internet Explorer als Browser in Windows deaktiviert.
Ich hatte im Blog-Beitrag Windows 10: Deaktivierung des Internet Explorer 11 am 14. Feb. 2023 aber darauf hingewiesen, dass der Internet Explorer 11 wohl nie ganz aus Windows 10 herausgelöst werden kann. Es werden lediglich die GUI-Komponenten deaktiviert – die Trident-Engine (MSHTML) bleibt in Windows enthalten.
Anzeige
Patch im Juli 2024 und Ausnutzung
Im Juli 2024 hat Microsoft die Schwachstelle CVE-2024-38112 durch Windows-Updates gepatcht (siehe die Beitragslinks zu den Windows-Updates am Artikelende, sowie die von Microsoft aufgelisteten Patches unter der verlinkten CVE). Nach den Angaben von Microsoft wurde diese Schwachstelle als Zero-Day-Schwachstelle ausgenutzt. Aber es heißt, das Ganze sei nicht trivial.
Ich bin die Tage auf obigen Tweet von The Hacker News gestoßen, die in diesem Artikel offen legen, dass Varianten der Atlantida-Kampagne die Schwachstelle in 2024 als Teil der Void Banshee-Infektionsketten ausgenutzt haben. Die Sicherheitsforscher Peter Girnus und Aliakbar Zahravi werden so zitiert, dass die Fähigkeit von APT-Gruppen wie Void Banshee, deaktivierte Dienste wie [Internet Explorer] auszunutzen, eine erhebliche Bedrohung für Unternehmen weltweit darstellt.
Die Kollegen von Bleeping Computer haben bereits zum 10. Juli 2024 in diesem Artikel darauf hingewiesen, dass die Schwachstelle CVE-2024-38112 seit über einem Jahr in Malware-Angriffen ausgenutzt worden sei. Haifei Li von Check Point Research hab die Schwachstelle entdeckt und im Mai 2024 an Microsoft gemeldet. Im Check Point-Beitrag hier heißt es, dass die ältesten Malware-Samples, die die Schwachstelle ausnutzen, bis zum Januar 2023 reichen. Passt mal wieder.
Hat Microsoft die Schwachstelle verstanden?
Das Thema ist mir dann die Tage nochmals untergekommen, wie die Zero Day Initiative (ZDI) bezweifelt, dass die Microsoft-Entwickler das Problem überhaupt richtig erfasst haben. ZDI wirft Microsoft schlicht ein "weiteres koordiniertes Versagen bei der Veröffentlichung von Sicherheitslücken" vor, wie The Register in diesem Artikel schreibt.
Die von der Zero Day Initiative von Trend Micro im Mai gefundene und an Redmond gemeldete Sicherheitslücke sei als Spoofing-Schwachstelle klassifiziert worden. Es wurde zwar eine Ausnutzung bestätigt, aber ZDI wurde von Microsoft nicht erwähnt, heißt es. Es ist eine Sache, keine Credits zu vergeben. Aber es sieht so aus, als ob Microsoft nicht verstanden habe, was die Schwachstelle bedeutet, heißt es bei The Register.
Die Entdecker von ZDI behauptet hingegen, dass es sich um eine Remote Code Execution-Schwachstelle handelt, was wahrscheinlich eine kritischere CVE-Einstufung nach sich ziehen würde. "Sie sagen, dass das, was wir gemeldet haben, nur ein Defense-in-Depth-Fix war, aber sie sagen uns nicht, was dieser Defense-in-Depth-Fix wirklich ist", sagte Dustin Childs, Leiter der Abteilung für Bedrohungserkennung bei ZDI, in einem Exklusivinterview mit The Register. Und weiter "Ich sage das nur ungern, aber es scheint, als hätten sie wirklich keine Ahnung, was mit diesem Patch los ist", wird Childs zitiert. Details sind dem The Register-Beitrag zu entnehmen – ist alles mal wieder unschön.
Ähnliche Artikel:
Microsoft Security Update Summary (9. Juli 2024)
Patchday: Windows 10/Server-Updates (9. Juli 2024)
Patchday: Windows 11/Server 2022-Updates (9. Juli 2024)
Windows Server 2012 / R2 und Windows 7 (9. Juli 2024)
Microsoft Office Updates (9. Juli 2024)
Windows 11 Update KB5040442 verursacht Probleme mit Outlook 2021
Windows Juli 2024-Updates machen Remote Verbindungen kaputt
Windows 10/11 Updates (z.B. KB5040442) triggern Bitlocker-Abfragen (Juli 2024)
Windows Update Juli 2024: Gibt es Probleme mit Radius-Authentifizierungen?
Juli 2024-Sicherheitsupdate KB5040427 lässt Windows 10/Server LPD-Druckdienst abstürzen
Microsofts Fixes für diverse Windows-Bugs (Juli 2024)
Anzeige
> Problem kann ich bestimmten Szenarien auftreten,
> Das ist das Eine, keine Credits zu vergeben.
ergibt keinen Sinn, ansonsten danke für die Aufklärung ☺️👍
Den zweiten Satz habe ich umformuliert – die erste Textstelle finde ich nicht.
Die erste Stelle ist im Artikel "Windows 11: Microsoft fixt Bug bei nicht startender Fotos-App (17. Juli 2024)" gleich am Anfang.
Ist mir beim Querlesen aufgefallen, aber ich wollte nicht schon wieder fragen, ob es eine lange Nacht war 😅
es ist immer eine lange Nacht, muss mir das anschauen, wenn ich wieder am Rechner bin, danke.
Fun fact: Microsoft hat am gestrigen 27.08.2024 per "threat analytics report" vor dieser Lücke gewarnt. Das nenne ich mal zeitnah reagiert.