{"id":292968,"date":"2024-03-03T00:01:00","date_gmt":"2024-03-02T23:01:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=292968"},"modified":"2024-03-03T00:30:28","modified_gmt":"2024-03-02T23:30:28","slug":"microsoft-schliet-ausgenutzte-windows-0-day-schwachstelle-cve-2024-21338-sechs-monate-nach-meldung","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/03\/03\/microsoft-schliet-ausgenutzte-windows-0-day-schwachstelle-cve-2024-21338-sechs-monate-nach-meldung\/","title":{"rendered":"Microsoft schließt ausgenutzte Windows 0-day Schwachstelle CVE-2024-21338 sechs Monate nach Meldung"},"content":{"rendered":"

\"Windows\"[English<\/a>]Im Februar 2024 hat Microsoft die Schwachstelle CVE-2024-21338 im Kernel von Windows 10\/11 und diversen Windows Server-Versionen geschlossen. Super! Der Fehler an der Geschichte: Die Schwachstelle wurde von AVAST im August 2023 gemeldet, und die Schwachstelle wurde zu dieser Zeit als 0-day ausgenutzt.<\/p>\n

<\/p>\n

Februar 2024-Update schlie\u00dft CVE-2024-21338<\/h2>\n

\"\"Kleine Geschichte, wie besorgt und professionell Microsoft mit der Sicherheit seiner Windows-Nutzer umgeht. Bei der Schwachstelle CVE-2024-21338<\/a> handelt es sich um eine Windows Kernel Elevation of Privilege-Schwachstelle, CVEv3 Score 7.8. Ein Angreifer k\u00f6nnte diese Schwachstellen im Rahmen von Aktivit\u00e4ten nach der Kompromittierung ausnutzen, um die Berechtigungen auf SYSTEM zu erh\u00f6hen.<\/p>\n

Um diese Sicherheitsl\u00fccke auszunutzen, m\u00fcsste sich ein Angreifer zun\u00e4chst beim System anmelden. Ein Angreifer k\u00f6nnte dann eine speziell gestaltete Anwendung ausf\u00fchren, die die Sicherheitsl\u00fccke ausnutzt und die Kontrolle \u00fcber ein betroffenes System \u00fcbernimmt, hei\u00dft es bei Microsoft. Ich hatte im Blog-Beitrag Microsoft Security Update Summary (13. Februar 2024)<\/a> dar\u00fcber berichtet und die betreffenden Februar 2024-Updates in den am Beitragsende verlinkten Artikeln aufgef\u00fchrt.<\/p>\n

Am 28. Februar 2024 hat Microsoft dann den Beitrag zur Schwachstelle CVE-2024-21338<\/a> erneut aktualisiert und gibt an, dass die Schwachstelle ausgenutzt wurde. Soweit so normal \u2013 die Brisanz kommt ins Spiel, wenn man die Geschichte zur Meldung kennt.<\/p>\n

Avast hat es im August 2023 gemeldet<\/h2>\n

Sicherheitsforscher von AVAST sind bei Analysen darauf gesto\u00dfen, dass die Lazarus-Hackergruppe aus Nordkorea die Schwachstelle CVE-2024-21338<\/a> ausgenutzt hat, wie aus nachfolgendem Tweet<\/a> hervorgeht.<\/p>\n

\"FudModule<\/a><\/p>\n

Im Beitrag Lazarus and the FudModule Rootkit: Beyond BYOVD with an Admin-to-Kernel Zero-Day<\/a> vom 28. Februar 2024 legen die Sicherheitsforscher von AVAST die Details offen. Avast ist auf einen in freier Wildbahn ausgenutzten Admin-to-Kernel-Exploit f\u00fcr eine damals unbekannte Zero-Day-Schwachstelle im appid.sys<\/em> AppLocker-Treiber gesto\u00dfen.<\/p>\n

Die Schwachstelle wurde von der Lazarus-Gruppe ausgenutzt, um ein Lese-\/Schreib-Primitiv f\u00fcr den Windows-Kernel einzurichten. Diese Primitive erm\u00f6glichte Lazarus die direkte Manipulation von Kernel-Objekten in einer aktualisierten Version des Rootkits FudModul.<\/p>\n

AVAST dokumentiert im oben verlinkten Beitrag die vielen Details der Schwachstelle und deren Ausnutzung durch Lazarus. Die Sicherheitsl\u00fccke besteht seit Windows 10 1703 (RS2\/15063), als der 0x22A018 IOCTL-Handler erstmals implementiert wurde. \u00c4ltere Builds sind nicht betroffen, da ihnen die Unterst\u00fctzung f\u00fcr die verwundbare IOCTL fehlt.<\/p>\n

Interessanterweise wird der Lazarus-Exploit die Schwachstelle nicht aktiviert, wenn er auf eine Build \u00e4lter als Windows 10 1809 (RS5\/17763) st\u00f6\u00dft, und ignoriert dabei drei vollkommen anf\u00e4llige Windows-Versionen. Was die sp\u00e4teren Versionen betrifft, so erstreckte sich die Sicherheitsl\u00fccke bis zu den neuesten Builds, einschlie\u00dflich Windows 11 23H2.<\/p>\n

Brisanz bekommt das Ganze mit der Information, dass AVAST einen benutzerdefinierten PoC (Proof of Concept)-Exploit entwickelt und ihn im August 2023 als Teil eines Schwachstellenberichts an Microsoft \u00fcbermittelt hat. F\u00fcr die Schwachstelle wurde CVE-2024-21338 vergeben, aber Microsoft hat das Ganze erst am 13. Februar 2024 gepatcht. Die haben also sechs Monate zum Schlie\u00dfen einer bereits ausgenutzten 0-Day-Schwachstelle gebraucht. (via<\/a>)<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nMicrosoft Security Update Summary (13. Februar 2024)<\/a>
\nPatchday: Windows 10-Updates (13. Februar 2024)<\/a>
\nPatchday: Windows 11\/Server 2022-Updates (13. Februar 2024)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Im Februar 2024 hat Microsoft die Schwachstelle CVE-2024-21338 im Kernel von Windows 10\/11 und diversen Windows Server-Versionen geschlossen. Super! Der Fehler an der Geschichte: Die Schwachstelle wurde von AVAST im August 2023 gemeldet, und die Schwachstelle wurde zu dieser Zeit … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[301,3694],"tags":[6664,4315,3288],"class_list":["post-292968","post","type-post","status-publish","format-standard","hentry","category-windows","category-windows-10","tag-schwachstelle","tag-update","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/292968","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=292968"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/292968\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=292968"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=292968"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=292968"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}