{"id":297450,"date":"2024-07-18T08:45:09","date_gmt":"2024-07-18T06:45:09","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=297450"},"modified":"2024-07-19T08:54:54","modified_gmt":"2024-07-19T06:54:54","slug":"windows-patchday-nachlese-mshtml-0-day-schwachstelle-cve-2024-38112-durch-malware-ausgenutzt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/07\/18\/windows-patchday-nachlese-mshtml-0-day-schwachstelle-cve-2024-38112-durch-malware-ausgenutzt\/","title":{"rendered":"Windows Patchday-Nachlese: MSHTML 0-day-Schwachstelle CVE-2024-38112 durch Malware ausgenutzt"},"content":{"rendered":"

\"Windows\"[English<\/a>]Noch ein kleiner Nachtrag zum Juli 2024 Patchday bei Microsoft. Mit den Sicherheitsupdates hat Microsoft auch eine MSHTML Spoofing-Schwachstelle geschlossen. Es gab die Information, dass diese Schwachstelle (CVE-2024-38112) durch Malware ausgenutzt wurde und wird. Die Schwachstelle steckt in Internet Explorer-Komponenten und es gibt aktuell Zoff, weil ZDI die Sicherheitsl\u00fccke als kritischer einstuft, als dies von Microsoft erfolgt ist.<\/p>\n

<\/p>\n

Die MSHTML Schwachstelle CVE-2024-38112<\/h2>\n

\"\"Zuerst ein kurzer R\u00fcckblick, was die Schwachstelle aus Sicht von Microsoft betrifft. Ich hatte im Blog-Beitrag Microsoft Security Update Summary (9. Juli 2024)<\/a> einige Informationen zur Schwachstelle CVE-2024-38112<\/a><\/u>, basierend auf den Microsoft-Angaben, ver\u00f6ffentlicht. Es handelt sich um eine Windows MSHTML Platform Spoofing-Schwachstelle, die mit dem CVEv3 Score7.5 als \"important\" eingestuft wurde.<\/p>\n

Microsoft gibt an, dass ein nicht authentifizierter, Remote-Angreifer diese Schwachstelle ausnutzen k\u00f6nnte. Er muss sein Opfer dazu bringen, eine (HTML) Datei zu \u00f6ffnen. Microsoft weist darauf hin, dass ein Angreifer, um diese Schwachstelle erfolgreich auszunutzen, \"zus\u00e4tzliche Ma\u00dfnahmen\" ergreifen m\u00fcsste, um \"die Zielumgebung vorzubereiten\".<\/p>\n

Das K\u00fcrzel MSHTML steht f\u00fcr die Trident-Engine<\/a>, die das HTML-Rendering im Internet Explorer \u00fcbernommen hat. Der Internet Explorer ist aber doch l\u00e4ngst aus Windows entfernt (bis auf wenige Ausnahmen) und durch den Edge-Browser ersetzt worden? Mitnichten, Microsoft hat zwar den Internet Explorer als Browser in Windows deaktiviert.<\/p>\n

Ich hatte im Blog-Beitrag Windows 10: Deaktivierung des Internet Explorer 11 am 14. Feb. 2023<\/a> aber darauf hingewiesen, dass der Internet Explorer 11 wohl nie ganz aus Windows 10 herausgel\u00f6st werden kann. Es werden lediglich die GUI-Komponenten deaktiviert \u2013 die Trident-Engine (MSHTML) bleibt in Windows enthalten.<\/p>\n

Patch im Juli 2024 und Ausnutzung<\/h2>\n

Im Juli 2024 hat Microsoft die Schwachstelle CVE-2024-38112<\/a><\/u> durch Windows-Updates gepatcht (siehe die Beitragslinks zu den Windows-Updates am Artikelende, sowie die von Microsoft aufgelisteten Patches unter der verlinkten CVE). Nach den Angaben von Microsoft wurde diese Schwachstelle als Zero-Day-Schwachstelle ausgenutzt. Aber es hei\u00dft, das Ganze sei nicht trivial.<\/p>\n

\"<\/a><\/p>\n

Ich bin die Tage auf obigen Tweet von The Hacker News gesto\u00dfen, die in diesem Artikel<\/a> offen legen, dass Varianten der Atlantida-Kampagne die Schwachstelle in 2024 als Teil der Void Banshee-Infektionsketten ausgenutzt haben. Die Sicherheitsforscher Peter Girnus und Aliakbar Zahravi werden so zitiert, dass die F\u00e4higkeit von APT-Gruppen wie Void Banshee, deaktivierte Dienste wie [Internet Explorer] auszunutzen, eine erhebliche Bedrohung f\u00fcr Unternehmen weltweit darstellt.<\/p>\n

Die Kollegen von Bleeping Computer haben bereits zum 10. Juli 2024 in diesem Artikel<\/a> darauf hingewiesen, dass die Schwachstelle CVE-2024-38112<\/a><\/u> seit \u00fcber einem Jahr in Malware-Angriffen ausgenutzt worden sei. Haifei Li von Check Point Research hab die Schwachstelle entdeckt und im Mai 2024 an Microsoft gemeldet. Im Check Point-Beitrag hier<\/a> hei\u00dft es, dass die \u00e4ltesten Malware-Samples, die die Schwachstelle ausnutzen, bis zum Januar 2023 reichen. Passt mal wieder.<\/p>\n

Hat Microsoft die Schwachstelle verstanden?<\/h2>\n

Das Thema ist mir dann die Tage nochmals untergekommen, wie die Zero Day Initiative (ZDI) bezweifelt, dass die Microsoft-Entwickler das Problem \u00fcberhaupt richtig erfasst haben. ZDI wirft Microsoft schlicht ein \"weiteres koordiniertes Versagen bei der Ver\u00f6ffentlichung von Sicherheitsl\u00fccken\" vor, wie The Register in diesem Artikel<\/a> schreibt.<\/p>\n

Die von der Zero Day Initiative von Trend Micro im Mai gefundene und an Redmond gemeldete Sicherheitsl\u00fccke sei als\u00a0 Spoofing-Schwachstelle klassifiziert worden. Es wurde zwar eine Ausnutzung best\u00e4tigt, aber ZDI wurde von Microsoft nicht erw\u00e4hnt, hei\u00dft es. Es ist eine Sache, keine Credits zu vergeben. Aber es sieht so aus, als ob Microsoft nicht verstanden habe, was die Schwachstelle bedeutet, hei\u00dft es bei The Register<\/a>.<\/p>\n

Die Entdecker von ZDI behauptet hingegen, dass es sich um eine Remote Code Execution-Schwachstelle handelt, was wahrscheinlich eine kritischere CVE-Einstufung nach sich ziehen w\u00fcrde. \"Sie sagen, dass das, was wir gemeldet haben, nur ein Defense-in-Depth-Fix war, aber sie sagen uns nicht, was dieser Defense-in-Depth-Fix wirklich ist\", sagte Dustin Childs, Leiter der Abteilung f\u00fcr Bedrohungserkennung bei ZDI, in einem Exklusivinterview mit The Register. Und weiter \"Ich sage das nur ungern, aber es scheint, als h\u00e4tten sie wirklich keine Ahnung, was mit diesem Patch los ist\", wird Childs zitiert. Details sind dem The Register-Beitrag zu entnehmen – ist alles mal wieder unsch\u00f6n.<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Microsoft Security Update Summary (9. Juli 2024)<\/a>
\nPatchday: Windows 10\/Server-Updates (9. Juli 2024)<\/a>
\nPatchday: Windows 11\/Server 2022-Updates (9. Juli 2024<\/a>)
\nWindows Server 2012 \/ R2 und Windows 7 (9. Juli 2024)<\/a>
\nMicrosoft Office Updates (9. Juli 2024)<\/a><\/p>\n

Windows 11 Update KB5040442 verursacht Probleme mit Outlook 2021<\/a>
\nWindows Juli 2024-Updates machen Remote Verbindungen kaputt<\/a>
\nWindows 10\/11 Updates (z.B. KB5040442) triggern Bitlocker-Abfragen (Juli 2024)<\/a>
\nWindows Update Juli 2024: Gibt es Probleme mit Radius-Authentifizierungen?<\/a>
\nJuli 2024-Sicherheitsupdate KB5040427 l\u00e4sst Windows 10\/Server LPD-Druckdienst abst\u00fcrzen<\/a>
\nMicrosofts Fixes f\u00fcr diverse Windows-Bugs (Juli 2024)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Noch ein kleiner Nachtrag zum Juli 2024 Patchday bei Microsoft. Mit den Sicherheitsupdates hat Microsoft auch eine MSHTML Spoofing-Schwachstelle geschlossen. Es gab die Information, dass diese Schwachstelle (CVE-2024-38112) durch Malware ausgenutzt wurde und wird. Die Schwachstelle steckt in Internet Explorer-Komponenten … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185,301],"tags":[8488,4328,4315,3288],"class_list":["post-297450","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","category-windows","tag-patchday-7-2024","tag-sicherheit","tag-update","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/297450","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=297450"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/297450\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=297450"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=297450"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=297450"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}