![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Noch ein kleiner Sammelbeitrag zu Schwachstellen in diversen Produkten wie Windows, Ivanti Cloud-Apps, 7-Zip, Windows 9-Days, Dell Software, und mehr. Manche Schwachstellen sind gepatcht, f\u00fcr andere gibt es ein Exploit oder sie werden ausgenutzt. Weiterhin konnten Sicherheitsforscher die MFA f\u00fcr Azure knacken. Hier ein \u00dcberblick \u00fcber Sicherheitsthemen, die ich nicht separat im Blog aufgegriffen habe.<\/p>\n
<\/p>\n
In obigem Tweet<\/a> weist HackManac darauf hin, dass ein Proof of Concept (PoC) f\u00fcr CVE-2024-38193 \u00f6ffentlich geworden sei. Security Online hat in diesem Artikel<\/a> einige Details zusammen gestellt.<\/p>\n Die Windows Task Scheduler Elevation of Privilege-Schwachstelle CVE-2024-49039<\/a> wurde mit einem CVEv3 Score 8.8 als important eingestuft (Microsoft Security Update Summary (12. November 2024)<\/a>). Ein Angreifer mit lokalem Zugriff auf ein anf\u00e4lliges System k\u00f6nnte diese Sicherheitsl\u00fccke durch eine speziell gestaltete Anwendung ausnutzen. Bei erfolgreicher Ausnutzung lie\u00dfe sich auf Ressourcen zugreifen, die und Code, z. B. RPC-Funktionen (Remote Procedure Call), ausf\u00fchren. Nach Angaben von Microsoft wurde CVE-2024-49039 in freier Wildbahn als Zero-Day ausgenutzt.<\/p>\n Obiger\u00a0Tweet<\/a> weist darauf hin, dass inzwischen eine Exploit-Code f\u00fcr die Schwachstelle ver\u00f6ffentlicht wurde. Security Online fasst in diesem Artikel<\/a> die Details zusammen.<\/p>\n Die US CISA weist in nachfolgendem Tweet<\/a> darauf hin, dass der Anbieter Ivanti Schwachstellen in seiner Cloud Service Application geschlossen habe. Der CISA-Artikel\u00a0Ivanti Releases Security Updates for Multiple Products<\/a> vom 10.12.2024 enth\u00e4lt Details zu den Empfehlungen.<\/p>\n Die Kollegen von Bleeping Computer haben die Ivanti-Schwachstellen in diesem Artikel<\/a> thematisiert.<\/p>\n In der Software 7-Zip wurde eine kritische Schwachstelle gefunden, die Angreifern gem\u00e4\u00df nachfolgendem Tweet<\/a> die Ausf\u00fchrung eines beliebigen Codes erm\u00f6glicht.<\/p>\n Blog-Leser Adrian hat mir diese Woche ebenfalls einen Link zur Schwachstelle CVE-2024-11477<\/a> (CVSS Wert 7.8, hoch), die am 22.11.2024 von der Zero Day Initiative gemeldet<\/a> wurde, geschickt. Die Schwachstelle bezieht sich auf einen Integer Underflow in der 7-Zip Zstandard Decompression, was Remote-Angreifern die Ausf\u00fchrung von beliebigem Code auf betroffenen Installationen von 7-Zip erm\u00f6glicht. Um diese Sicherheitsl\u00fccke auszunutzen, ist eine Interaktion mit dieser Bibliothek erforderlich. Aber die Angriffsvektoren k\u00f6nnen je nach Implementierung variieren.<\/p>\n Der spezifische Fehler besteht in der Implementierung der Zstandard Dekompression. Das Problem resultiert aus dem Fehlen einer ordnungsgem\u00e4\u00dfen Validierung der vom Benutzer bereitgestellten Daten, was zu einem Integer-Unterlauf vor dem Schreiben in den Speicher f\u00fchren kann. Ein Angreifer kann diese Schwachstelle ausnutzen, um Code im Kontext des aktuellen Prozesses auszuf\u00fchren. Die Schwachstelle ist in 7-Zip Version 24.07 beseitigt worden.<\/p>\n Die Artivion, Inc. vertreibt kryogenisch konserviertes menschliches Gewebe f\u00fcr Herz- und Gef\u00e4\u00dftransplantationen und entwickelt medizinische Ger\u00e4te. Zu den Produkten des Unternehmens geh\u00f6ren menschliche Herzklappen, die behandelt werden, um \u00fcbersch\u00fcssiges Zellmaterial und Antigene zu entfernen, sowie der chirurgische Klebstoff BioGlue. Das Unternehmen wurde Opfer eines Cyberangriffs, wie ich nachfolgendem\u00a0Tweet<\/a> entnommen habe.<\/p>\n Gem\u00e4\u00df\u00a0diesem Artikel<\/a> von The Recorded Media hat das in Atlanta ans\u00e4ssige Unternehmen am 9.12.2024 Dokumente \u00fcber einen Cyberangriff vom 21. November 2024 bei der US-B\u00f6rsenaufsichtsbeh\u00f6rde (SEC) eingereicht und warnte, dass der Vorfall Auswirkungen auf seine Gesch\u00e4ftst\u00e4tigkeit habe.\u00a0Das Unternehmen war gezwungen, einige Systeme vom Netz zu nehmen, und es wurden Dateien verschl\u00fcsselt sowie Dokumente abgezogen.<\/p>\n Dann gab es noch die Meldung, dass es Sicherheitsforschern von Oasis gelungen ist, die Verschl\u00fcsselung der Microsoft Azure Multifaktor-Authentifizierung (MFA) zu knacken. Der nachfolgende\u00a0Tweet<\/a> weist auf das Thema und den Artikel\u00a0Oasis Security Research Team Discovers Microsoft Azure MFA Bypass<\/a> von Oasis.<\/p>\n Angreifer w\u00e4ren auf Grund der Implementierung der Multi-Faktor-Authentifizierung (MFA) von Microsoft bei Azure in der Lage, diese zu umgehen und unbefugten Zugriff auf das ein Benutzerkonto zu erhalten. Das betraf auch Konten f\u00fcr Outlook, OneDrive, Teams-Chats, Azure Cloud und mehr.<\/p>\n Wenn Benutzer zum ersten Mal auf die Anmeldeseite gelangen, wird ihnen eine Sitzungskennung zugewiesen.\u00a0Dabei muss der Nutzer sich durch\u00a0Eingabe einer g\u00fcltigen E-Mail und eines Passworts identifizieren, wird aber aufgefordert, sich per MFA-Methode zu authentifizieren. Microsoft unterst\u00fctzt eine Reihe von MFA-Methoden, darunter einen Verifizierungscode (TOTP) aus einer Anwendung (Microsoft Auth-App).<\/p>\n Bei Verwendung einer speziellen MFA-Anmeldung geben die Benutzer einen 6-stelligen Code aus einer Anwendung zur Authentifizierung ein. F\u00fcr eine einzelne Sitzung waren zwar bis zu 10 Fehlversuche zul\u00e4ssig.\u00a0Die Forscher erzeugten einfach parallel\u00a0neue Sitzungen und generierten Codes. So waren sie in der Lage, die m\u00f6glichen Kombinationen abzupr\u00fcfen und binnen einer Stunde den notwendigen Authentifizierungscode zu generieren. Der Benutzer des Kontos wurde nicht \u00fcber diese fehlgeschlagenen Anmeldeversuche informiert.<\/p>\n Die Forscher meldeten die Schwachstelle an Microsoft, die die Einstellungen f\u00fcr das Rate-Limit f\u00fcr diese Zugriffe anpassten. Diese Art Angriff ist nun wohl nicht mehr m\u00f6glich.<\/p>\n Bolko wies k\u00fcrzlich darauf hin, dass das Aktivierungssystem bzw. das Lizenz-Schl\u00fcssel-System von Microsoft angeblich geknackt wurde. Er bezog sich auf nachfolgenden Tweet<\/a> eines Nutzers, TechSpot berichtet hier<\/a>.<\/p>\n Windows oder Office k\u00f6nne permanent aktiviert werden, was bei Produkten, wo der Aktivierungsserver abgeschaltet ist, helfen w\u00fcrde. Bolko fragt: \"Muss Microsoft jetzt das Schl\u00fcsselsystem in die Tonne kloppen und neu schreiben oder wird der Hack totgeschwiegen, ignoriert, toleriert?\"<\/p>\n Ich denke, es wird nicht viel passieren. Wer unbedingt sein Produkt \u00fcber einen Crack aktivieren wollte, konnte schon entsprechende L\u00f6sungen finden und darauf zur\u00fcckgreifen. Im Firmenumfeld wird aber eine Lizenzierung ben\u00f6tigt, da wird man bei einem Audit nicht ein solches Risiko einer gecrackten Version eingehen. Zudem wird in diesem Bereich mit Volumenlizenzen, Abo-L\u00f6sungen bzw. Software-Subscriptions gearbeitet.<\/p>\n Im Privatbereich wird Windows \u00fcber die Hersteller lizenziert, Upgrades sind seit Jahren kostenlos – und zur Monetarisierung setzt Microsoft zunehmend auf Abonnements. Aber mal abwarten, was sich diesbez\u00fcglich entwickelt – ich tippe eher auf \"gehen sie weiter, es gibt nichts zu sehen\".<\/p>\n Hersteller Dell hat die Woche eine Reihe Sicherheitsupdates f\u00fcr Treiber, Firmware etc. ver\u00f6ffentlich. heise hat in diesem Artikel<\/a> die Details zusammen getragen.<\/p>\n Ich stelle mal einen \u00e4lteren Tweet hier im Blog ein, der noch bei mir schlummerte. Laut diesem Artikel<\/a> sind Nutzer, die die Sicherheitsl\u00f6sung von CrowdStrike verwenden, nach einem Upgrade in Windows 11 24H2 in Probleme gelaufen. CrowdStrike lie\u00df Microsoft Office abst\u00fcrzen. War da jemand aus der Leserschaft betroffen?<\/p>\n Noch ein kleiner Sammelbeitrag zu Schwachstellen in diversen Produkten wie Windows, Ivanti Cloud-Apps, 7-Zip, Windows 9-Days, Dell Software, und mehr. Manche Schwachstellen sind gepatcht, f\u00fcr andere gibt es ein Exploit oder sie werden ausgenutzt. Weiterhin konnten Sicherheitsforscher die MFA f\u00fcr … Weiterlesen Zum 13. August 2024 hat Microsoft die 0-day-Schwachstelle CVE-2024-38193 im Treiber\u00a0afd.sys<\/em> mit einem Sicherheitsupdate geschlossen. Dort hie\u00df es vage, dass diese Schwachstelle in freier Wildbahn ausgenutzt werde. Im Artikel\u00a0Windows: 0-day-Schwachstelle CVE-2024-38193 wurde durch Lazarus angegriffen<\/a> hatte ich berichtet, dass Cyberangreifer der in Nordkorea verorteten Lazarus-Gruppe auf diese Schwachstelle aufsetzen.<\/p>\n
![\"Proof](\"https:\/\/i.postimg.cc\/SjbSjBDT\/image.png\" "\\"Proof")
<\/a><\/p>\nTask-Scheduler Schwachstelle CVE-2024-49039<\/h2>\n
![\"Task-Scheduler](\"https:\/\/i.postimg.cc\/Sx8trKcR\/image.png\" "\\"Task-Scheduler")
<\/p>\nIvanti schlie\u00dft Schwachstellen<\/h2>\n
![\"IVANTI](\"https:\/\/i.postimg.cc\/jdm96qhF\/image.png\" "\\"IVANTI")
<\/a><\/p>\nKritische 7-Zip-Schwachstelle CVE-2024-11477<\/h2>\n
![\"7-Zip](\"https:\/\/i.postimg.cc\/L61gXvQZ\/image.png\" "\\"7-Zip")
<\/a><\/p>\nUS-Medizin-Produkte Hersteller Artivion gehackt<\/h2>\n
![\"US-Medizin-Produkte](\"https:\/\/i.postimg.cc\/fytJ4YRx\/image.png\" "\\"US-Medizin-Produkte")
<\/a><\/p>\nAuthQuake: Microsoft Azure MFA geknackt<\/h2>\n
![\"AuthQuak:](\"https:\/\/i.postimg.cc\/CKX7TsFN\/image.png\" "\\"AuthQuak:")
<\/a><\/p>\nMicrosoft Aktivierung geknackt?<\/h2>\n
![\"Post](\"https:\/\/i.postimg.cc\/zXXVyBs9\/image.png\")
Das betreffe von Vista \u00fcber Windows 10 und 11 bis Server 2025 alle Betriebssysteme von Microsoft inklusive die ESU-Schl\u00fcssel, schreib Bolko. F\u00fcr Office gilt es ebenfalls (Ausnahme ist Microsoft Office 365 wegen monatlichem Abo). Laut Bolko muss ESU f\u00fcr Windows 10 nicht mehr (wie bei ByPassESU) umgangen werden. Es sei auch keine Datei zu installieren oder etwas zu patchen, eine Netzwerkverbindung oder (alte Methoden wie KMS oder Hardware-ID (HWID) oder ohook-Activation oder Windows-Loader) seien nicht mehr erforderlich.<\/p>\nDell Sicherheitsupdates<\/h2>\n
Gab es einen Office CrowdStrike-Crash?<\/h2>\n
![\"CrowdStrike](\"https:\/\/i.postimg.cc\/6QPx90n1\/image.png\")
<\/p>\n","protected":false},"excerpt":{"rendered":"