Der Microsoft-Patch-Tuesday im April brachte Korrekturen für 114 Sicherheitslücken, von denen 7 als kritisch eingestuft wurden, sowie eine Korrektur für eine aktiv ausgenutzte Sicherheitslücke in freier Wildbahn.
Die als CVE-2023-28252 identifizierte, aktiv ausgenutzte Sicherheitslücke ermöglicht es einem Angreifer, die höchsten Systemrechte auf dem anfälligen System zu erlangen. Sie betrifft den Windows-Common-Log-File-System-Treiber, ein universelles Protokollierungs-Subsystem, das erstmals im Betriebssystem Windows-2003 R2 eingeführt wurde. Diese Schwachstelle wurde von Cyber-Kriminellen ausgenutzt, um Nokoyawa-Ransomware zu verbreiten. Dabei handelt es sich um einen neuen Stamm, für den es einige Open-Source-Informationen gibt, die darauf hindeuten, dass er möglicherweise mit der Ransomware Hive in Verbindung steht – eine der bemerkenswertesten Ransomware-Familien des Jahres 2021, die innerhalb weniger Monate mit Sicherheitsverletzungen bei mehr als 300 Unternehmen in Verbindung gebracht wurde. Obwohl noch unklar ist, wer genau Nokoyawa als Bedrohungsakteur oder APT-Gruppe einsetzt, wurden Ziele in Süd- und Nordamerika, Regionen in Asien und KMUs im Nahen Osten beobachtet.
Dies ist nicht das erste Mal, dass dieser spezielle Treiber ein attraktives Ziel für Bedrohungsakteure ist. Im September 2022 beseitigte MSFT eine weitere Sicherheitslücke – CVE-2022-37969, von der bekannt war, dass sie „in the wild“ ausgenutzt wurde – die dieselbe Komponente betraf. CVE-2022-37969 wurde von einem unbekannten Bedrohungsakteur ausgenutzt, um sich erweiterte Rechte zu verschaffen, sobald er auf dem System Fuß gefasst hatte.
MSFT hat außerdem zwei kritische Sicherheitslücken behoben, die den Windows-Message-Queuing-Dienst betreffen (CVE-2023-28250 und CVE-2023-21554). Obwohl keine dieser beiden CVEs bisher in freier Wildbahn ausgenutzt wurde, bleibt das Risiko hoch, da sie einen CVSSv3-Basiswert von 9,8/10 haben und potenziell mit Würmern infiziert werden können. Mit diesem Patch-Tuesday hat MSFT einige kritische Schwachstellen behoben, von denen wir Unternehmen empfehlen, vorrangig die Schwachstellen zu patchen, die aktiv ausgenutzt werden.
Von Bharat Jogi, Director, Vulnerability and Threat Research, #Qualys