2023-1574: Microsoft Windows: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2023-07-12 17:38)

Neues Advisory

Version 2 (2023-07-14 15:07)

Microsoft hat die Mitigationsmaßnahmen aktualisiert und als DWORD-Wert für PowerPoint 'Powerpnt.exe' statt 'PowerPoint.exe' angegeben.

Version 3 (2023-08-09 10:49)

Microsoft hat den Sicherheitshinweis zur böswilligen Nutzung signierter Treiber von Microsoft (ADV230001) aktualisiert. Am Patchtag im August 2023 wurden weitere nicht vertrauenswürdige Treiber und Treiber-Signatur-Zertifikate zur Windows Driver.STL-Sperrliste hinzugefügt, weshalb die Sicherheitsupdates unbedingt installiert werden sollten. Im Falle, dass automatische Updates konfiguriert sind, ist keine weitere Aktion erforderlich.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, Denial-of-Service (DoS)-Angriffe durchzuführen und falsche Informationen darzustellen. Zudem kann ein Angreifer mehrere Schwachstellen im benachbarten Netzwerk ausnutzen, um Informationen auszuspähen, beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Mehrere weitere Schwachstellen kann ein Angreifer lokal ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren, Sicherheitsvorkehrungen zu umgehen und beliebigen Programmcode auszuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

Besonders im Fokus stehen in diesem Monat die Schwachstellen in Windows HTML (CVE-2023-36884), Windows Error Reporting Service (CVE-2023-36874), Windows MSHTML (CVE-2023-32046) und Windows SmartScreen (CVE-2023-32049), da diese laut Microsoft bereits aktiv ausgenutzt werden. Die Schwachstellen ermöglichen die Ausführung beliebigen Programmcodes, die Eskalation von Privilegien und das Umgehen von Sicherheitsvorkehrungen.

Darüber hinaus stuft Microsoft sieben Schwachstellen in Microsoft Message Queuing (CVE-2023-32057), Windows Layer-2 Bridge Network Driver (CVE-2023-35315), Windows Pragmatic General Multicast (PGM) (CVE-2023-35297), Windows Remote Desktop (CVE-2023-35352) und Windows Routing and Remote Access Service (RRAS) (CVE-2023-35365, CVE-2023-35366, CVE-2023-35367) als kritisch ein. Die Schwachstellen ermöglichen die Ausführung beliebigen Programmcodes und das Umgehen von Sicherheitsvorkehrungen.

Zudem informiert das Microsoft Threat Intelligence über eine Phishing-Kampagne eines unter dem Namen 'Storm-0978' geführten Angreifers, die sich insbesondere gegen Verteidigungs- und Regierungseinrichtungen in Europa und Nord Amerika richtet. Wenn Opfer auf die betreffenden Phishing-E-Mails hereinfallen und das beinhaltete schädlich präparierte Office-Dokumet öffnen, wird die Schwachstelle CVE-2023-36884 ausgenutzt, für die es bislang keinen Patch gibt. Microsoft beschreibt jedoch Mitigationsmaßnahmen (siehe Workaround).

Microsoft informiert mit einer Aktualisierung des Security Advisory ADV990001 über die neuesten Servicing Stack Updates (SSU) für die unterschiedlichen Betriebssysteme und -versionen und weist darauf hin, dass diese unbedingt installiert werden müssen.

Weiterhin informiert Microsoft in ADV230001 darüber, dass Treiber, welche über das Windows Hardware-Entwicklerprogramm (Windows Hardware Developer Program) zertifiziert wurden, schadhaften Programmcode enthielten. Damit konnte ein Angreifer, der administrative Rechte auf einem Zielsystem besitzt, Schadsoftware nachladen. Microsoft hat Sicherheitsupdates veröffentlicht, die das Zertifikat für die betroffenen Dateien widerrufen sowie die Verkäufer-Konten der Partner gesperrt und Erkennungsfunktionen implementiert (Microsoft Defender 1.391.3822.0 und neuer).

Microsoft hat außerdem im Zuge der Behebung der Schwachstelle CVE-2023-28005 mit den Sicherheitsupdates im Juli 2023 anfällige UEFI-Module mit Hilfe der DBX (UEFI Secure Boot Forbidden Signature Database)-Sperrliste blockiert (siehe ADV230002).

Microsoft adressiert mit dem Sicherheitsupdate im Juli 2023 Schwachstellen in den Komponenten Windows Netlogon, Kernelmodustreiber (Win32k), Windows Admin Center, Microsoft Failover Cluster, Remote Procedure Call Runtime, Windows Layer-2 Bridge Network Driver, Microsoft ODBC Driver, Microsoft PostScript und PCL6 Class Printer Driver, Windows Update Orchestrator Service, OLE Automation, Windows Remote Desktop, Microsoft Message Queuing, Windows MSHTML Platform, Windows SmartScreen, Windows Installer, Raw Image Extension, Volume Shadow Copy, Active Template Library, Windows Server Update Service (WSUS), Microsoft Message Queuing, Microsoft Failover Cluster, HTTP.sys, Windows Partition Management Driver, Windows Cloud Files Mini Filter, Windows Network Load Balancing, Windows Cryptographic, Windows Pragmatic General Multicast (PGM), Windows Common Log File System Driver, USB Audio Class System Driver, Windows Kernel, Windows DNS Server, Microsoft VOLSNAP.SYS, Windows Online Certificate Status Protocol (OCSP) SnapIn, Connected User Experiences and Telemetry, Windows Deployment Services, Windows OLE, Windows Print Spooler, Windows CDP User Components, Windows Transaction Manager, Windows Authentication, Windows Extended Negotiation, Windows Local Security Authority (LSA), Windows Remote Desktop Protocol, Windows Peer Name Resolution Protocol, Windows CryptoAPI, Windows CNG Key Isolation Service, Microsoft DirectMusic, Windows Image Acquisition, Windows Geolocation Service, Microsoft Install Service, Active Directory Federation Service, Windows Active Directory Certificate Services (AD CS), Windows Clip Service, Windows Routing and Remote Access Service (RRAS), Azure Active Directory, VP9 Video Extensions, Windows Error Reporting Service, UEFI Secure Boot sowie Windows selbst. Diese können im Microsoft Security Update Guide über die Kategorie 'Windows' identifiziert werden.

Schwachstellen:

CVE-2023-21526

Schwachstelle in Windows Netlogon ermöglicht u. a. Ausspähen von Informationen

CVE-2023-21756

Schwachstelle in Kernelmodustreiber ermöglicht Privilegieneskalation

CVE-2023-28005

Schwachstelle in Trend Micro Endpoint Encryption Full Disk Encryption ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-29347

Schwachstelle in Windows Admin Center ermöglicht Darstellen falscher Informationen

CVE-2023-32033

Schwachstelle in Microsoft Failover Cluster ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-32034 CVE-2023-32035 CVE-2023-33164 CVE-2023-33166 CVE-2023-33167 CVE-2023-33168

Schwachstellen in Remote Procedure Call Runtime ermöglichen Denial-of-Service-Angriffe

CVE-2023-32037

Schwachstelle in Windows Layer-2 Bridge Network Driver ermöglicht Ausspähen von Informationen

CVE-2023-32038

Schwachstelle in Microsoft ODBC Driver ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-32039 CVE-2023-32040 CVE-2023-32085 CVE-2023-35306 CVE-2023-35324

Schwachstellen in Microsoft PostScript und PCL6 Class Printer Driver ermöglichen Ausspähen von Informationen

CVE-2023-32041

Schwachstelle in Windows Update Orchestrator Service ermöglicht Ausspähen von Informationen

CVE-2023-32042

Schwachstelle in OLE Automation ermöglicht Ausspähen von Informationen

CVE-2023-32043

Schwachstelle in Windows Remote Desktop ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-32044 CVE-2023-32045

Schwachstellen in Microsoft Message Queuing ermöglichen Denial-of-Service-Angriffe

CVE-2023-32046

Schwachstelle in Windows MSHTML Platform ermöglicht Privilegieneskalation

CVE-2023-32049

Schwachstelle in Windows SmartScreen ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-32050

Schwachstelle in Windows Installer ermöglicht Privilegieneskalation

CVE-2023-32051

Schwachstelle in Raw Image Extension ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-32053

Schwachstelle in Windows Installer ermöglicht Privilegieneskalation

CVE-2023-32054

Schwachstelle in Volume Shadow Copy ermöglicht Privilegieneskalation

CVE-2023-32055

Schwachstelle in Active Template Library ermöglicht Privilegieneskalation

CVE-2023-32056

Schwachstelle in Windows Server Update Service (WSUS) ermöglicht Privilegieneskalation

CVE-2023-32057

Schwachstelle in Microsoft Message Queuing ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-32083

Schwachstelle in Microsoft Failover Cluster ermöglicht Ausspähen von Informationen

CVE-2023-32084 CVE-2023-35298

Schwachstellen in HTTP.sys ermöglichen Denial-of-Service-Angriffe

CVE-2023-33154

Schwachstelle in Windows Partition Management Driver ermöglicht Privilegieneskalation

CVE-2023-33155

Schwachstelle in Windows Cloud Files Mini Filter ermöglicht Privilegieneskalation

CVE-2023-33163

Schwachstelle in Windows Network Load Balancing ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-33169 CVE-2023-33172 CVE-2023-33173 CVE-2023-35314 CVE-2023-35318 CVE-2023-35319

Schwachstellen in Remote Procedure Call Runtime ermöglichen Denial-of-Service-Angriffe

CVE-2023-33174

Schwachstelle in Windows Cryptographic ermöglicht Ausspähen von Informationen

CVE-2023-35296

Schwachstelle in Microsoft PostScript und PCL6 Class Printer Driver ermöglicht Ausspähen von Informationen

CVE-2023-35297

Schwachstelle in Windows Pragmatic General Multicast (PGM) ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-35299

Schwachstelle in Windows Common Log File System Driver ermöglicht Privilegieneskalation

CVE-2023-35300

Schwachstelle in Remote Procedure Call Runtime ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-35302

Schwachstelle in Microsoft PostScript und PCL6 Class Printer Driver ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-35303

Schwachstelle in USB Audio Class System Driver ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-35304 CVE-2023-35305 CVE-2023-35356 CVE-2023-35357 CVE-2023-35358 CVE-2023-35363

Schwachstellen in Windows Kernel ermöglichen Privilegieneskalation

CVE-2023-35308 CVE-2023-35336

Schwachstellen in Windows MSHTML Platform ermöglichen Umgehen von Sicherheitsvorkehrungen

CVE-2023-35309

Schwachstelle in Microsoft Message Queuing ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-35310 CVE-2023-35344 CVE-2023-35345 CVE-2023-35346

Schwachstellen in Windows DNS Server ermöglichen Ausführen beliebigen Programmcodes

CVE-2023-35312

Schwachstelle in Microsoft VOLSNAP.SYS ermöglicht Privilegieneskalation

CVE-2023-35313

Schwachstelle in Windows Online Certificate Status Protocol (OCSP) SnapIn ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-35315

Schwachstelle in Windows Layer-2 Bridge Network Driver ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-35316

Schwachstelle in Remote Procedure Call Runtime ermöglicht Ausspähen von Informationen

CVE-2023-35317

Schwachstelle in Windows Server Update Service (WSUS) ermöglicht Privilegieneskalation

CVE-2023-35320 CVE-2023-35353

Schwachstellen in Connected User Experiences and Telemetry ermöglichen Privilegieneskalation

CVE-2023-35321

Schwachstelle in Windows Deployment Services ermöglicht Denial-of-Service-Angriff

CVE-2023-35322

Schwachstelle in Windows Deployment Services ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-35323

Schwachstelle in Windows OLE ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-35325

Schwachstelle in Windows Print Spooler ermöglicht Ausspähen von Informationen

CVE-2023-35326

Schwachstelle in Windows CDP User Components ermöglicht Ausspähen von Informationen

CVE-2023-35328

Schwachstelle in Windows Transaction Manager ermöglicht Privilegieneskalation

CVE-2023-35329

Schwachstelle in Windows Authentication ermöglicht Denial-of-Service-Angriff

CVE-2023-35330

Schwachstelle in Windows Extended Negotiation ermöglicht Denial-of-Service-Angriff

CVE-2023-35331

Schwachstelle in Windows Local Security Authority (LSA) ermöglicht Denial-of-Service-Angriff

CVE-2023-35332

Schwachstelle in Windows Remote Desktop Protocol ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-35337

Schwachstelle in Kernelmodustreiber ermöglicht Privilegieneskalation

CVE-2023-35338

Schwachstelle in Windows Peer Name Resolution Protocol ermöglicht Denial-of-Service-Angriff

CVE-2023-35339

Schwachstelle in Windows CryptoAPI ermöglicht Denial-of-Service-Angriff

CVE-2023-35340

Schwachstelle in Windows CNG Key Isolation Service ermöglicht Privilegieneskalation

CVE-2023-35341

Schwachstelle in Microsoft DirectMusic ermöglicht Ausspähen von Informationen

CVE-2023-35342

Schwachstelle in Windows Image Acquisition ermöglicht Privilegieneskalation

CVE-2023-35343

Schwachstelle in Windows Geolocation Service ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-35347

Schwachstelle in Microsoft Install Service ermöglicht Privilegieneskalation

CVE-2023-35348

Schwachstelle in Active Directory Federation Service ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-35350

Schwachstelle in Windows Active Directory Certificate Services (AD CS) ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-35351

Schwachstelle in Windows Active Directory Certificate Services (AD CS) ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-35352

Schwachstelle in Windows Remote Desktop ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-35360 CVE-2023-35361

Schwachstellen in Windows Kernel ermöglichen Privilegieneskalation

CVE-2023-35362

Schwachstelle in Windows Clip Service ermöglicht Privilegieneskalation

CVE-2023-35364

Schwachstelle in Windows Kernel ermöglicht Privilegieneskalation

CVE-2023-35365 CVE-2023-35366 CVE-2023-35367

Schwachstellen in Windows Routing and Remote Access Service (RRAS) ermöglichen Ausführen beliebigen Programmcodes

CVE-2023-36871

Schwachstelle in Azure Active Directory ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-36872

Schwachstelle in VP9 Video Extensions ermöglicht Ausspähen von Informationen

CVE-2023-36874

Schwachstelle in Windows Error Reporting Service ermöglicht Privilegieneskalation

CVE-2023-36884

Schwachstelle in Microsoft Windows und Microsoft Office ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.