2024-3283: Microsoft Windows: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2024-12-11 09:02)

Neues Advisory

Version 2 (2025-01-03 16:23)

Für CVE-2024-49113 (Windows LDAP) wurde ein PoC-Exploit veröffentlicht, der jede ungepatchte Version von Microsoft Server zum Absturz bringt. Dies ist nicht nur auf Domain Controller beschränkt. Einzige Vorbedingung ist, dass der vom Windows Server verwendete DNS-Server über eine Internetverbindung verfügt. Es ist davon auszugehen, dass diese Schwachstelle in Kürze aktiv ausgenutzt wird. Die verfügbaren Sicherheitsupdates sollten zeitnah eingespielt werden.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, beliebigen Programmcode auch mit SYSTEM-Privilegien und den Rechten eines betroffenen Dienstes auszuführen sowie einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um SYSTEM-Privilegien zu erlangen, Privilegien zu eskalieren und beliebigen Programmcode auszuführen. Ein Angreifer mit physischem Zugriff auf ein betroffenes System kann weitere Schwachstellen ausnutzen, um SYSTEM-Privilegien zu erlangen und Informationen auszuspähen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

Besonders im Fokus stehen in diesem Monat die verschiedenen Schwachstellen in Windows Remote Desktop Services und Windows Lightweight Directory Access Protocol (LDAP), die Angreifern die Ausführung beliebigen Programmcodes aus der Ferne ermöglichen. Die Schwachstelle CVE-2024-49138 im Windows Common Log File System Driver ist laut Hersteller öffentlich bekannt und wird bereits aktiv ausgenutzt. Diese wurde auch umgehend in den CISA Known Exploited Vulnerabilities Catalog aufgenommen. Microsoft stuft darüber hinaus 16 der aufgeführten Schwachstellen als 'kritisch' ein. Dies betrifft neben RDP und LDAP auch Microsoft Message Queuing (MSMQ, CVE-2024-49112, CVE-2024-49127), Windows Hyper-V (CVE-2024-49117) und das Windows Local Security Authority Subsystem Service (LSASS, CVE-2024-49126).

Der Hersteller adressiert mit dem Sicherheitsupdate im Dezember 2024 Schwachstellen in den Windows-Komponenten Input Method Editor (IME), Microsoft Message Queuing (MSMQ), Remote Desktop Client, Windows Cloud Files Mini Filter Driver, Windows Common Log File System Driver, Windows Domain Name Service, Windows File Explorer, Windows Hyper-V, Windows IP Routing Management Snapin, Windows Kernel, Windows Kernel-Mode Driver, Windows Lightweight Directory Access Protocol (LDAP), Windows Local Security Authority Subsystem Service (LSASS), Windows Mobile Broadband Driver, Windows PrintWorkflowUserSvc, Windows Remote Desktop Gateway (RD Gateway), Windows Remote Desktop Services, Windows Resilient File System (ReFS), Windows Routing and Remote Access Service (RRAS), Windows Task Scheduler, Windows Virtualization-Based Security (VBS) Enclave, Wireless Wide Area Network Service (WwanSvc) sowie WmsRepair Service. Diese können im Microsoft Security Update Guide über die Kategorien 'Windows' und 'ESU' identifiziert werden.

Darüber hinaus informiert Microsoft im Security Advisory ADV990001 über die neuesten Servicing Stack Updates (SSU) für die unterschiedlichen Betriebssysteme und -versionen und weist darauf hin, dass diese unbedingt installiert werden müssen. Die letzten Einträge sind dort von Oktober 2024.

Schwachstellen:

CVE-2024-49072

Schwachstelle in Windows Task Scheduler ermöglicht Erlangen von SYSTEM-Privilegien

CVE-2024-49073 CVE-2024-49077 CVE-2024-49078 CVE-2024-49083 CVE-2024-49092 CVE-2024-49110

Schwachstellen in Windows Mobile Broadband Driver ermöglichen Erlangen von SYSTEM-Privilegien

CVE-2024-49074

Schwachstelle in Windows Kernel-Mode Driver ermöglicht Erlangen von SYSTEM-Privilegien

CVE-2024-49075

Schwachstelle in Windows Remote Desktop Services ermöglicht Denial-of-Service-Angriff

CVE-2024-49076

Schwachstelle in Windows Virtualization-Based Security (VBS) Enclave ermöglicht Privilegieneskalation

CVE-2024-49079

Schwachstelle in Input Method Editor (IME) ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-49080

Schwachstelle in Windows IP Routing Management Snapin ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-49081 CVE-2024-49094 CVE-2024-49101 CVE-2024-49109 CVE-2024-49111

Schwachstellen in Wireless Wide Area Network Service (WwanSvc) ermöglichen Erlangen von SYSTEM-Privilegien

CVE-2024-49082

Schwachstelle in Windows File Explorer ermöglicht Ausspähen von Informationen

CVE-2024-49084

Schwachstelle in Windows Kernel ermöglicht Erlangen von SYSTEM-Privilegien

CVE-2024-49085 CVE-2024-49086 CVE-2024-49102 CVE-2024-49104 CVE-2024-49125

Schwachstellen in Windows Routing and Remote Access Service (RRAS) ermöglichen Ausführen beliebigen Programmcodes

CVE-2024-49087

Schwachstelle in Windows Mobile Broadband Driver ermöglicht Ausspähen von Informationen

CVE-2024-49088 CVE-2024-49090

Schwachstellen in Windows Common Log File System Driver ermöglichen Erlangen von SYSTEM-Privilegien

CVE-2024-49089

Schwachstelle in Windows Routing and Remote Access Service (RRAS) ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-49091

Schwachstelle in Windows Domain Name Service ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-49093

Schwachstelle in Windows Resilient File System (ReFS) ermöglicht Erlangen von SYSTEM-Privilegien

CVE-2024-49095 CVE-2024-49097

Schwachstellen in Windows PrintWorkflowUserSvc ermöglichen Erlangen von SYSTEM-Privilegien

CVE-2024-49096

Schwachstelle in Microsoft Message Queuing (MSMQ) ermöglicht Denial-of-Service-Angriff

CVE-2024-49098 CVE-2024-49099 CVE-2024-49103

Schwachstellen in Wireless Wide Area Network Service (WwanSvc) ermöglichen Ausspähen von Informationen

CVE-2024-49105

Schwachstelle in Remote Desktop Client ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-49106

Schwachstelle in Windows Remote Desktop Services ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-49107

Schwachstelle in WmsRepair Service ermöglicht Privilegieneskalation

CVE-2024-49108 CVE-2024-49115 CVE-2024-49116 CVE-2024-49119 CVE-2024-49120 CVE-2024-49123 CVE-2024-49128 CVE-2024-49132

Schwachstellen in Windows Remote Desktop Services ermöglichen Ausführen beliebigen Programmcodes

CVE-2024-49112

Schwachstelle in Windows Lightweight Directory Access Protocol (LDAP) ermöglicht Ausführen beliebigen Programmcodes mit den Rechten des Dienstes

CVE-2024-49113 CVE-2024-49121

Schwachstellen in Windows Lightweight Directory Access Protocol (LDAP) ermöglichen Denial-of-Service-Angriff

CVE-2024-49114

Schwachstelle in Windows Cloud Files Mini Filter Driver ermöglicht Erlangen von SYSTEM-Privilegien

CVE-2024-49117

Schwachstelle in Windows Hyper-V ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-49118 CVE-2024-49122

Schwachstellen in Microsoft Message Queuing (MSMQ) ermöglichen Ausführen beliebigen Programmcodes

CVE-2024-49124

Schwachstelle in Windows Lightweight Directory Access Protocol (LDAP) ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-49126

Schwachstelle in Windows Local Security Authority Subsystem Service (LSASS) ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-49127

Schwachstelle in Windows Lightweight Directory Access Protocol (LDAP) ermöglicht Ausführen beliebigen Programmcodes mit SYSTEM-Privilegien

CVE-2024-49129

Schwachstelle in Windows Remote Desktop Gateway (RD Gateway) ermöglicht Denial-of-Service-Angriff

CVE-2024-49138

Schwachstelle in Windows Common Log File System Driver ermöglicht Erlangen von SYSTEM-Privilegien

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.