Die Microsoft-Patches f\u00fcr den Monat Juli haben sich als ziemlich \u00fcberraschend erwiesen. Zum einen wird wieder einmal der scheinbar totgesagte Internet Explorer gefixt. Zum anderen werden sechs der Schwachstellen bereits aktiv von Angreifern ausgenutzt \u2013 und zwei dieser Sicherheitsl\u00fccken wurden kurioserweise lediglich durch blo\u00dfe Sicherheitsempfehlungen geschlossen.<\/p>\n
Hier die Gesamtstatistik: 132 Sicherheitsm\u00e4ngel wurden behoben, von denen neun als kritisch eingestuft wurden. Der Exploit von 37 dieser Schwachstellen kann zur Ausf\u00fchrung von beliebigem Code f\u00fchren, bei 33 Schwachstellen zur Erweiterung von Privilegien, bei 13 Schwachstellen zur Umgehung von Sicherheitsfunktionen und bei 22 Schwachstellen m\u00f6glicherweise zur Verweigerung von Diensten (Denial of Service<\/em>).<\/p>\n Vor nicht allzu langer Zeit haben wir vom \u2013 mehr oder weniger \u2013 endg\u00fcltigen Endes des Internet Explorers berichtet<\/a>. Insbesondere sprachen wir \u00fcber die Empfehlung von Microsoft, weiterhin Sicherheitsupdates f\u00fcr den IE zu installieren, da einige seiner Komponenten noch immer im System vorhanden sind. Nun wird klar, warum Microsoft diese Empfehlung ausgesprochen hat. Der Juli-Patch schlie\u00dft nicht weniger als drei Sicherheitsl\u00fccken in MSHTML, der Engine des legend\u00e4ren Browsers. In den CVE-Beschreibungen gibt Microsoft Folgendes an:<\/p>\n Auch wenn Microsoft angek\u00fcndigt hat, die Anwendung Internet Explorer 11 auf bestimmten Plattformen einzustellen und das Programm Microsoft Edge Legacy zu verwerfen, werden die zugrunde liegenden MSHTML- und Skriptplattformen weiterhin unterst\u00fctzt. Die MSHTML-Plattform wird im Internet Explorer-Modus in Microsoft Edge sowie in anderen Anwendungen \u00fcber die WebBrowser-Steuerung verwendet. Die EdgeHTML-Plattform wird von WebView und einigen UWP-Anwendungen verwendet. Die Skriptplattformen werden von MSHTML und EdgeHTML verwendet, k\u00f6nnen aber auch von anderen Legacy-Anwendungen verwendet werden. Updates zur Behebung von Sicherheitsanf\u00e4lligkeiten in der MSHTML-Plattform und der Skript-Engine sind in den kumulativen IE-Updates enthalten. EdgeHTML- und Chakra-\u00c4nderungen gelten f\u00fcr diese Plattformen nicht.<\/p>\n Kunden, die ausschlie\u00dflich Reine Sicherheitsupdates installieren, empfehlen wir, die kumulativen IE-Updates f\u00fcr diese Sicherheitsanf\u00e4lligkeit zu installieren, damit sie umfassend gesch\u00fctzt sind.<\/p>\n Die gef\u00e4hrlichste der neu aufgedeckten IE-Schwachstellen ist CVE-2023-32046<\/a>, die bereits f\u00fcr konkrete Angriffe genutzt wird. Bei erfolgreicher Ausnutzung dieser Schwachstelle k\u00f6nnen Cyberkriminelle ihre Rechte auf die der Opfer erweitern. Die Angriffsszenarien umfassen die Erstellung einer Schaddatei, die per E-Mail an das Opfer gesendet oder auf einer kompromittierten Website gehostet wird. Angreifer m\u00fcssen den Benutzer dann nur noch dazu bringen, dem Link zu folgen und die Datei zu \u00f6ffnen.<\/p>\n Die \u00fcbrigen beiden Schwachstellen \u2013 CVE-2023-35308<\/a> und CVE-2023-35336<\/a> \u2013 k\u00f6nnen zur Umgehung von Sicherheitsfunktionen genutzt werden. \u00dcber die erste k\u00f6nnen Cyberkriminelle eine Datei erstellen, die den Mark-of-the-Web<\/em>-Mechanismus umgeht, sodass die Datei von Microsoft Office-Anwendungen auch au\u00dferhalb der gesch\u00fctzten Ansicht ge\u00f6ffnet werden kann. Beide Sicherheitsl\u00fccken k\u00f6nnen genutzt werden, um ein Opfer dazu zu verleiten, auf eine URL in einer weniger restriktiven Internet-Sicherheitszone zuzugreifen als beabsichtigt.<\/p>\n Auch die folgenden beiden Schwachstellen werden aktiv ausgenutzt, aber statt vollwertiger Patches wurden f\u00fcr sie lediglich Sicherheitsempfehlungen<\/em> ausgesprochen.<\/p>\n Die erste \u2013 CVE-2023-36884<\/a> (mit einem CVSS-Rating von 8.3) \u2013 wird im Rahmen der Storm-0978\/RomCom<\/a> RCE-Angriffe sowohl in Office als auch auf Windows ausgenutzt. Zum Schutz r\u00e4t Microsoft, alle ausf\u00fchrbaren Office-Programme zur Liste FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION hinzuzuf\u00fcgen.<\/p>\n Die zweite bislang nicht geschlossene Schwachstelle bezieht sich auf die Signierung von Treibern auf Kernel-Ebene. F\u00fcr sie gibt es keinen CVE-Index, sondern lediglich einen Leitfaden mit Empfehlungen (ADV-230001<\/a>). Microsoft hat eine Reihe von Entwickler-Zertifikaten, die in APT<\/a>-Angriffen verwendet wurden, widerrufen und mehrere sch\u00e4dliche Treiber blockiert, wobei die Ursache des Problems jedoch bestehen blieb. Nach wie vor gelingt es Hackern, Treiber mit Microsoft-Zertifikaten zu signieren oder sie r\u00fcckdatiert zu signieren, um sie als Ausnahme zu behandeln und die Signatur des MS-Entwicklerportals zu umgehen.<\/p>\n Als Gegenma\u00dfnahme empfiehlt Microsoft, sowohl Windows als auch EDR auf dem aktuellen Stand zu halten. Ein schwacher Trost ist die Tatsache, dass der Angreifer \u00fcber Administratorrechte verf\u00fcgen muss, um solche Treiber ausnutzen zu k\u00f6nnen.<\/p>\n Neben den bereits erw\u00e4hnten Schwachstellen gibt es noch 3 weitere Sicherheitsl\u00fccken, die ebenfalls aktiv von Cyberkriminellen ausgenutzt werden.<\/p>\nWarum wird der Internet Explorer erneut gepatcht?<\/h2>\n
Empfehlungen ersetzen Patches<\/h2>\n
Die verbleibenden Schwachstellen<\/h2>\n
\n
So k\u00f6nnen Sie sich sch\u00fctzen<\/h2>\n