Patchday: Angreifer infizieren Windows mit Nokoyawa-Ransomware
Microsoft hat wichtige Sicherheitsupdates für etwa Azure, Dynamics 365 und Windows veröffentlicht.
(Bild: heise online)
Am Patchday im April schließt Microsoft in Windows eine Sicherheitslücke, die Angreifer derzeit bereits ausnutzen. Außerdem haben die Entwickler einen zehn Jahre alten Sicherheitspatch wiederveröffentlicht.
Die zurzeit ausgenutzte Windows-Lücke (CVE-2023-28252) ist mit dem Bedrohungsgrad „hoch“ eingestuft und wurde einem Beitrag zufolge von Kaspersky entdeckt. Die Schwachstelle betrifft das Common Log File System (CLFS) des Betriebssystems und betrifft neben Windows 10 und 11 auch mehrere Server-Versionen.
Angreifer könnten mit einer präparierte CLFS-Logdatei im .blf-Dateiformat an der Lücke ansetzen. Dafür benötigen sie den Sicherheitsforschern nach aber bereits Zugriff mit Nutzerrechten auf einen verwundbaren PC. Wie eine Attacke im Detail abläuft und in welchem Umfang die Angriffe stattfinden, ist derzeit nicht bekannt. Über die aktuellen Angriffe soll die Ransomware Nokoyawa Windows infizieren.
Schadcode-Lücken
Sieben Schwachstellen, über die Angreifer eigenen Code auf Systemen ausführen können, stuft Microsoft als "kritisch" ein. Davon ist beispielsweise Microsoft Message betroffen (CVE-2023-21554). Computer sind aber nur angreifbar, wenn der Message-Queuing-Service aktiv ist, was standardmäßig nicht der Fall sein soll. Läuft der Service, könnten Angreifer ohne Authentifizierung an der Lücke ansetzen und Schadcode mit erhöhten Rechten ausführen.
Der Großteil der verbleibenden Schwachstellen ist mit dem Bedrohungsgrad "hoch" eingestuft. Davon sind unter anderem Azure, PostScript und SharePoint Server betroffen. Auch hier könnten entfernte Angreifer in vielen Fällen eigenen Code auf PCs schieben und ausführen. So etwas führt in der Regel zu vollständig kompromittierten Systemen.
Zehn Jahre alte Lücke wieder aktuell
Außerdem hat Microsoft die Dokumentation und Empfehlungen für Firmen zu einer zehn Jahre alten Lücke (CVE-2013-3900 "hoch") überarbeitet. Der Grund sind Attacken in der jüngsten Vergangenheit. Im Kontext von WinVerifyTrust kann es zu Sicherheitsproblemen bei Signaturprüfungen kommen und es kann Schadcode auf Systeme gelangen. Das Update ist aber optional. Microsoft empfiehlt allen Autoren von ausführbaren Dateien die Installation.
Weitere Informationen zu den Schwachstellen und Sicherheitspatches listet Microsoft im Leitfaden für Sicherheitsupdates auf.
(des)
