Microsoft behebt sechs aktiv ausgenutzte Zero-Day-Schwachstellen in Windows

Microsoft hat am Dienstag den Patch Tuesday für August 2024 veröffentlicht, der Sicherheitsupdates für 90 Schwachstellen in Windows und Betriebssystemkomponenten enthält, darunter sechs aktiv ausgenutzte und vier öffentlich bekannt gewordene Zero-Day-Schwachstellen.

„Obwohl dies nicht die größte Veröffentlichung ist, ist es ungewöhnlich, so viele Fehler in einer einzigen Veröffentlichung als öffentlich oder unter aktivem Angriff gelistet zu sehen“, schrieben die Forscher des Zero Day Initiative (ZDI) Programms von Trend Micro in einer Analyse.

Nachfolgend sind die Details zu den sechs aktiv ausgenutzten Zero-Day-Schwachstellen aufgeführt, die im August 2024 im Patch Tuesday behoben wurden:

CVE-2024-38178: Schwachstelle zur Speicherbeschädigung im Scripting Engine ( CVSS 7.5/10)

Diese Zero-Day-Schwachstelle, die von Ahn Lab und dem National Cyber Security Center (NCSC) Südkoreas gemeldet wurde, ist eine Speicherbeschädigung im Windows Scripting Engine, die zu einer Remote-Code-Ausführung (RCE) führen kann. Der Angriff erfordert, dass ein authentifizierter Client dazu verleitet wird, auf einen Link zu klicken, damit ein nicht authentifizierter Angreifer die Remote-Code-Ausführung initiieren kann.

Laut Microsoft kann diese Schwachstelle nur erfolgreich ausgenutzt werden, wenn das Ziel Edge im Internet Explorer (IE) Modus verwendet. Der Angreifer müsste dann den Benutzer dazu bringen, auf eine speziell gestaltete URL zu klicken.

CVE-2024-38189 — Remote-Code-Ausführungsschwachstelle in Microsoft Project (CVSS 8.8/10)

Diese Schwachstelle ist ein Remote-Code-Ausführungsfehler in Microsoft Project, der in der Wildnis durch bösartig gestaltete Dateien ausgenutzt wird.

„Die Ausnutzung erfordert, dass das Opfer eine bösartige Microsoft Office Project-Datei auf einem System öffnet, auf dem die Richtlinie ‘Makros in Office-Dateien aus dem Internet blockieren’ deaktiviert ist und die VBA-Makrobenachrichtigungseinstellungen nicht aktiviert sind, wodurch der Angreifer Remote-Code-Ausführung durchführen kann“, erklärt die Mitteilung.

Microsoft hat nicht bekannt gegeben, wer die oben genannte Schwachstelle entdeckt hat oder wie sie in der Wildnis ausgenutzt wurde.

CVE-2024-38107 — Schwachstelle zur Erhöhung der Berechtigungen im Windows Power Dependency Coordinator (CVSS 7.8/10)

Dies ist ein Fehler zur Erhöhung der Berechtigungen im Windows Power Dependency Coordinator. Wenn ein Angreifer diese Schwachstelle erfolgreich ausnutzt, könnte er SYSTEM-Ebene Berechtigungen auf einem Zielcomputer erlangen. Microsoft hat keine Details darüber bereitgestellt, wer den Fehler offengelegt hat.

CVE-2024-38106 – Schwachstelle zur Erhöhung der Berechtigungen im Windows-Kernel (CVSS 7.0/10)

Diese Zero-Day-Schwachstelle, die im Windows-Kernel existierte, wurde anonym an Microsoft gemeldet.

„Die erfolgreiche Ausnutzung dieser Schwachstelle erfordert, dass ein Angreifer einen Wettlauf gewinnt“, erklärt die Mitteilung von Microsoft. „Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, könnte SYSTEM-Berechtigungen erlangen.“

CVE-2024-38213 — Schwachstelle zum Umgehen der Sicherheitsfunktion ‘Mark of the Web’ in Windows (CVSS 6.5/10)

Dieser Fehler ermöglicht es Angreifern, die Sicherheitsfunktion ‘Mark of the Web’ (MoTW) in Windows zu umgehen. Um diese Schwachstelle erfolgreich auszunutzen, muss ein Angreifer dem Benutzer eine bösartige Datei senden und ihn überzeugen, diese zu öffnen, damit er die SmartScreen-Benutzererfahrung umgehen kann.

CVE-2024-38193 – Schwachstelle zur Erhöhung der Berechtigungen im Windows Ancillary Function Driver für WinSock (CVSS: 7.8/10)**

Diese Schwachstelle, die von Luigino Camastra und Milánek mit Gen Digital entdeckt wurde, ermöglicht es Angreifern, SYSTEM-Berechtigungen auf Windows-Systemen zu erlangen.

Für detaillierte Informationen zu den vier öffentlich bekannt gewordenen Zero-Day-Schwachstellen können Sie hier klicken.

Microsoft hat empfohlen, dass Windows-Benutzer und Systemadministratoren die Aktualisierung ihrer Systeme priorisieren, da diese anfällig für Remote-Code-Ausführung, Berechtigungseskalation und Angriffe zum Umgehen von Sicherheitsfunktionen sind.