Aufgrund von laufenden Attacken sollten Windows-Admins die aktuellen Sicherheitsupdates zügig installieren.
Derzeit schlüpft ein Trojaner für den Fernzugriff durch eine Schwachstelle in verschiedenen Windows- und Windows-Server-Versionen. Ferner hat sich Microsoft um “kritische” Lücken in Office und Exchange gekümmert.
Vorsicht vor Attacken!
Von den beiden zurzeit von Angreifer ausgenutzten Schwachstellen (CVE-2024-21351 “hoch“, CVE-2024-21412 “hoch“) sind neben älteren auch die aktuelle Windows-Ausgabe 11 und Windows Server 2022 bedroht. In beiden Fällen umgehen Angreifer Sicherheitsfunktionen von Windows, um Schadcode abzuladen. Dabei umgehen sie die Schutzfunktion SmartScreen von Microsoft Defender.
Der Ansatz untersucht Dateien auf eine Mark-of-the-Web-Markierung (MotW). Diese zeigt an, ob eine heruntergeladene Datei aus einer vertrauenswürdigen Quelle stammt. Ist das nicht der Fall, wird die Ausführung der Datei verhindert. Im aktuellen Fall umgehen etwa Angreifer der Hydra-Gruppe den Ansatz und infizieren Computer im Finanzmarkt-Sektor, wie Sicherheitsforscher von Trend Micro in einem Bericht ausführen.
Weitere Gefahren
Als “kritisch” gelten eine Lücke (CVE-2024-21410) in Exchange Server und eine Schwachstelle (CVE-2024-21413) in Office. An der Exchange-Lücke sollen entfernte Angreifer ohne Authentifizierung ansetzen können. Klappt eine Attacke, können sie auf NTLM-Zugangsdaten zugreifen und sich so als anderer Nutzer ausgeben. Um solche Attacken vorzubeugen, müssen Admins das Exchange Server 2016 Cumulative Update 23, Exchange Server 2019 Cumulative Update 13 oder Exchange Server 2019 Cumulative Update 14 installieren. Weitere Informationen dazu führt Microsoft in einem Beitrag aus.
Durch die Office-Lücke können Angreifer den geschützten Modus beim Öffnen von Dateien aushebeln. Darüber kann dann sogar in der Vorschauansicht Schadcode auf Systeme gelangen.
Der Großteil der verbleibenden Schwachstellen ist mit dem Bedrohungsgrad “hoch” eingestuft. Davon sind unter anderem ActiveX, Dynamics 365 und Defender betroffen. In diesem Kontext sind Schadcode-Attacken vorstellbar, Angreifer können sich aber auch höhere Nutzerrechte aneignen.
Sicherheitsupdates für die kritische Exchange-Lücke korrigiert.