Microsoft hat wichtige Sicherheitsupdates für etwa Azure, Office und Windows veröffentlicht.
Am Patchday im Oktober hat Microsoft unter anderem 13 “kritische” Sicherheitslücken in seinen Softwareprodukten geschlossen. Drei Schwachstellen nutzen Angreifer derzeit bereits aus.
Microsoft-Zero-Days: Laufende Attacken
Angreifer haben eine Lücke (CVE-2023-44487, “hoch“) im HTTP/2-Protokoll im Visier. Das Sicherheitsproblem betrifft mehrere Windows-Versionen und Visual Studio. Hier kann es zu DoS-Zuständen kommen.
Eine weitere attackierte Lücke (CVE-2023-36563, “mittel“) betrifft WordPad. Damit eine Attacke klappt, muss ein Angreifer aber bereits an einem System angemeldet sein und eine präparierte Anwendung ausführen können. Alternativ müsste ein Opfer eine von Angreifern vorbereitete Datei öffnen. Ist das gegeben, können Angreifer auf NTML-Hashes zugreifen und Microsoft zufolge die Kontrolle über einen PC erlangen.
Die dritte bereits ausgenutzte Schwachstelle (CVE-2023-41763, “mittel”) steckt in Skype for Business. An dieser Stelle können Angreifer über einen Anruf eine HTTP-Anfrage auslösen und umleiten. So ist der Zugriff auf sensible Informationen vorstellbar.
Weitere Sicherheitslücken
Darüber hinaus ist noch das Layer-2-Tunneling-Protokoll für Attacken anfällig und es kann in diesem Kontext zur Ausführung von Schadcode kommen. Eine Lücke (CVE-2023-35349) in Message Queuing gilt als “kritisch“. Darüber können Angreifer Schadcode auf Systeme schieben und ausführen. Wenn der Servcie auf mehreren Systemen aktiv ist, kann sich Schadcode wurmartig verbreiten und weitere Computer befallen.
Unter anderem Azure und Microsoft DirectMusic sind ebenfalls für Schadcode-Attacken anfällig. Weitere Informationen zu betroffenen Produkten und verfügbaren Sicherheitspatches listet Microsoft im Security Update Guide auf.