Ein Microsoft Update ermöglicht Angreifern ohne Anmeldung, Schadcode einzuschleusen
Microsoft hat im September ein Update bereitgestellt, um eine Sicherheitslücke zu schließen, die als kritisch eingestuft wurde. Die Schwachstelle wurde zunächst als mittelgroßes Risiko angesehen, da es vermutlich nur möglich war, unbefugt Informationen auszulesen. Die IBM-Sicherheitsforscherin Valentina Palmiotti hat jedoch festgestellt, dass die Lücke es ermöglicht, Schadcode auszuführen, ohne dass eine vorherige Authentifizierung erforderlich ist, und das auch aus dem Internet heraus.
Fehlerhafter Sicherheitsmechanismus
Die Sicherheitslücke befindet sich in einem Mechanismus namens SPNEGO Extended Negotiation (NEGOEX), der es Clients und Servern ermöglicht, den zu verwendenden Sicherheitsmechanismus von Verbindungen auszuhandeln. Angreifer könnten Schadcode aus dem Internet einschleusen, indem sie ein beliebiges Windows-Anwendungsprotokoll mit manipuliertem Verkehr aufrufen, das Nutzer standardmäßig authentifiziert. Dazu gehören beispielsweise SMB (Server Message Block), RDP (Remote Desktop Protocol) und SMTP (Simple Mail Transfer Protocol). Wenn für HTTP-Zugriffe auf einen Dienst SPNEGO-Authentifizierung aktiviert wurde, z.B. mittels Kerberos, ist auch dieses Protokoll anfällig.
Einige IT-Experten glauben, dass eine Schwachstelle in Microsoft Windows-Betriebssystemen das Potenzial hat, von Schadsoftware ausgenutzt zu werden. Dies erinnert sie an Angriffe auf eine ähnliche Schwachstelle vor fünf Jahren, die als WannaCry bekannt wurden. Microsoft hat die Sicherheitsnotiz zu dieser Schwachstelle aktualisiert und die Risikobewertung, die Auswirkungen und die Einstufung nach dem Common Vulnerability Scoring System (CVSS) auf „kritische Remote Code Execution“ heraufgestuft. Dies bedeutet, dass das Risiko weiterhin hoch bleibt. Allerdings stuft Microsoft die Angriffskomplexität als hoch ein, da Angreifer zunächst bestimmte Informationen oder Zugriffe im lokalen Netzwerk erlangen müssten. Betroffen sind alle Windows-Versionen von Windows 7 bis Windows 11, auch Windows RT 8.1, sowie Windows Server 2008 R2 bis Server 2022. Es wird empfohlen, dass Administratoren den Sicherheitspatch zur Schließung der Schwachstelle so schnell wie möglich installieren.