März 2024 Patch-Dienstag: Microsoft behebt kritische Bugs in Windows Hyper-V

Microsoft hat am Patch Tuesday (März 2024) Fixes für 59 mit CVE gekennzeichnete Sicherheitslücken veröffentlicht, von der keine derzeit öffentlich bekannt oder aktiv ausgenutzt wird.

Letzten Monat jedoch, einige Tage nach dem Patch Tuesday, aktualisierte das Unternehmen zwei Hinweise, die darauf hinweisen, dass diese speziellen Sicherheitslücken ausgenutzt werden.

Eine der beiden - CVE-2024-21338, eine Sicherheitslücke, die den Windows-Kernel betrifft - war Microsoft von Avast-Forschern gemeldet worden, die später mitteilten, dass sie von nordkoreanischen Hackern bereits Monate vor der Veröffentlichung des Patches ausgenutzt wurde. Microsoft wusste das natürlich schon bei der Veröffentlichung des entsprechenden Hinweises, bestätigte aber die Ausnutzung der Sicherheitslücke erst, nachdem Avast die Informationen veröffentlicht hatte.

Sicherheitslücken von besonderer Bedeutung

Zwei kritische Windows Hyper-V Sicherheitslücken wurden behoben, eine (CVE-2024-21407), die Remotecodeausführung (RCE) über einen so genannten Guest-to-Host Escape ermöglicht, und die andere Denial-of-Service (CVE-2024-21408). Warum eine DoS-Sicherheitslücke als "kritisch" eingestuft werden sollte, hat Microsoft nicht erklärt, aber Administratoren wird empfohlen, Windows-Systeme, auf denen der Hypervisor läuft, zu aktualisieren.

Dustin Childs, Head of Threat Awareness bei der Zero Day Initiative von Trend Micro, bezeichnete CVE-2024-26198, eine nicht authentifizierte RCE-Sicherheitslücke, die Microsoft Exchange Server betrifft, als kritisch.

Bei diesem Fehler handelt es sich um eine klassische Sicherheitslücke beim Laden von DLLs. Ein Angreifer platziert eine speziell gestaltete Datei an einem Ort, den er kontrolliert. Anschließend verleitet er einen Benutzer dazu, die Datei zu öffnen, wodurch die manipulierte DLL geladen und Code ausgeführt wird.

Der Patch wird über kumulative Updates für Microsoft Exchange Server 2016 und 2019 bereitgestellt. (Exchange Online-Kunden sind bereits geschützt, so das Exchange-Team von Microsoft).

CVE-2024-21400, eine Sicherheitslücke mit erhöhten Rechten, die Azure Kubernetes Service (AKS) Confidential Containers betrifft, ermöglicht es nicht authentifizierten Angreifern, Anmeldeinformationen zu stehlen und Ressourcen zu manipulieren, die nicht für den Zugriff vorgesehen sind.