Der Microsoft Patch Tuesday im April ’23 brachte Patches und Updates für 114 Sicherheitslücken, von denen 7 als kritisch eingestuft wurden, sowie eine Korrektur für eine aktiv in the wild ausgenutzte Sicherheitslücke.
Die als CVE-2023-28252 identifizierte, aktiv ausgenutzte Sicherheitslücke ermöglicht es einem Angreifer, die höchsten Systemrechte auf dem anfälligen System zu erlangen. Sie betrifft den Windows Common Log File System-Treiber, ein universelles Protokollierungs-Subsystem, das erstmals im Betriebssystem Windows 2003 R2 eingeführt wurde. Diese Schwachstelle wurde von Cyber-Kriminellen ausgenutzt, um Nokoyawa-Ransomware zu verbreiten. Dabei handelt es sich um einen neuen Stamm, für den es einige Open-Source-Informationen gibt, die darauf hindeuten, dass er möglicherweise mit der Ransomware Hive in Verbindung steht – eine der bemerkenswertesten Ransomware-Familien des Jahres 2021, die innerhalb weniger Monate mit Sicherheitsverletzungen bei mehr als 300 Unternehmen in Verbindung gebracht wurde. Obwohl noch unklar ist, wer genau Nokoyawa als Bedrohungsakteur oder APT-Gruppe einsetzt, wurden Ziele in Süd- und Nordamerika, Regionen in Asien und KMUs im Nahen Osten beobachtet.
Dies ist nicht das erste Mal, dass dieser spezielle Treiber ein attraktives Ziel für Bedrohungsakteure ist. Im September 2022 beseitigte MSFT eine weitere Sicherheitslücke – CVE-2022-37969, von der bekannt war, dass sie in the wild ausgenutzt wurde – die dieselbe Komponente betraf. CVE-2022-37969 wurde von einem unbekannten Bedrohungsakteur ausgenutzt, um sich erweiterte Rechte zu verschaffen, sobald er auf dem System Fuß gefasst hatte.
MSFT hat außerdem zwei kritische Sicherheitslücken behoben, die den Windows Message Queuing-Dienst betreffen (CVE-2023-28250 und CVE-2023-21554). Obwohl keine dieser beiden CVEs bisher in freier Wildbahn ausgenutzt wurde, bleibt das Risiko hoch, da sie einen CVSSv3-Basiswert von 9,8/10 haben und potenziell mit Würmern infiziert werden können. Mit diesem Patch Tuesday hat MSFT einige kritische Schwachstellen behoben, von denen wir Unternehmen empfehlen, vorrangig die Schwachstellen zu patchen, die aktiv ausgenutzt werden.
