Microsoft hat im Rahmen seines November Patch Tuesday über 90 Sicherheitslücken geschlossen, darunter vier besonders kritische Zero-Day Schwachstellen. Zwei dieser Schwachstellen wurden bereits aktiv von Cyberkriminellen ausgenutzt, was die Dringlichkeit der Systemaktualisierungen unterstreicht.
Aktiv ausgenutzte Zero-Day Schwachstellen im Detail
Die erste kritische Schwachstelle CVE-2024-43451 mit einem CVSS-Score von 6.5 ermöglicht Angreifern den Zugriff auf NTLM-Authentifizierungs-Hashes durch minimale Benutzerinteraktion. Ein einfacher Klick auf eine präparierte Datei genügt, um ein System zu kompromittieren. Diese Schwachstelle wurde von ClearSky Cyber Security entdeckt und dokumentiert.
Besonders besorgniserregend ist die zweite aktiv ausgenutzte Schwachstelle CVE-2024-49039 (CVSS 8.8) im Windows Task Scheduler. Angreifer können durch speziell entwickelte Anwendungen Privilegien auf Medium Integrity Level erhöhen und privilegierte RPC-Funktionen aus niedrig privilegierten Kontexten ausführen.
Weitere kritische Sicherheitslücken
Der Microsoft Exchange Server ist von der Zero-Day Schwachstelle CVE-2024-49040 betroffen, die das Spoofing von E-Mail-Absenderadressen ermöglicht. Als Zwischenlösung hat Microsoft ein Warnsystem für verdächtige E-Mails implementiert, während an einer vollständigen Lösung gearbeitet wird.
Eine weitere schwerwiegende Schwachstelle CVE-2024-49019, bekannt als EKUwu, betrifft die Active Directory Certificate Services. Angreifer können durch Manipulation von Version 1 Zertifikatsvorlagen Domain Admin-Rechte erlangen – eine besonders gefährliche Eskalationsmöglichkeit in Unternehmensumgebungen.
Remote Code Execution mit höchster Kritikalität
Zwei weitere Schwachstellen erreichen mit einem CVSS-Score von 9.8 die höchste Kritikalitätsstufe: CVE-2024-43498 in .NET-Anwendungen ermöglicht Remote Code Execution durch manipulierte Web-Requests. Die Schwachstelle CVE-2024-43639 im Windows Kerberos-Dienst erlaubt nicht authentifizierten Angreifern die Remote-Ausführung von Code durch Ausnutzung des Authentifizierungsprotokolls.
Angesichts der Schwere dieser Sicherheitslücken und ihrer aktiven Ausnutzung ist unmittelbares Handeln erforderlich. Systemadministratoren sollten prioritär die aktuellen Microsoft-Sicherheitsupdates einspielen und zusätzliche Schutzmaßnahmen implementieren. Dazu gehören verstärktes Systemmonitoring, die Aktivierung der Multi-Faktor-Authentifizierung sowie regelmäßige Backups kritischer Daten. Eine verzögerte Implementierung dieser Updates könnte schwerwiegende Sicherheitsvorfälle nach sich ziehen.
