Security

September-Patchday 2024

Microsoft verschweigt wichtige Info zu Zero-Day-Lücke

12.09.2024
Von 
Peter Marwan lotet kontinuierlich aus, welche Chancen neue Technologien in den Bereichen IT-Security, Cloud, Netzwerk und Rechenzentren dem ITK-Channel bieten. Themen rund um Einhaltung von Richtlinien und Gesetzen bei der Nutzung der neuen Angebote durch Reseller oder Kunden greift er ebenfalls gerne auf. Da durch die Entwicklung der vergangenen Jahre lukrative Nischen für europäische Anbieter entstanden sind, die im IT-Channel noch wenig bekannt sind, gilt ihnen ein besonderes Augenmerk.
Alle Artikel des Autors
Email: Connect:
Mit dem September-Patchday schließt Microsoft insgesamt 79 Sicherheitslücken in seinen Produkten. Vier davon werden als Zero-Day-Schwachstellen klassifiziert, die bereits ausgenutzt werden. Bei einer fünften weichen die Angaben von Microsoft und den Entdeckern voneinander ab.
Für den September-Patchday listet Microsoft vier Zero-Day-Lücken auf, der Trend Micro Zero Day Initiative zufolge sollten es aber fünf sein.
Für den September-Patchday listet Microsoft vier Zero-Day-Lücken auf, der Trend Micro Zero Day Initiative zufolge sollten es aber fünf sein.
Foto: Peter Marwan mit Flux Schnell via Nightcafé

Im Rahmen seines monatlichen Security-Updates im September 2024 hat Microsoft insgesamt 79 Schachstellen behoben. Dazu gehören auch mehrere fünf Zero-Day-Lücken. Bei vier davon weist der Hersteller darauf hin, dass sie bereits ausgenutzt werden - eine wichtige Information für alle, die - aus welchen Gründen auch immer - beim Patchen Prioritäten setzen müssen.

Allerdings befindet sich mit der Sicherheitslücke mit der Kennzeichnung CVE-2024-43461 noch eine weitere Zero-Day-Schwachstelle darunter. Sie steckt in MSHTML / EdgeHTML, das wiederum Teil des (abgekündigten) Internet Explorer 11 und älterer Microsoft- Edge-Anwendungen ist, hat einen CVSS-Base-Score von 8,8 und sei mit wenig Aufwand auszunutzen.

Allerdings erklärt Microsoft, die Schwachstelle werde aktuell noch nicht ausgenutzt. Deren Entdecker von der Trend Micro Zero Day Initiative (ZDI) sehen das jedoch anders. Dustin Childs, Sprecher der ZDI, schreibt im Blogpost zum September-Patchday: "Eine dieser CVEs [in der Microsoft-Liste für September] ist als öffentlich bekannt aufgeführt, und vier weitere werden zum Zeitpunkt der Veröffentlichung als aktiv angegriffen aufgeführt. Wir vom ZDI sind jedoch der Meinung, dass es fünf sein sollten."

Security-Expoerte sieht dringenden Handlunsbedarf

CVE-2024-43461 (Windows MSHTML Platform Spoofing Vulnerability) ähnelt laut Childs einer ebenfalls von der ZDI gemeldeten und bereits im Juli gepatchten Lücke (CVE-2024-38112). "Das ZDI Threat Hunting Team entdeckte diesen Exploit in freier Wildbahn und meldete ihn bereits im Juni an Microsoft. Es scheint, dass Bedrohungsakteure den vorherigen Patch schnell umgangen haben. Als wir Microsoft über den Fehler informierten, gaben wir an, dass er aktiv genutzt wird."

Childs erklärt weiter: "Wir sind uns nicht sicher, warum sie [Microsoft] ihn nicht als aktiv angegriffen auflisten, aber Sie sollten ihn so behandeln, als ob er aktiv angegriffen würde, insbesondere da er alle unterstützten Windows-Versionen betrifft."

Mehr zum Thema

Kritik an Microsofts Umgang mit Sicherheitslücken

Schwachstellen-Flut erfordert Umdenken bei IT-Security

Upgrade-Muffel müssen im Oktober handeln

Zur Startseite