RSS Zero Day Initiative - Blog Notiz

RSS Zero Day Initiative - Blog

Zebra Dining ist ein Online-Blog, der sich auf Esskultur und Lebensstil-Dienstleistungen konzentriert. Sie teilen verschiedene Artikel und Anleitungen zum Thema Essen, Restaurants und Esserlebnisse. Ihr Blog bietet Bewertungen, Empfehlungen und Einblicke, die Lesern helfen, ihre Esserlebnisse und Lebensweise zu verbessern.

Notizfaden

CdXz5zHNQW_dJZTAjgLHS.jpeg
Die Trend Micro Zero Day Initiative hat eine kritische Schwachstelle in NVIDIAs Transformers4Rec-Bibliothek entdeckt, die die Ausführung von Remote-Code mit Root-Berechtigungen ermöglicht. Diese Schwachstelle, CVE-2025-23298, beruht auf unsicherer Deserialisierung beim Laden von Modell-Checkpoints mit Pythons Pickle-Modul. Transformers4Rec, Teil des Merlin-Ökosystems, wird häufig für Empfehlungsaufgaben verwendet und integriert sich in Hugging Face Transformers. Der Fehler liegt in der Funktion load_model_trainer_states_from_checkpoint, die torch.load() direkt ohne Sicherheitsparameter verwendet und sie so bösartigen Pickle-Dateien aussetzt. Pickles __reduce__-Methode ermöglicht die Ausführung von beliebigem Code während der Deserialisierung. Die Angriffsfläche ist aufgrund des üblichen Modell-Sharings und des Vertrauens in Checkpoint-Dateien erheblich, insbesondere da diese Prozesse oft mit erhöhten Berechtigungen ausgeführt werden. Ein bösartiger Checkpoint könnte Systembefehle ausführen, bevor Modellgewichte geladen werden. Die realen Auswirkungen umfassen Remote-Code-Ausführung, Privilegienerweiterung, Datenexfiltration und Supply-Chain-Angriffe. NVIDIA hat die Schwachstelle durch die Implementierung eines benutzerdefinierten Laderahmens behoben, der die Deserialisierung auf zugelassene Klassen beschränkt. Dieser Vorfall unterstreicht die allgegenwärtigen Sicherheitsprobleme im ML/AI-Ökosystem aufgrund der Abhängigkeit von Pickle. Entwickler werden dringend aufgefordert, Pickle für nicht vertrauenswürdige Daten zu vermeiden, weights_only=True zu verwenden, zugelassene Klassen einzuschränken und sichere Serialisierungsformate wie Safetensors in Betracht zu ziehen. Organisationen sollten die Herkunft von Modellen prüfen, Signaturen implementieren und das Laden von Modellen in einer Sandbox durchführen. Die ML-Community muss sich von Pickle lösen und Sicherheit bei der Gestaltung von Frameworks priorisieren.
CdXz5zHNQW_ETMuumC4hx.jpeg
Adobe hat im September neun Sicherheitsbulletins veröffentlicht, die 22 eindeutige CVEs in verschiedenen Produkten wie Acrobat Reader, After Effects und Premiere Pro beheben. Nur das ColdFusion-Update wird als Priorität 1 eingestuft, obwohl keine Ausnutzung festgestellt wurde. Das Commerce-Update behebt einen einzigen kritischen Fehler, ebenfalls ohne festgestellte Ausnutzung. Acrobat erhält einen Patch für einen kritischen und einen moderaten Fehler. After Effects enthält Korrekturen für drei wichtige Fehler. Premiere Pro erhält einen Patch für eine potenzielle Codeausführungs-Schwachstelle. Substance 3D Viewer und Modeler haben jeweils drei behobene Codeausführungsfehler. Experience Manager hat mit sieben die meisten Korrekturen, von denen eine kritisch ist. Der Patch von Dreamweaver korrigiert einen Cross-Site-Request-Forgery-Fehler. Keine der Adobe-Schwachstellen im September war zum Zeitpunkt der Veröffentlichung öffentlich bekannt oder wurde aktiv ausgenutzt. Microsoft hat im September 80 neue CVEs veröffentlicht, die Windows, Office, Azure und mehr abdecken, wobei acht als kritisch und die restlichen als wichtig eingestuft wurden. Diese Menge setzt Microsoft deutlich vor den Patch-Veröffentlichungen des Vorjahres. Ein öffentlich bekannter Fehler existiert, aber keiner wird aktiv angegriffen. Eine kritische Schwachstelle in Microsoft HPC Pack ermöglicht die Remote-Codeausführung ohne Benutzerinteraktion. Microsoft Office weist weiterhin Codeausführungs-Schwachstellen über seine Vorschau-Funktion auf. Eine Windows NTLM Elevation of Privilege-Schwachstelle ermöglicht die Eskalation auf SYSTEM mit geringer Ausnutzungskomplexität.
CdXz5zHNQW_QWIp701lml.png
"Ein Schwachpunkt in Cisco Identity Services Engine (ISE), speziell in der enableStrongSwanTunnel-Methode, ermöglichte die Eingabe von Befehlen als Root. Dies wurde ursprünglich als Deserialisierungs-Schwachstelle gemeldet, aber auch eine Schwachstelle für die Eingabe von Befehlen entdeckt. Der Forscher Kentaro Kawane entdeckte, dass Daten, die von einem Angreifer bereitgestellt wurden, verwendet wurden, um Shell-Skripte mit sudo-Rechten auszuführen. Die Ausnutzung erwies sich als komplexer als ursprünglich erwartet, weil die Java-Methode exec() Befehle tokenisiert. Java's StringTokenizer ignoriert Anführungszeichen, was die direkte Ausführung von Befehlen verhindert; jedoch umging der Forscher dies, indem er die interne Variable für den Feldtrenner (${IFS}) von Bash verwendete. Dies ermöglichte die Eingabe von Befehlen als einziges Argument, wodurch Tokenisierungsprobleme vermieden wurden. Die eingegebenen Befehle liefen zunächst innerhalb eines Docker-Containers, aber weil der Container in privilegierter Mode lief, verwendete der Forscher eine "User-Mode-Helpers"-Technik, um den Container zu verlassen und Root-Zugriff auf das Host-System zu erlangen. Eine Base64-Codierung wurde verwendet, um die Begrenzung des Leerzeichens in der Payload zu umgehen. Der vollständige Exploit umfasste das Senden einer speziell gestalteten POST-Anfrage an das verwundbare Endpoint. Diese erfolgreiche Ausnutzung demonstriert eine Kombination von Schwachstellen, die zu einer vollständigen Systemkompromittierung führen. Der Forscher betont die Wichtigkeit des Verständnisses sowohl des Verhaltens von Java's exec() als auch der Fähigkeiten privilegierter Docker-Container. Weitere Forschung in diesem Bereich ist geplant."
CdXz5zHNQW_BI9SLIJrly.jpeg
Manfred Paul nutzte eine Schwachstelle (CVE-2025-4919, ZDI-25-291) im IonMonkey-JavaScript-JIT-Compiler von Firefox während des Pwn2Own Berlin 2025 aus. Die Schwachstelle befand sich in der ExtractLinearSum-Funktion, die für die Vereinfachung linearer Ausdrücke verwendet wird. Diese Funktion behandelte den Modulo-Mathematikraum inkorrekt, was zu Problemen bei den Grenzprüfungen führte. Die TryEliminateBoundsCheck-Funktion, die ExtractLinearSum nutzte, kombinierte Grenzprüfungen ohne Berücksichtigung möglicher ganzzahliger Überläufe. Dieser Fehler ermöglichte es, Grenzprüfungen in großen typisierten Arrays zu umgehen. Das Ausnutzen dieser Schwachstelle erforderte die Erstellung eines großen typisierten Arrays und die Manipulation von Indizes, um einen out-of-bounds-Lese- oder Schreibzugriff auszulösen. Der Exploit verwendete bitweise Operationen, um Zwangsadditionen zu erzwingen und die Grenzprüfungsbeseitigung zu täuschen. Ein BigInt wurde verwendet, um Compiler-Optimierungen zu verhindern, die den Exploit sonst behindert hätten. Die Wurzel der Schwachstelle liegt in der inkonsistenten Handhabung des Mathematikraums innerhalb der verschiedenen Aufrufstellen der ExtractLinearSum-Funktion. Ähnliche Schwachstellen könnten in anderen Teilen des Ion-Compilers existieren, die ExtractLinearSum für Schleifenanalyse verwenden. Mozilla patchte die Schwachstelle in Firefox 138.0.4. Der Exploit demonstrierte die Gefahr unkontrollierter ganzzahliger Operationen in JIT-Compilern.
CdXz5zHNQW_sqeUCNKfYs.jpeg
CdXz5zHNQW_E82TteXz7y.jpeg
"Im Apple macOS Betriebssystem wurde eine Codeausführungs-Schwachstelle entdeckt, und zwar im Scriptable Image Processing System (sips) Utility. Die Schwachstelle beruht auf der fehlenden ordnungsgemäßen Validierung der Tag-Typen "lutAToBType" und "lutBToAType" in ICC-Profildateien. Ein Remote-Angreifer kann diese Schwachstelle ausnutzen, indem er ein Opfer dazu verleitet, eine speziell präparierte Datei zu öffnen, was zur Codeausführung auf dem Rechner des Opfers im Kontext des laufenden Prozesses führt. Die Schwachstelle liegt in der Funktion sub_1000194D0(), die die getaggten Elementdaten in ICC-Profildateien verarbeitet. Die Funktion validiert den Wert des Feldes "Offset to CLUT" nicht ordnungsgemäß, was es einem Angreifer ermöglicht, einen Offset festzulegen, der der Gesamtlänge der getaggten Elementdaten entspricht, wodurch die Funktion Speicher über das Ende des Heap-allozierten Puffers hinaus lesen und verändern kann. Ein Remote-Angreifer kann diese Schwachstelle ausnutzen, indem er eine bösartige ICC-Profildatei erstellt und das Opfer dazu verleitet, diese mit einer anfälligen Version der sips-Tools zu verarbeiten. Um einen Angriff zu erkennen, der diese Schwachstelle ausnutzt, müssen Erkennungsgeräte den Datenverkehr auf bestimmten Ports und Diensten überwachen und analysieren sowie den Inhalt von ICC-Profildateien inspizieren. Das Erkennungsgerät sollte das Feld der Profilsignatur überprüfen und die Größe der Tag-Tabelle berechnen sowie die getaggten Elementdaten auf verdächtige Aktivitäten untersuchen. Apple hat diese Schwachstelle behoben, und es wurden keine Angriffe in freier Wildbahn festgestellt. Es wird empfohlen, den Vendor-Patch anzuwenden, um dieses Problem vollständig zu beheben."
CdXz5zHNQW_YdZdrDpgEK.jpeg
Use-after-free-Fehler, eine Art von Speicherbeschädigung, sind schwierig zu erkennen, wenn sie statisch analysiert werden. Dieser Beitrag untersucht die Verwendung von Binary Ninjas MLIL, um einen Datenflussgraphen zu erstellen, der die Interaktionen bei der Speicherzuweisung nachverfolgt. Der Graph stellt Speicherbereiche als Knoten und Pointer-Speicherungen als Kanten dar, wobei Knoten für die Zuweisung, den Stack-Frame, den dynamischen Speicher und den globalen Speicher verwendet werden. SSA-Variablen werden Knoten zugeordnet und Offsets werden gespeichert, um Pointer-Arithmetik darzustellen. Speicher-Speicher- und Ladeoperationen erstellen Graphkanten, wobei angenommen wird, dass vorherige Initialisierung für Ladeoperationen außerhalb des Funktionsumfangs erfolgt ist. Informationen werden durch den Graphen basierend auf SSA-Variablen-Zuweisungen und Offset-Berechnungen während der Pointer-Arithmetik propagiert. Aufrufe werden analysiert, wenn Argumente Zuordnungen oder Stack-Offsets bestimmte Bedingungen erfüllen, wobei Rekursion gemanagt wird, um unendliche Schleifen zu vermeiden. Nach der Graphenerstellung werden Anweisungen, die von dem nachverfolgten Zuweisungsknoten abhängig sind, protokolliert. Diese Analyse hilft, potenzielle UAF-Schwachstellen durch kontextunabhängige Erreichbarkeit zu identifizieren. Der Ansatz erkennt an, dass inhärente Klassifikationsfehler bei der statischen Analyse auftreten können, aber adaptierbare Primitiven für andere Schwachstellen hervorhebt.
CdXz5zHNQW_I95VORuwRf.jpeg
Der Artikel beschreibt die Entwicklung eines Elektrofahrzeug-Simulators (EV-Simulator) zur Erforschung und zum Reverse-Engineering von Ladeeinrichtungen für Elektrofahrzeuge der Stufe 2 (EVSE). Der Simulator ist so konzipiert, dass er das Verhalten eines Elektrofahrzeugs nachbildet und es Forschern ermöglicht, die EVSE in verschiedenen Zuständen, wie z. B. Laden und Leerlauf, zu testen. Der EV-Simulator basiert auf dem SAE J1772-Standard, der das Kommunikationsprotokoll zwischen EVSE und Elektrofahrzeug definiert. Der Simulator verwendet einen Drehschalter zur Simulation verschiedener Widerstandswerte, die zur Kommunikation mit der EVSE verwendet werden. Das Gerät enthält außerdem eine Diode und ein kostengünstiges Oszilloskop zur Überwachung des vom EVSE gesendeten PWM-Signals. Die Autoren betonen die Bedeutung der Sicherheit beim Umgang mit Hochspannungsgeräten und liefern eine Liste der verwendeten Komponenten zum Bau des Simulators. Das Gerät wurde an mehreren Ladegeräten der Stufe 2 verschiedener Hersteller getestet und hat diese erfolgreich in den Ladezustand versetzt. Die Autoren erwähnen auch vorgefertigte Alternativen, die für die Forschung verwendet werden können, bemerken aber, dass diese möglicherweise nicht den gleichen Grad an Kontrolle und Messgenauigkeit bieten wie der selbstgebaute Simulator. Der Artikel schließt mit der Hervorhebung der Bedeutung der fortgesetzten Forschung zur Sicherheit von EVSE und dem Potenzial für zukünftige Wettbewerbe und Veranstaltungen zu diesem Thema.
CdXz5zHNQW_TyiWXQXVc6.jpeg
CdXz5zHNQW_2FAOFfpU13.png
Ein Schwachpunkt im Microsoft Windows Key Distribution Center (KDC)-Proxy wurde entdeckt, der die Ausführung von beliebigem Code im Sicherheitskontext des Ziel-Dienstes ermöglicht. Der Schwachpunkt ist auf eine fehlende Überprüfung der Länge von Kerberos-Antworten zurückzuführen, was zu einem Integer-Überlauf führen kann. Ein entfernter, nicht authentifizierter Angreifer kann den KDC-Proxy dazu bringen, eine Kerberos-Anfrage an einen Server unter seiner Kontrolle weiterzuleiten, der dann eine gefälschte Kerberos-Antwort zurücksendet. Der KDC-Proxy liest 4 Bytes aus dem Netzwerk-Socket, um die Länge der Kerberos-Antwort zu erhalten, aber validiert die Länge nicht, was zu einem Integer-Überlauf führt. Der Schwachpunkt wird ausgelöst, wenn der KDC-Proxy versucht, die vollständige Antwort zu lesen, und der Code-Fluss zwischen Funktionen des KDC-Proxy-Servers und der Microsoft ASN.1-Bibliothek wechselt. Der Schwachpunkt kann durch Senden einer gefälschten Kerberos-Antwort an den KDC-Proxy ausgenutzt werden, der dann die Antwort in eine KDC-Proxy-Nachricht einpackt und sie an den Client zurücksendet. Der Schwachpunkt wurde von Microsoft behoben, und Benutzer werden gebeten, das Patch zu installieren, um die Ausnutzung zu verhindern. Der Schwachpunkt betrifft Microsoft Windows Server-Betriebssysteme und kann remote ausgenutzt werden. Der KDC-Proxy wird verwendet, um Remote-Arbeitslasten wie RDP-Gateway und DirectAccess zu ermöglichen, und wird normalerweise auf domain-gekoppelten Maschinen ausgeführt.
CdXz5zHNQW_Zbm9zDKgFZ.jpeg
CdXz5zHNQW_bamwOBsNpy.jpeg
Die Infotainment-Einheit DMH-WT7600NEX von Pioneer für Fahrzeuge wurde als Ziel für den kommenden Pwn2Own-Automotive-Wettbewerb ausgewählt. Um Schwachstellen zu recherchieren, musste die Software der Einheit extrahiert werden, was sich aufgrund des Fehlens einer seriellen Konsole und eines verschlüsselten Software-Update-Pakets als herausfordernd erwies. Die Forscher entschieden sich, den eMMC-Inhalt im System zu extrahieren, indem sie sich über Testpunkte auf dem Board mit dem eMMC-Chip verbanden und den Haupt-SoC in den Reset-Modus setzten. Die extrahierten Daten enthüllten ein Linux-basiertes System mit einer GPT-Partitionstabelle und verschiedenen Partitionen, die den Bootloader, den Kernel und das Root-Dateisystem enthielten. Die Systempartition enthielt benutzerdefinierte Software, die sich in den /usr/local-Unterordnern konzentrierte. Das Software-Update-Paket wurde als strukturiert mit einem Header, einem RSA-Signaturblock und verschlüsselten Update-Daten gefunden. Die Forscher entdeckten auch eine serielle Konsole, indem sie die Bootloader-Partitionen untersuchten und die Backup-Partition manipulierten, um Konsolenausgaben und Anmeldenachrichten zu aktivieren. Die Bluetooth- und Wi-Fi-Konnektivität der Einheit sowie ihr USB-Anschluss bieten potenzielle Angriffsvektoren, wobei die Wi-Fi-Konnektivität die Entdeckung offener TCP-Ports und nicht standardmäßiger Dienste ermöglicht. Die Unterstützung der Einheit für verschiedene Audio- und Video-Dateiformate bietet auch eine potenzielle Quelle für ausnutzbare Fehler.
CdXz5zHNQW_LpqUX1CfWQ.jpeg
Die Angriffsfläche des Autel MaxiChargers wurde analysiert, um Inspiration für Schwachstellenforschung zu bieten. Zu dem Zeitpunkt der Schreibweise umfassten die Softwareversionen des Ladegeräts die Autel Charge-App v3.0.7, die Autel Config-App v2.1.0 und verschiedene Autel MaxiCharger-Module. Die Autel Charge-App ermöglicht es Benutzern, Ladungspläne zu definieren, Lasten auszugleichen und Wi-Fi-Anmeldedaten bereitzustellen, unter anderem. Wenn die App auf einem gerooteten Android-Gerät geladen wird, wird eine Superuser-Anfrage angezeigt, was auf Anti-Reversing-Maßnahmen hindeutet.Die Netzwerkverkehrsanalyse zeigte, dass der Ladegerät DNS-Anfragen an Autel-bezogene Infrastrukturen sendet und eine TLS-Sitzung mit dem Server herstellt. Der Ladegerät sendet periodisch Log-Daten an den Autel-Server, der mit JSON-Daten antwortet. Der Ladegerät lädt auch Firmware-Updates über HTTP herunter. Nachdem die Firmware aktualisiert wurde, kommuniziert der Ladegerät nur noch über HTTPS.Das Scannen des Ladegeräts über Wi-Fi zeigte keine offenen TCP- oder UDP-Ports, aber die UDP-Ports 6000 und 6666 scheinen über die Ethernet-Schnittstelle zuzuhören. Die Bluetooth Low Energy-Dienste des Ladegeräts bieten 14 Merkmale, die von der Autel Charge-App verwendet werden, um mit dem Ladegerät zu kommunizieren.Die Firmware des Haupt-Mikrocontrollers kann durch Abfangen des Aktualisierungsprozesses des Ladegeräts oder durch Reverse-Engineering der App, um die Download-URLs zu ermitteln, erlangt werden. Die Firmware des ESP32 WROOM 32D-Moduls kann mit dem standardmäßigen esptool.py von Espressif abgelegt werden. Andere potenzielle Angriffsflächen umfassen den nicht dokumentierten USB-C-Anschluss, den SIM-Karten-Schacht und den RFID-Leser.
CdXz5zHNQW_hLiRAoBAIs.jpeg
CdXz5zHNQW_KQjVoobZUR.jpeg
Die Sony XAV-AX8500-Head-Einheit verfügt über einen einzelnen USB-C-Anschluss, der ein kabelgebundenes Android Auto und Apple CarPlay sowie die Wiedergabe von Audio- und Videodateien von einem USB-Stick unterstützt. Die unterstützten Audio-Dateiformate umfassen MP3, WMA, AAC, ALAC, WAV, FLAC und DSD, während die unterstützten Videodateiformate ASF, WMV und AVI sind. Die Head-Einheit ermöglicht es Benutzern auch, den Hintergrund durch Bereitstellung von JPEG-Bildern auf einem USB-Stick zu ändern, was eine komplexe Aufgabe sein kann. Firmware-Updates können über einen USB-Stick installiert werden, und der nächste Blog-Beitrag wird sich ausführlicher mit der Firmware der XAV-AX8500 befassen. Die Head-Einheit unterstützt Bluetooth-Version 5, die zum Telefonieren, Empfangen von Anrufen und Abspielen von Audio von einem gepaarten Mobiltelefon verwendet wird. Android Auto und Apple CarPlay nutzen Bluetooth in unterschiedlichem Ausmaß. Die Head-Einheit bietet einen Wi-Fi-Zugangspunkt, der hauptsächlich für drahtloses Android Auto und Apple CarPlay verwendet wird, und interne Recherchen haben eine Methode entdeckt, um das Passwort zu erhalten. Ein Port-Scan hat nur den TCP-Port 30515 als geöffnet erkannt, der in der Automobilindustrie nicht gut dokumentiert ist. Die Head-Einheit verwendet Open-Source-Software, einschließlich Python, Boost, Dropbear, Lame und mpg123, die veröffentlichte CVEs haben. Der Blog-Beitrag soll Inspiration für die Recherche von Sicherheitslücken bieten und Forscher dazu ermutigen, weiter zu recherchieren.
CdXz5zHNQW_AJ86GPabrB.jpeg
Für den bevorstehenden Pwn2Own Automotive-Wettbewerb wurden vier Headunits ausgewählt, darunter das Sony XAV-AX8500, das verschiedene Funktionen wie Android Auto und Apple CarPlay bietet. Das Innenleben des XAV-AX8500 kann durch Entfernen von Schrauben und Metallplatten geöffnet werden. Es kommen drei miteinander verbundene Platinen zum Vorschein, die über flache, flexible Kabel miteinander verbunden sind. Die Hauptplatine verfügt über einen NXP i.MX 8M Mini-Prozessor mit 4 Cortex-A53-Kernen und einem energieeffizienten Cortex M4 für geringere Lasten und Sicherheitsfunktionen. Der Prozessor wird von einem 8-GB-Nanya-NT6AN256T32AV-J2-SDRAM-Chip und einem 16-GB-Samsung-KLMAG1JETD-eMMC-Chip unterstützt. Die Hauptplatine umfasst außerdem einen Rohm-BD71847A-PMIC, einen unbenutzten Sockel, HDMI- und USB-C-Eingänge sowie ein Murata-LBEE5ZZ1PJ-Funkmodul für Wi-Fi und Bluetooth. Auf der Unterseite der Hauptplatine befindet sich ein Analog-Devices-ADV7482-Videodecoder- und HDMI-Empfängerchip. Eine kleinere Platine neben der Hauptplatine steuert GPS, iData Link und den optionalen Fernbedienungseingang mithilfe eines Unicorecomm UM220-INS NL GPS-Moduls. Eine größere Leiterplatte unter der Hauptplatine steuert die Stromversorgung und verschiedene Ein- und Ausgänge, einschließlich Audio und Video. Sie ist mit einem ON-Semiconductor-LC88FC2H0A-Mikrocontroller ausgestattet. Der Blogbeitrag soll genügend Informationen liefern, um die Schwachstellenforschung am XAV-AX8500 voranzutreiben, wobei in zukünftigen Beiträgen die Bedrohungslandschaft des Geräts behandelt wird. Der Pwn2Own Automotive-Wettbewerb soll im Januar 2025 in Tokio stattfinden. Dort wird die Sicherheit von IVI-Anbieterprodukten auf die Probe gestellt.
CdXz5zHNQW_DX1C9dOz61.jpeg
"Das Zero Day Initiative Threat Hunting-Team hatte ein arbeitsreiches Jahr 2024, bei dem es zahlreiche Kampagnen von Bedrohungsakteuren identifizierte, die Zero-Day-Schwachstellen ausnutzten, und neue Schwachstellen durch Forschung in der Wildnis entdeckte. Das Team hob mehrere wichtige Erfolge hervor, darunter die Entdeckung von Zero-Day-Exploits, die aktiv in der Wildnis ausgenutzt wurden, wie z.B. CVE-2024-21412, CVE-2024-29988, CVE-2024-38112 und CVE-2024-43461. Diese Schwachstellen wurden von den jeweiligen Software-Anbietern behoben und gepatcht, und Trend Micro-Kunden erhielten zusätzlichen Schutz durch virtuelle Patches. Das Team entdeckte auch Varianten dieser Schwachstellen, wie z.B. CVE-2024-38213 und CVE-2024-49041, die von Microsoft gepatcht wurden. Die Forschung des Teams hob die Notwendigkeit umfassender Patching und die Herausforderungen bei der Abwägung zwischen sofortiger Bedrohungsreaktion und systemischen Lösungen hervor. Das Team identifizierte auch Trends und Schwachstellen in der Software-Patching-Industrie, darunter den Anstieg der Sophistikation von Phishing-Kampagnen, eng gefasstes Patching und siloisierte Produktteams. Die Verwendung von künstlicher Intelligenz und großen Sprachmodellen ermöglichte es Bedrohungsakteuren, überzeugende Phishing-Inhalte zu generieren, was es schwierig machte, zwischen Phishing- und legitimen Inhalten zu unterscheiden. Das Team betonte die Wichtigkeit von "sicher von Beginn an" und "sicher standardmäßig"-Prinzipien, um Produkte sicherer zu machen, quer durch Anbieter und das Software-Ökosystem. Im Blick auf 2025 erwartet das Team, dass die Herausforderungen in der Software-Patching-Industrie weiter bestehen bleiben, einschließlich der Notwendigkeit umfassenderer Patching und besserer Kommunikation zwischen Produktteams."
CdXz5zHNQW_zQZcbsyHfP.jpeg
Im SolarWinds Access Rights Manager-Produkt wurden mehrere Schwachstellen gefunden, darunter Remote-Code-Ausführung vor der Authentifizierung und Dateilöschschwachstellen. Ein Forscher entdeckte 18 Schwachstellen im Produkt, darunter Dateilöschschwachstellen vor der Authentifizierung, die zur Eskalation von Berechtigungen auf Domänen-verbundenen Windows-Rechnern genutzt werden können. Die Schwachstellen wurden vom Anbieter mit dem ARM 2024.3-Update behoben.Der Forscher fand heraus, dass das Produkt mit einem Domänenkonto arbeitet, das ein hoch privilegiertes Dienstkonto oder ein Domänenadministratorkonto sein kann. Die Dateilöschschwachstellen vor der Authentifizierung können dazu verwendet werden, Dateien remote als hoch privilegiertes Domänenkonto zu entfernen.Der Forscher demonstrierte, wie die Dateilöschschwachstelle dazu genutzt werden kann, Berechtigungen auf jedem Windows-Rechner zu eskalieren, der mit der Domäne verbunden ist. Die Schwachstelle kann ausgenutzt werden, indem der Methode „File.Delete“ ein UNC-Pfad bereitgestellt wird, der es dem Angreifer ermöglicht, Dateien remote als Administrator zu entfernen.Der Forscher zeigte auch, wie die Schwachstelle dazu genutzt werden kann, Berechtigungen auf einem Rechner zu eskalieren, auf dem SolarWinds ARM nicht läuft. Der Angreifer kann die Dateilöschschwachstelle nutzen, um eine Datei von einem Rechner zu entfernen, den er kontrolliert, was es ihm ermöglicht, den Namen des SolarWinds ARM AD-Kontos zu ermitteln.Der Forscher kam zu dem Schluss, dass die Dateilöschschwachstelle erhebliche Auswirkungen auf die Sicherheit der gesamten Active Directory-Domäne haben kann. Die Schwachstelle kann dazu genutzt werden, Berechtigungen auf jedem mit der Windows-Domäne verbundenen Rechner zu eskalieren, selbst auf solchen, auf denen SolarWinds ARM nicht installiert ist.Der Forscher empfahl allen Benutzern von SolarWinds ARM, das ARM 2024.3-Update so bald wie möglich zu testen und bereitzustellen, um die Schwachstellen zu beheben. Der Forscher stellte außerdem eine Demo des Exploits bereit und forderte die Benutzer auf, ihm in den sozialen Medien zu folgen, um die neuesten Informationen zu Exploits-Techniken und Sicherheitspatches zu erhalten.
Adobe und Microsoft haben ihre regelmäßigen Updates für November 2024 veröffentlicht. Adobe veröffentlichte acht Patches, um 48 CVEs in verschiedenen Produkten zu beheben, darunter Adobe Bridge, Audition, After Effects und Photoshop. Die größte Behebung betrifft Substance 3D Painter mit 22 kritischen und wichtigen CVEs. Keines der von Adobe dieses Monat behobenen Bugs ist zum Zeitpunkt der Veröffentlichung als öffentlich bekannt oder aktiv angegriffen gelistet.Microsoft veröffentlichte 89 neue CVEs in Windows und Windows-Komponenten, Office und Office-Komponenten, Azure und anderen Produkten. Vier der Patches sind als kritisch, 84 als wichtig und einer als moderat eingeschätzt. Microsoft listet drei dieser CVEs als öffentlich bekannt, es wird jedoch berichtet, dass tatsächlich fünf öffentlich bekannt sind. Zwei CVEs sind zum Zeitpunkt der Veröffentlichung im Wilden aktiv.Die CVEs, die im Wilden aktiv sind, umfassen eine NTLM-Hash-Disclosure-Spoofing-Schwachstelle und eine Windows Task Scheduler-Elevation-of-Privilege-Schwachstelle. Andere bemerkenswerte CVEs sind eine Windows-Kerberos-Fernausführung-Schwachstelle, die es einem entfernten, nicht authentifizierten Angreifer ermöglicht, Code auf einem betroffenen System auszuführen, und eine .NET- und Visual-Studio-Fernausführung-Schwachstelle, die es Angreifern ermöglicht, Code durch Senden einer speziell gestalteten Anfrage an eine betroffene .NET-Webanwendung auszuführen.Microsoft veröffentlichte auch Patches für verschiedene andere Produkte, darunter Azure, SQL Server und Visual Studio. Das Unternehmen hat insgesamt 949 CVEs bislang im Jahr 2024 behoben, was 2024 zu ihrem zweitgrößten Jahr für Behebungen macht. Benutzer werden dringend empfohlen, die Updates so schnell wie möglich zu testen und zu deployen, um sich vor möglichen Angriffen zu schützen.