Forscher von Akamai decken auf, dass durch neueste Patches neue Angriffsflächen in Microsoft Windows entstanden sind.

Eine kritische Zero-Click-Schwachstelle in Windows, die es Angreifern ermöglicht, Schadcode auszuführen, ohne dass das Opfer interagieren muss, wurde kürzlich durch Forscher von Akamai aufgedeckt. Diese Sicherheitslücke, identifiziert als CVE-2023-23397, betrifft speziell die WinAPI CreateUri-Funktion und wurde ursprünglich im Rahmen des Patch-Dienstags im März 2023 von Microsoft adressiert.

Tiefergehende Probleme trotz Patch:

Obwohl Microsoft die Schwachstelle in Outlook, die aktiv von der russischen, staatlich geförderten Hackergruppe „Forest Blizzard“ ausgenutzt wurde, zu schließen versuchte, offenbarten nachfolgende Analysen gravierende Mängel. Forscher entdeckten zwei Methoden, den Patch zu umgehen, sowie eine Parsing-Schwachstelle, die zusammen eine vollständige Zero-Click Remote Code Execution (RCE) gegen den Outlook-Client ermöglichen.

Neue Angriffsflächen durch Sicherheitsupdates:

Der Patch führte zu einer neuen Angriffsfläche, da er eine Validierung der PidLidReminderFileParameter-URL über die Funktion MapUrlToZone einführte, was zwar den ursprünglichen Fehler mitigiert, aber gleichzeitig kritische Bereiche offenlegt. Insbesondere die Funktion CreateUri, die innerhalb von MapUrlToZone aufgerufen wird, erlaubt es Angreifern, den geparsten Pfad zu kontrollieren. Dies führt zu potenzieller Ausnutzung, wenn CrackUrlFile Dateipfade verarbeitet.

Beispielhafte Ausnutzung und Implikationen:

Die Schwachstelle lässt sich durch eine speziell präparierte Datei-URL mit einem UNC-Pfad auslösen, der als Laufwerkspfad gekennzeichnet ist, wie zum Beispiel:

file://./UNC/C:/Akamai.com/file.wav

Dieses Beispiel illustriert, wie Windows Explorer durch eine Verknüpfung (.lnk-Datei) zu einem unsicheren Pfad anfällig gemacht werden kann. Ein Blick in das Verzeichnis mit der Verknüpfung kann dazu führen, dass der Explorer sofort abstürzt.

Wichtigkeit einer umfassenden Patch-Analyse:

Diese Erkenntnisse betonen die Bedeutung einer gründlichen Sicherheitsüberprüfung während der Patch-Entwicklung, um sicherzustellen, dass nicht durch die Korrektur einer Schwachstelle unbeabsichtigt neue eingeführt werden. Der Fall zeigt, dass es ebenfalls möglich ist, weitere Bypasses in MapUrlToZone zu finden, was die Notwendigkeit weiterer Forschungen und strengerer Tests unterstreicht.

Fazit:

Die Entdeckung und die daraus resultierenden Implikationen dieser Studie werfen ein Schlaglicht auf die fortwährenden Herausforderungen, denen sich Unternehmen gegenübersehen, wenn sie die Sicherheit ihrer Systeme gegen immer raffiniertere Bedrohungen verteidigen müssen. Es ist von essentieller Bedeutung, dass Organisationen ihre Patches umfassend analysieren und testen, um sicherzustellen, dass keine neuen Schwachstellen geschaffen werden. Cybersecurity ist ein ständiger Kampf gegen Angreifer, die jede Gelegenheit nutzen, um in Netzwerke einzudringen.