Microsoft hat in der Nacht zum Mittwoch vier wichtige Sicherheitsmitteilungen herausgegeben. Diese betreffen teils kritische Schwachstellen für die welche Entwickler von Microsoft entsprechende Updates bereitstellen. Einige dieser Updates müssen von den Nutzer❬innen❭n manuell installiert werden. Andere hingegen hat Microsoft bereits automatisch auf ihren Cloud-Diensten verteilt.
Kritische Lücke im Copilot Studio
Eine schwerwiegende Sicherheitslücke betrifft Microsofts Copilot Studio. Diese Lücke ermöglichte es Angreifern, ihre Rechte auszuweiten – CVE-2024-49038, CVSS 9.3. Das Risiko wird als "kritisch" eingestuft. Der Grund für die Entstehung dieser Schwachstelle war eine unzureichende Filterung von Nutzereingaben während der Webseitenerstellung. Microsoft klassifiziert die Lücke als Cross-Site-Scripting. Glücklicherweise müssen Kunden keine Maßnahmen ergreifen um das Problem zu demonstrieren.
Bereits Ausgenutzte Schwachstelle
Eine andere Schwachstelle im partner.microsoft.com-Angebot wurde bereits missbraucht, so der Schwachstelleneintrag von Microsoft. Angreifer konnten ohne vorherige Authentifizierung ihre Zugriffsrechte erhöhen - CVE-2024-49035, CVSS 8.7, hoch. Das Problem trat konkret in der Online-Version von Microsoft Power Apps auf. Trotz der CVSS-Einstufung hat Microsoft diese Lücke als kritisch eingeschätzt. Wie ebenfalls immer die Nutzer müssen keine zusätzlichen Maßnahmen ergreifen, denn Microsoft hat das Problem bereits serverseitig behoben.
Authentifizierungsfehler in Azure PolicyWatch
In Microsoft Azure PolicyWatch konnten Angreifer ähnlich wie ohne autorisierte Zugangserlaubnis ihre Rechte ausweiten. Das führte mangelnde Authentifizierung einer kritischen Funktion zu dieser Situation - CVE-2024-49052, CVSS 8.2, hoch. Microsofts Entwickler werten auch diese Lücke als kritisch ein. Erfreulicherweise müssen die Kunden nichts weiter tun; die Korrekturen werden von Microsoft serverseitig durchgeführt.
Spoofing-Lücke in Dynamics 365 Sales
Die vierte Sicherheitslücke betrifft die Business-Software Dynamics 365 Sales. Diese ermöglicht Angreifern, eine Spoofing-Lücke auszunutzen. Im FAQ-Bereich von Microsofts Sicherheitsmeldung wird erklärt, dass authentifizierte Angreifer Opfern manipulierte Links unterjubeln können. Dies könnte sie beispielsweise auf bösartige Webseiten umleiten. Die Lücke existiert auf dem Webserver - bösartige Skripte laufen aber im Browser der Betroffenen. Auch hier gilt: eine unzureichende Filterung von Nutzereingaben kann zu Cross-Site-Scripting führen - CVE-2024-49053, CVSS 7.6, hoch. Die Apps Dynamics 365 Sales für iOS und Android sind ab Version 3.24104.15 nicht weiterhin anfällig. Nutzer sollten eventuell in den Stores ihrer Smartphone-Betriebssysteme nach Aktualisierungen suchen.
Dringlichkeit der Sicherheitsupdates
Der reguläre Patchday von Microsoft fand in der Nacht zum 13. November statt. Der kommende Patchday wird in der Nacht zum 11. Dezember erwartet. Microsoft hat die Sicherheitsupdates als so dringend erachtet, dass sie außerhalb des regulären Zeitplans angewendet und veröffentlicht wurden.
Kommentare