firefly
Goto Top

Windows Zero-Day-Schwachstelle CVE-2024-30051

CVE-2024-30051 ist eine Zero-Day-Schwachstelle für Rechteerweiterung, die von Kaspersky im April 2024 bei der Untersuchung von CVE-2023-36033 entdeckt wurde.

Es handelt sich um eine kritische Schwachstelle in Windows (CVSS 3.1 Base Score: 9.8), die es Angreifern ermöglicht, Rechteerweiterungen durchzuführen und vollständige Systemkontrolle zu erlangen. Sie wird bereits aktiv von Malware wie QuakBot ausgenutzt. QuakBot, auch bekannt als QakBot, Qbot oder QuackBot, ist ein berüchtigter Banking-Trojaner, der auf Windows-Systeme abzielt.

Angriffsszenario
Die Schwachstelle liegt in der Windows-Kernelkomponente und kann ausgenutzt werden, indem ein speziell gestalteter Anwendungsprozess gestartet wird. Dieser kann dann Kernel-Speicher beschreiben und Kernel-Code ausführen, um Administratorrechte zu erlangen.

Risiken
Eine erfolgreiche Ausnutzung kann zu einer vollständigen Kompromittierung des Systems führen, da der Angreifer dann mit höchsten Rechten agieren kann. Vertrauliche Daten, Kryptowährung-Wallets und Bankzugänge sind gefährdet.

Behebung
Microsoft hat am 14.05.2024 einen Patch als Teil des monatlichen Patch Tuesdays veröffentlicht (KB5037765). Administratoren wird dringend empfohlen, diesen Patch auf allen Systemen zu installieren.

Wichtiger Workaround: Um das Update durchführen zu können, muss in der deutschen Version zuerst das Sprachpaket EN-US installiert werden.

Anleitung
Skript zur automatischen Installation des fehlerhaften Updates KB5037765.

Microsoft Blog:
Windows DWM Core Library Elevation of Privilege Vulnerability

Content-ID: 73411714447

Url: https://administrator.de/contentid/73411714447

Ausgedruckt am: 21.11.2024 um 17:11 Uhr

9697748851
9697748851 16.05.2024 um 05:57:25 Uhr
Goto Top
Blöd nur, dass genau jenes Update nicht erfolgreich installiert werden kann und die Windowsbüchsen erstmal ne Weile außer Gefecht gesetzt werden, oder ist das der Bugfix? Umso länger Windows hochfährt, desto weniger Chance für ein Angriff?

Ach MS, .. machs doch mal 'gscheit.

Gruß
radiogugu
radiogugu 16.05.2024 um 06:25:33 Uhr
Goto Top
Moin.

Der Verdacht erhärtet sich, dass Microsoft seine gesamte QS Abteilung entweder massivst zusammengeschrumpft oder komplett hat gehen lassen.

Die Frequenz in der Updates erscheinen, welche die Betriebssysteme entweder schädigen oder durch Neustart-Arien praktisch unbenutzbar machen, ist erschreckend hoch geworden.

Gruß
Marc
CamelCase
CamelCase 16.05.2024 um 07:11:30 Uhr
Goto Top
Moin,

ich hätte ja angenommen, dass neue Updates zumindest automatisiert auf allen aktuellen Windows-Versionen und allen Sprachen installiert und getestet werden. Aber anscheinend ist nicht mal das der Fall.

Aufgrund der Schwere dieser Lücke würde ich allen empfehlen, das Update zu installieren. Dazu muss man vorher das EN-US Sprachpaket installieren, dann klappt auch das Update. Falls der Server keinen Internetzugriff hat, kann man das so machen:

Patchday Mai - Achtung bei KB5037765!

Kamel
Lochkartenstanzer
Lochkartenstanzer 16.05.2024 um 08:08:48 Uhr
Goto Top
Zitat von @CamelCase:

... Dazu muss man vorher das EN-US Sprachpaket installieren, dann klappt auch das Update.

Ach, es gibt tatsächlich Leute, die eine andere Sprache als US-Englisch für ihr Windows nutzen. Wer hatte das gedacht! face-smile

lks
9697748851
9697748851 16.05.2024 um 08:12:07 Uhr
Goto Top
@CamelCase: Danke Dir für den Workaround. Lief ziemlich problemlos. Dennoch sehe ich das als Murks an, was MS da fabriziert hat. Ich habe nun erstmal nur meine "kritischen" Server geupdated, die Dienste ins Netz schubsen.

Rein lokale Kisten, lasse ich erstmal so stehen und hoffe, auf einen vernünftigen Fix seitens MS.
Kann keine zig Server auf englisch umstellen ... *angepisstschau

Grüße
CamelCase
CamelCase 16.05.2024 aktualisiert um 11:58:38 Uhr
Goto Top
Kein Problem

Kann keine zig Server auf englisch umstellen ... *angepisstschau

Arbeite an einem PS-Script, das das ganze automatisiert. Ist fast soweit, werde ich nachher posten.

Kamel

EDIT: Skript zur automatischen Installation des fehlerhaften Updates KB5037765
9697748851
9697748851 16.05.2024 um 08:53:52 Uhr
Goto Top
Arbeite an einem PS-Script
Rechnung an MS dann face-smile

Danke Dir und Euch für deinen/Euren Einsatz! Mir fehlt schlicht die Zeit für so Krams..