Win32k EoP-Schwachstellen erneut als Zero-Day ausgenutzt

Die Patch Tuesday-Veröffentlichung vom Mai 2023 enthält Korrekturen für 38 CVEs, von denen sieben als kritisch und 31 als wichtig eingestuft wurden. Die aktuelle Veröffentlichung enthält Korrekturen für zwei Zero-Day-Schwachstellen, die in freier Wildbahn ausgenutzt wurden.

Beim CVE-2023-29336 handelt es sich um eine EoP-Schwachstelle (Elevation of Privilege) in Win32k. Nach Angaben von Microsoft wurde sie in freier Wildbahn als Zero-Day-Schwachstelle ausgenutzt. Dies ist der fünfte Monat in Folge, in dem eine Sicherheitslücke mit erhöhten Rechten in freier Wildbahn als Zero-Day ausgenutzt wurde. Bei Tenable geht man davon aus, dass die Forscher, die diese Schwachstelle entdeckt haben, bald Einzelheiten zu ihrer Ausnutzung bekannt geben werden. Es ist jedoch unklar, ob es sich bei dieser Schwachstelle um eine Patch-Umgehung handelt.

In der Vergangenheit gab es bereits drei Beispiele, in denen Win32k EoP-Schwachstellen als Zero-Day-Schwachstellen ausgenutzt wurden. Im Januar 2022 hat Microsoft einen Patch für CVE-2022-21882 veröffentlicht, der in freier Wildbahn ausgenutzt wurde und Berichten zufolge eine Umgehung des Patches für CVE-2021-1732 darstellt, der im Februar 2021 gepatcht wurde und ebenfalls ausgenutzt wurde.

Im Oktober 2021 hat Microsoft einen weiteren Win32k EoP gepatcht, der als CVE-2021-40449 identifiziert wurde und mit einem als MysterySnail bekannten Fernzugriffstrojaner verbunden war, der eine Umgehung des Patches für CVE-2016-3309 darstellte. Obwohl relativ selten, ist es interessant, aktuell mehrere Win32k EoP-Schwachstellen zu beobachten, die als Zero-Day ausgenutzt wurden und ebenfalls Patch-Umgehungen darstellten.

CVE-2023-24932 ist eine Schwachstelle zur Umgehung von Sicherheitsfunktionen in Secure Boot. Diese Schwachstelle wurde als Zero-Day-Schwachstelle ausgenutzt und öffentlich bekannt gemacht, bevor Patches zur Verfügung gestellt wurden. Sie scheint mit einem Bericht von ESET vom März über BlackLotus zusammenzuhängen, einem Unified Extensible Firmware Interface (UEFI)-Bootkit, das Cyberkriminellen seit Oktober 2022 zur Verfügung steht und für 5.000 Dollar in Hackerforen erworben werden kann.
In dem Bericht hieß es damals, dass das Bootkit in der Lage sei, die UEFI Secure Boot Sicherheitsfunktion auf vollständig gepatchten Systemen zu umgehen. Ein Angreifer könnte diese Schwachstelle ausnutzen, wenn er physischen Zugriff oder administrative Rechte auf ein anfälliges System hat.

Satnam Narang ist Senior Staff Research Engineer bei Tenable.

Weitere Informationen finden sich in einen Blogbeitrag von Tenable.