Sicherheitslücken in Microsoft-Systemen: Was betroffene Nutzer jetzt tun sollten

Am diesmonatigen Patchday hat Microsoft Sicherheitsupdates für verschiedene Systeme, darunter Azure, Dynamics 365 und Windows, veröffentlicht. Doch auch nach der Installation der Patches sollten Nutzer wachsam bleiben. Denn es gibt aktuell eine bedrohliche Sicherheitslücke, die bereits von Angreifern ausgenutzt wird. Wir geben einen Überblick über die aktuelle Lage und was betroffene Nutzer jetzt tun sollten.

Was ist von den Angriffen betroffen?

Die zurzeit ausgenutzte Windows-Lücke (CVE-2023-28252) betrifft das Common Log File System (CLFS) des Betriebssystems und kann von Angreifern genutzt werden, um über eine präparierte CLFS-Logdatei im .blf-Dateiformat Schadcode auszuführen. Die Schwachstelle betrifft neben Windows 10 und 11 auch mehrere Server-Versionen. Über die aktuellen Angriffe soll die Ransomware Nokoyawa Windows infizieren. Darüber hinaus gibt es sieben Schwachstellen, über die Angreifer eigenen Code auf Systemen ausführen können, die Microsoft als “kritisch” einstuft. Davon ist beispielsweise Microsoft Message Queuing betroffen (CVE-2023-21554). Laut Microsoft sind Computer jedoch nur angreifbar, wenn der Message-Queuing-Service aktiv ist, was standardmäßig nicht der Fall sein soll. Dennoch sollten Nutzer sicherheitshalber überprüfen, ob der Dienst aktiviert ist.

Was sind die Risiken und möglichen Folgen?

Angreifer könnten durch Ausnutzung dieser Sicherheitslücken Schadcode auf Systemen ausführen, Daten stehlen oder Ransomware installieren. Im schlimmsten Fall können Systeme vollständig kompromittiert werden. Zudem sind die Auswirkungen auf Unternehmen und Organisationen oft schwerwiegender als auf Privatpersonen. Laut einem Bericht von heise online wurden in Deutschland allein mehr als 360.000 IPs gefunden, die den betroffenen MSMQ-Service nutzen und über das Internet zugänglich sind.

Wie können Sie sich schützen?

Um sich vor Angriffen zu schützen, sollten Nutzer sicherstellen, dass alle verfügbaren Sicherheitsupdates installiert wurden. Es ist auch wichtig, die eigenen Systeme regelmäßig auf verdächtige Aktivitäten zu überwachen und sensible Daten zu sichern. Wenn möglich, sollte der Message-Queuing-Service deaktiviert werden, wenn er nicht benötigt wird. Administratoren und IT-Verantwortliche sollten außerdem prüfen, welche Systeme und Netzwerke von den Sicherheitslücken betroffen sind und diese schnellstmöglich patchen.

Was sollten Sie jetzt tun?

Nutzer sollten ihre Systeme auf verfügbare Sicherheitsupdates überprüfen und diese schnellstmöglich installieren. Wenn der Message-Queuing-Service aktiviert ist und benötigt wird, sollten Firewall-Regeln implementiert werden, um den Zugriff auf den Service zu beschränken. Außerdem sollten Nutzer auf verdächtige Aktivitäten achten und bei Bedarf ihre Systeme auf Schadcode überprüfen. Wenn Nutzer verdächtige Aktivitäten oder Anzeichen einer Kompromittierung ihres Systems bemerken, sollten sie sofort Maßnahmen ergreifen und das System vom Netzwerk trennen.

Betroffene Unternehmen und Organisationen sollten einen Notfallplan für den Fall einer Kompromittierung erstellen und sicherstellen, dass alle Mitarbeiter über die aktuelle Situation informiert sind. Es ist auch ratsam, externe IT-Sicherheitsberater hinzuzuziehen, um das Ausmaß der Bedrohung zu bewerten und geeignete Maßnahmen zu ergreifen.

Insgesamt ist es wichtig, dass alle Nutzer und Unternehmen die Bedrohung durch Sicherheitslücken ernst nehmen und geeignete Maßnahmen ergreifen, um ihre Systeme und Daten zu schützen.

Quellen:

Microsoft Security Response Center: https://msrc.microsoft.com/update-guide
heise online: https://www.heise.de/
Kaspersky Threat Intelligence Portal: https://opentip.kaspersky.com/
Bundesamt für Sicherheit in der Informationstechnik: https://www.bsi.bund.de/
Common Vulnerability Scoring System: https://www.first.org/cvss/
National Vulnerability Database: https://nvd.nist.gov/