Configuration Manager: Hacker attackieren verbreitetes Microsoft-Admin-Tool

Die US-Cybersicherheitsbehörde Cisa hat eine Warnung vor einer aktiv ausgenutzten Sicherheitslücke in der PC-Verwaltungslösung Microsoft Configuration Manager herausgegeben(öffnet im neuen Fenster) . Die Lücke ist zwar schon seit Oktober 2024 öffentlich bekannt, offenkundig bedienen sich Angreifer der Schwachstelle aber erst seit Kurzem. Administratoren sollten das Tool zügig patchen, falls noch nicht geschehen.

Die ausgenutzte Sicherheitslücke im zur Intune-Produktfamilie gehörenden Configuration Manager(öffnet im neuen Fenster) ist als CVE-2024-43468(öffnet im neuen Fenster) registriert. Angreifer können die Lücke laut Microsofts Security Advisory(öffnet im neuen Fenster) ausnutzen, indem sie speziell gestaltete Anfragen an anfällige Instanzen übermitteln.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Bessere C++-Codequalität mit modernen Clean-Code-Prinzipien

zum Artikel

Karriere Ratgeber: Microsoft Cloud verwalten auf höchstem Niveau

zum Ratgeber

Seminar: LPIC-1 Vorbereitungskurs LPI 101 und LPI 102: virtueller Fünf-Tage-Workshop

zum Kurs

E-Learning: Linux Administration: Benutzer und Gruppen - als Vorbereitung zum Linux Foundation Certified System Administrator (LFCS) (E-Learning)

zum Kurs

Bei einem erfolgreichen Angriff soll eine Schadcodeausführung auf dem Zielsystem respektive der zugrundeliegenden Datenbank möglich sein. Es handelt sich um eine sogenannte SQL-Injection ( CWE-89(öffnet im neuen Fenster) ). Als Ursache nennt Microsoft eine "unsichere Verarbeitung" der eingehenden Anfragen. Die Sicherheitslücke erreicht einen CVSS-Wert von 9,8 und gilt damit als kritisch.

Exploit schon seit Monaten öffentlich

Während es in Microsofts Advisory nach wie vor heißt, eine Ausnutzung der Lücke sei "weniger wahrscheinlich" , scheint die Cisa inzwischen Hinweise auf laufende Attacken erhalten zu haben. Die Behörde hat CVE-2024-43468 am 12. Februar ihrem Katalog aktiv ausgenutzter Sicherheitslücken hinzugefügt(öffnet im neuen Fenster) – zusammen mit weiteren Lücken in Apple-Geräten , Solarwinds Web Help Desk und Notepad++ .

Wirklich überraschend kommt die aktive Ausnutzung von CVE-2024-43468 nicht. Sicherheitsforscher von Synacktiv, die auch als Entdecker der Lücke gelten, veröffentlichten schon vor über einem Jahr einen Proof-of-Concept-Exploit auf Github(öffnet im neuen Fenster) und beschrieben technische Details in einem Blogbeitrag(öffnet im neuen Fenster) . Den Angreifern stehen also schon seit Monaten alle nötigen Mittel zur Verfügung.

Administratoren, die ihre Configuration-Manager-Instanzen noch nicht gepatcht haben, sollten dies zügig nachholen. Laut Microsoft ist dafür ein sogenanntes In-console-Update erforderlich. Wie das im Detail funktioniert, schildert der Konzern in der zugehörigen Dokumentation auf seiner Webseite(öffnet im neuen Fenster) . Als anfällig gilt der Microsoft Configuration Manager in den Versionen 2303, 2309 und 2403.

• Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Affiliate-Hinweis
  Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.