Microsoft Update-Katalog: Kritische Lücke in Microsofts Webserver entdeckt
Microsoft hat eine kritische Sicherheitslücke auf einem seiner eigenen Systeme gepatcht. Betroffen war der Microsoft Update-Katalog(öffnet im neuen Fenster) - also jenes Portal, auf dem Anwender nach von Microsoft veröffentlichten Softwareupdates suchen und diese für eine manuelle Installation herunterladen können. Angreifer konnten auf dem zugrundeliegenden Webserver ihre Rechte ausweiten.
Die besagte Schwachstelle ist als CVE-2024-49147(öffnet im neuen Fenster) registriert und erreicht laut Microsoft(öffnet im neuen Fenster) einen CVSS-Wert von 9,3. Den Angaben nach war für eine erfolgreiche Ausnutzung der Lücke keinerlei Nutzerinteraktion erforderlich. Die Angriffskomplexität stuft Microsoft zudem als gering ein.
"Die Deserialisierung von nicht vertrauenswürdigen Daten im Microsoft Update-Katalog ermöglicht es einem nicht autorisierten Angreifer, seine Rechte auf dem Webserver der Webseite auszuweiten" , erklärte der Konzern hinsichtlich der Sicherheitslücke. Da Microsoft das Problem bereits behoben hat, besteht für Anwender keinerlei Handlungsbedarf. Hinweise darauf, dass Angreifer die Lücke böswillig ausnutzten, gibt es laut Microsoft nicht.
Nur aus Transparenzgründen veröffentlicht
Als Entdecker von CVE-2024-49147 wird Jonathan Birch genannt, ein Sicherheitsforscher und Pentester, der für Microsoft arbeitet und die Schwachstelle nach eigenen Angaben(öffnet im neuen Fenster) im Rahmen seiner regulären Tätigkeit für den Konzern entdeckte. Technische Details zur Lücke nennen aber weder Birch noch Microsoft.
Dass Microsoft überhaupt eine CVE-Kennung für die Schwachstelle veröffentlicht hat, schreibt Birch der Secure Future Initiative (SFI) des Konzerns zu. Früher patchte das Unternehmen entsprechende Lücken in seinen Clouddiensten in der Regel stillschweigend und kommunizierte das gar nicht öffentlich. In diesem Jahr versprach Microsoft jedoch im Rahmen der SFI ein höheres Maß an Transparenz(öffnet im neuen Fenster) .
Neben CVE-2024-49147 hat Microsoft noch eine zweite Sicherheitslücke gepatcht, bei der seitens der Anwender ebenfalls kein Handlungsbedarf besteht. Konkret geht es um eine mittelschwere Schwachstelle(öffnet im neuen Fenster) ( CVE-2024-49071(öffnet im neuen Fenster) ), die sich auf die globale Dateisuche des Windows Defender bezieht.