13.06.2024 14:34

Microsoft Patchday Juni 2024 - CVE-2024-30080, CVE-2024-30078

Im Rahmen des aktuellen Patchday hat Microsoft Patches für 58 Sicherheitslücken veröffentlicht. Aus der Liste stechen zwei Schwachstellen besonders hervor:

  • CVE-2024-30080, eine Remote Code Execution in Microsoft Message Queuing (MSMQ)
  • CVE-2024-30078, eine Remote Code Execution in "Windows Wi-Fi Driver"

Im Rahmen unserer Arbeit weisen wir Netzbetreiber:innen bereits seit längerer Zeit MSMQ-Instanzen hin, welche ohne Authentifizierung aus dem Netz erreichbar sind, auch weil es bereits in der Vergangenheit teils kritische Schwachstellen gab, welche MSMQ betrafen. Dementsprechend wird das Internet von verschiedensten Akteuren bereits seit Jahren aktiv nach erreichbaren MSMQ-Instanzen durchsucht. Es ist davon auszugehen, dass es bald zu ersten Ausnutzungsversuchen von CVE-2024-30080 kommen wird.

Rund um CVE-2024-30078 herrscht aktuell noch eine gewisse Unklarheit, da die generische Bezeichnung "Windows Wi-Fi Driver" keinen Aufschluss darüber gibt, welche Systemkomponente tatsächlich betroffen sein könnte. Auch die Beschreibung, wie Bedrohungsakteure die Lücke ausnützen könnten, liefert keine eindeutigen Informationen:

An unauthenticated attacker could send a malicious networking packet to an adjacent system that is employing a Wi-Fi networking adapter, which could enable remote code execution.

Aus dieser Beschreibung geht nicht klar hervor, ob sich die Angreifer:innen im selben Drahtlosnetzwerk wie das verwundbare System befinden müssen, oder ob eine physische Nähe schon ausreichend ist.

Wir hoffen, dass zu CVE-2024-30078 bald detailliertere Informationen zur Verfügung stehen. Da neben Windows 10 und 11 auch sämtliche Serverversionen seit Windows Server 2008 verwundbar sind empfehlen wir, mehr noch als im Regelfall, die zur Verfügung stehenden Sicherheitsaktualisierungen zeitnah einzuspielen. Weiters empfehlen wir, sofern keine dringenden operativen Gründe dagegengesprechen (der Betrieb eines Exchange-Servers benötigt beispielsweise seit einiger Zeit schon kein MSMQ mehr), MSMQ zu deaktivieren - oder den Netzwerkzugang zumindest signifikant zu limitieren und die Erreichbarkeit auf das Nötigste zu beschränken.