Kritische 0-Click RCE Bedrohung für alle Windows Server

Ein Proof-of-Concept (PoC) Exploit für die kritische Sicherheitslücke CVE-2024-38077, auch bekannt als „MadLicense“, wurde von den Sicherheitsforschern Ver, Lewis Lee und Zhiniang Peng veröffentlicht. Diese Sicherheitslücke betrifft alle Versionen von Windows Server von 2000 bis 2025 und ermöglicht eine Pre-Authentication Remote Code Execution (RCE) ohne jegliche Nutzerinteraktion. Angreifer können diese Lücke nutzen, um die vollständige Kontrolle über den betroffenen Server zu übernehmen.

Die Sicherheitslücke liegt im Windows Remote Desktop Licensing Service (RDL), der weit verbreitet in Unternehmensumgebungen zur Lizenzverwaltung für Remote Desktop Services eingesetzt wird. Eine Untersuchung ergab, dass mindestens 170.000 RDL-Dienste direkt im Internet exponiert sind, was die Verwundbarkeit für Angriffe erheblich erhöht.

Der Exploit nutzt einen einfachen Heap Overflow im Verfahren CDataCoding::DecodeData, um eine Codeausführung im Kontext des RDL-Dienstes zu erreichen. Obwohl der PoC hauptsächlich auf Windows Server 2025 demonstriert wurde, betonten die Forscher, dass ältere Windows-Server-Versionen aufgrund geringerer Schutzmaßnahmen noch anfälliger für diese Art von Angriffen sind.

Microsoft wurde im Mai 2024 über die Schwachstelle informiert und hat sie im Juli 2024 gepatcht. Dennoch wurde sie zunächst als „Exploitation Less Likely“ eingestuft, was auf ein mögliches Unterschätzen der Bedrohung hinweist. Organisationen wird dringend geraten, ihre Systeme umgehend zu aktualisieren, um sich gegen potenzielle Angriffe zu schützen.

Related Posts

Privilege Escalation Sicherheitslücke in Microsoft Dynamics 365

Microsoft hat am 31.7.24 die kritische Sicherheitslücke CVE-2024-38182 in Microsoft Dynamics 365 bekanntgegeben, die es einem unauthentifizierten Angreifer ermöglicht, über ein Netzwerk erhöhte Rechte zu erlangen. Diese Schwachstelle erfordert keine Aktion seitens der Kunden, da Microsoft bereits einen offiziellen Fix veröffentlicht hat.

Read More

Kritische Sicherheitslücke im Linux Wifi Dienst wpa_supplicant

Am 6. August 2024 wurde eine Sicherheitslücke in wpa_supplicant entdeckt, die es einem lokalen, nicht privilegierten Angreifer ermöglicht, beliebige Shared Objects zu laden und dadurch seine Rechte auf den Benutzer zu eskalieren, unter dem wpa_supplicant läuft, was in der Regel Root-Rechte sind. Diese Schwachstelle CVE-2024-5290 hat eine CVSS-3-Bewertung von 8.8 und wird als mittelprioritär eingestuft, da sie einen lokalen Angriff mit niedriger Komplexität ermöglicht, ohne dass Benutzerinteraktion erforderlich ist.

Read More

Linksys-Router verschicken Login Daten unverschlüsselt in die USA

Laut einem Bericht von test-ankoop.be weisen Linksys Mesh-Router Velop Pro WiFi 6E und Pro 7 eine gravierende Sicherheitslücke auf. Während der Installation senden diese Geräte sensible Daten wie WLAN-Logins und Passwörter unsicher an Server in den USA, was potenziell Hackerangriffe ermöglicht.

Read More