Am 8. August 2024 veröffentlichte das Microsoft Threat Intelligence-Team einen Bericht über neu entdeckte Sicherheitslücken in OpenVPN (auf Windows), einem weit verbreiteten Open-Source-VPN-System. Die Forscher entdeckten mehrere Schwachstellen mittlerer Schwere, die in einer Kette ausgenutzt werden könnten, um Remote Code Execution (RCE) und Local Privilege Escalation (LPE) zu erreichen. Diese Angriffsvektoren könnten Angreifern die vollständige Kontrolle über betroffene Endpunkte ermöglichen, was zu Datenverlusten, Systemkompromittierungen und unbefugtem Zugriff auf sensible Informationen führen könnte.
Die Schwachstellen betreffen alle Versionen von OpenVPN vor 2.6.10 und 2.5.10 und wurden über ein koordiniertes Verfahren zur Offenlegung von Schwachstellen (Coordinated Vulnerability Disclosure, CVD) an OpenVPN gemeldet. Microsoft arbeitete eng mit OpenVPN zusammen, um sicherzustellen, dass die Schwachstellen zeitnah behoben wurden. Nutzern wird dringend empfohlen, die neuesten Sicherheitsupdates umgehend zu installieren.
Unter den identifizierten Schwachstellen befinden sich unter anderem CVE-2024-27459 (Denial of Service und LPE) und CVE-2024-27903 (RCE). Diese Schwachstellen können ausgenutzt werden, wenn ein Angreifer Zugang zu den Anmeldedaten eines OpenVPN-Nutzers erlangt. Trotz der Notwendigkeit einer Authentifizierung durch den Nutzer stellt die mögliche Ausnutzung dieser Schwachstellen ein erhebliches Risiko für Endpunkte in privaten und unternehmensweiten Netzwerken dar.
Microsoft hat zudem spezifische Empfehlungen zur Schadensbegrenzung veröffentlicht, einschließlich der sofortigen Anwendung der Patches und der Segmentierung der OpenVPN-Clients. Der Bericht unterstreicht die Bedeutung von verantwortungsbewusster Offenlegung und Zusammenarbeit in der Sicherheitsgemeinschaft, um die Sicherheit von Geräten auf verschiedenen Plattformen zu gewährleisten. Weitere Details finden sich im Security Advisory von OpenVpn.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: