BSI und Zero Day Initiative warnt vor kritischer Azure Schwachstelle  

B2B Cyber Security ShortNews

Beitrag teilen

Die Zero Day Initiative (ZDI) sammelt und verifiziert gemeldete Schwachstellen. Nun gibt es wohl eine kritische Schwachstelle in Azure mit dem höchsten CVSS-Wert 10.0. Auch das BSI warnt vor der Schwachstelle – nur scheint es immer noch keinen Patch dafür zu geben.

Die Details zur kritischen Sicherheitslücke in Azure mit dem CVSS-Wert 10.0 ist nur kurz und knapp beschrieben: „Diese Sicherheitslücke ermöglicht es Remote-Angreifern, die Authentifizierung bei Microsoft Azure zu umgehen. Zum Ausnutzen dieser Sicherheitslücke ist keine Authentifizierung erforderlich.“

Anzeige

Azure gefährdet – kein Patch zu finden

Als weitere Erklärung findet sich ein Hinweis, dass der spezifische Fehler in den Berechtigungen liegt, die einem SAS-Token erteilt werden. Ein Angreifer kann diese Schwachstelle ausnutzen, um einen Supply-Chain-Angriff zu starten und beliebigen Code auf den Endpunkten der Kunden auszuführen. Die ZDI hat die Informationen zu der Schwachstelle bereits vor langer Zeit an Microsoft übergeben: im Oktober 2023. In der Meldung ist sogar ein Link zu finden, welcher zu den Microsoft Security Updates führt. Allerdings ist dort keine Info oder ein Patch zu finden.

Aktuell ist auch noch keine CVE-Nummer vorhanden die das Ganze etwas aufklären könnte. Der veröffentlichte Zeitplan der Offenlegung der Sicherheitslücke zeigt folgendes:

  • 03.10.2023 – Sicherheitslücke dem Anbieter gemeldet
  • 06.06.2024 – Koordinierte öffentliche Veröffentlichung der Empfehlung
  • 07.06.2024 – Empfehlung aktualisiert

Es wird sich zeigen, wie Microsoft in den nächsten Tagen darauf reagiert.

Wer ist die Zero Day Initiative (ZDI)?

Die Zero Day Initiative (ZDI) wurde ins Leben gerufen, um Forscher durch finanzielle Belohnungen dazu zu ermutigen, Zero-Day-Schwachstellen vertraulich an die betroffenen Anbieter zu melden. Damals herrschte in der Informationssicherheitsbranche die Auffassung, dass es sich bei den Entdeckern von Schwachstellen um böswillige Hacker handelt, die Schaden anrichten wollen. Manche glauben das immer noch. Zwar gibt es durchaus geschickte, böswillige Angreifer, aber sie stellen nur eine kleine Minderheit der Gesamtzahl der Personen dar, die tatsächlich neue Schwachstellen in Software entdecken.

Mehr bei ZeroDayInitiative.com

 

Passende Artikel zum Thema

Bedeutung der Datenverschlüsselung durch NIS2, Dora & Co

Datenverschlüsselung ist gerade besonders aktuell unter anderem durch die Geschäftsführerhaftung, NIS2, DORA und das Geschäftsgeheimnis-Schutzgesetz (GeschGehG). Das Whitepaper „Die Bedeutung ➡ Weiterlesen

Darknet: 15.000 Konfigurationsdateien für FortiGate-Firewalls

In einem Darknet-Forum hat die Hackergruppe "Belsen Group" über 15.000 einzigartige Konfigurationsdateien von FortiGate-Firewalls veröffentlicht. Obwohl die Daten relativ alt ➡ Weiterlesen

Gefahr: Infektion via Outlook ohne Dateiöffnung

Auch das BSI warnt: Durch eine kritische Schwachstelle ist es möglich, dass eine via Outlook empfangene E-Mail mit einem gefährlichen ➡ Weiterlesen

Cyberbedrohungen: Schädliche Dateien um 14 Prozent gestiegen

Auf 2024 zurückblickend, zeigt sich Folgendes: Vor allem Windows-Rechner sind das Ziel von Cyberbedrohungen. Angriffe durch Trojaner stiegen um 33 ➡ Weiterlesen

Hacker sehen KI als neuen Angriffsvektor

Eine neue Umfrage unter Hackern zeigt, dass KI nicht nur Hackern hilft, effizienter zu werden, sondern dass KI selbst „reif ➡ Weiterlesen

KI-gestützte Angriffe: Unternehmen sind ungeschützt

Eine aktuelle Studie hat ergeben, dass 40 Prozent der Unternehmen, die aktuell von KI-gestützten Angriffen betroffen sind, sich nicht ausreichend ➡ Weiterlesen

Phishing-resistente Authentifizierung für Microsoft

Ein führender Anbieter von Sicherheitsschlüsseln für die Hardware-Authentifizierung hat eine neue phishing-resistente Lösung für Microsoft-Ökosysteme vorgestellt. Sie kommt ohne Passwörter ➡ Weiterlesen

ePA – Elektronische Patientenakte mit Sicherheitslücken?

Am 15. Januar startete die Testphase der ePA - der elektronischen Patientenakte trotz vorliegender Berichte über mögliche Sicherheitslücken. Es ist ➡ Weiterlesen