In der Nacht zum Mittwoch hat Microsoft überraschend vier wichtige Sicherheitsmitteilungen veröffentlicht, die teils kritische Schwachstellen in den eigenen Systemen adressieren. Diese Updates sind entscheidend, da einige Lücken bereits aktiv ausgenutzt werden. Microsoft hat einige Updates selbst verteilt, während andere von den Nutzern manuell installiert werden müssen.

Eine der gravierendsten Lücken betrifft Microsofts Copilot Studio, die Angreifern die Möglichkeit bietet, ihre Zugriffsrechte erheblich zu erweitern (CVE-2024-49038, CVSS 9.3, Risiko "kritisch"). Diese Sicherheitslücke ist auf eine unzureichende Filterung von Nutzereingaben während des Webseitenerstellungsprozesses zurückzuführen und wird als Cross-Site-Scripting klassifiziert. Völlig unautorisiert können Hacker die Kontrolle über Systeme erlangen, jedoch müssen Kunden hierfür keine Maßnahmen ergreifen, da Microsoft eine serverseitige Lösung bereitgestellt hat.

Unerfreulicherweise wurde eine andere Schwachstelle im "partner.microsoft.com"-Bereich bereits ausgenutzt. Angreifer können hier ohne Authentifizierung ihre Rechte erhöhen, da die Zugriffsberechtigungen nicht richtig angewendet wurden (CVE-2024-49035, CVSS 8.7, hoch). Microsoft hat diesen Vorfall als kritisch eingestuft, obwohl die CVSS-Bewertung niedriger ist. Auch für diese Lücke ist ein serverseitiges Update bereitgestellt worden.

Zusätzlich wurde im Microsoft Azure PolicyWatch entdeckt, dass Angreifer ohne Autorisierung ihre Zugriffsrechte erhöhen konnten, was auf das Fehlen einer grundlegenden Authentifizierung für eine als kritisch eingestufte Funktion zurückzuführen ist (CVE-2024-49052, CVSS 8.2, hoch). Auch hier hat Microsoft das Problem bereits behoben und Nutzer müssen nicht tätig werden.

Die vierte Sicherheitslücke betrifft die Microsoft Business-Software Dynamics 365 Sales. Hackern ist es möglich, eine Spoofing-Lücke auszunutzen, indem sie manipulierte Links an authentifizierte Benutzer senden, um sie auf schädliche Webseiten umzuleiten (CVE-2024-49053, CVSS 7.6, hoch). Diese vulnerabilität ist auf dem Webserver vorhanden, die bösartigen Skripte laufen jedoch im Browser der Opfer. Die iOS- und Android-Versionen von Dynamics 365 Sales sind seit Update 3.24104.15 sicher; Nutzer sind angehalten, ihre Anwendungen umgehend zu aktualisieren.

Bemerkenswert ist, dass diese Sicherheitsupdates außerhalb des regulären Patchday-Zyklus, der am 13. November stattfand, veröffentlicht wurden. Der nächste reguläre Patchday ist für den 11. Dezember angesetzt. Microsoft hat diese Sicherheitslücken als so ernsthaft erachtet, dass sofortige Updates notwendig waren. Nutzer sind daher dringend aufgefordert, ihre Systeme abzugleichen und Updates zu installieren, um ihre Daten zu schützen!