Rackspace-Antwort auf den MOVEit-Transfer-Sicherheitshinweis

Am 11. Juli 2023 meldete Microsoft 132 Sicherheitslücken, darunter 6 aktiv ausgenutzte Zero-Day-Lücken und 9 kritische Sicherheitslücken. Microsoft hat Patches für alle Sicherheitslücken außer einer Zero-Day-Schwachstelle veröffentlicht (CVE-2023-36884). Diese Sicherheitslücke wirkt sich darauf aus, wie Microsoft Office mit MSHTML-Dateien umgeht - Rackspace empfiehlt, CVE-2023-36884 zu patchen, sobald ein Patch veröffentlicht wird. Bitte beachten Sie, dass Microsoft nicht mitgeteilt hat, ob diese Sicherheitslücke einzeln oder mit dem August-Patch gepatcht wird. Von den von Microsoft festgestellten Sicherheitslücken hebt Rackspace in diesem Beitrag fünf hervor.  

Drei Sicherheitslücken (nachverfolgt als CVE-2023-35365, CVE-2023-35366und CVE-2023-35367) betreffen den "Routing and Remote Access Service" (RRAS) auf allen aktuellen Versionen von Windows Server sowie v2008. Diese Schwachstellen führen zu Remote Code Execution (RCE), erfordern keine Authentifizierung oder Benutzerinteraktion und haben eine geringe Angriffskomplexität. Glücklicherweise wird RRAS auf Windows-Servern nicht standardmäßig installiert oder konfiguriert. Wir empfehlen unseren Kunden, zu prüfen, ob dieser Dienst aktiviert ist oder sein könnte, und entweder den Dienst zu deaktivieren oder ihn mit einem Patch zu versehen, um die Schwachstelle zu entschärfen.  

Die vierte Sicherheitslücke (verfolgt als CVE-2023-32057) betrifft Microsoft Message Queuing (MSMQ) mit einem CVSS-Wert von 9.8 (eingestuft als "kritisch"). Um diese Sicherheitslücke erfolgreich auszunutzen, muss ein Angreifer ein speziell präpariertes bösartiges MSMQ-Paket an einen MSMQ-Server senden, was zu einer Remotecodeausführung führt. Diese Windows-Komponente muss aktiviert sein, damit ein System angreifbar ist. Microsoft empfiehlt, zu überprüfen, ob der Dienst "Message Queuing" läuft und der TCP-Port 1801 auf dem Rechner überwacht wird. 

Die letzte Sicherheitslücke (verfolgt als CVE-2023-35352) besteht im Remote Desktop Protocol (RDP). Durch die Ausnutzung dieser Schwachstelle könnte ein Angreifer die Authentifizierung mit Zertifikaten oder privaten Schlüsseln umgehen, wenn er eine Remote-Desktop-Sitzung initiiert. Die Schwachstelle betrifft die Windows Server-Versionen 2012 bis 2019 und hat eine niedrige Angriffskomplexitätsbewertung.  

Rackspace-Ingenieure haben eine erste Bewertung durchgeführt und empfehlen den Kunden dringend, den Hinweis zu lesen und sicherzustellen, dass die entsprechenden Microsoft Office-Patches installiert sind. Rackspace-Kunden, die unseren Managed Patching Service nutzen, werden während der normalen Patching-Zyklen gepatcht. 

Kunden, die Rackspace Managed Patching nicht nutzen, empfehlen wir, die Geräte so schnell wie möglich zu patchen, um diese Schwachstellen zu beseitigen. Kunden, die unseren Managed Patching Service nicht in Anspruch nehmen, können die neuesten Windows-Updates selbst installieren oder Rackspace mit der Durchführung von Patches beauftragen, indem sie den Rackspace-Support kontaktieren. 

Unsere Sicherheitsteams beobachten die Situation aktiv und werden über diesen Blog entsprechende Updates bereitstellen. 

Sollten Sie Fragen haben oder Unterstützung bei der Behebung dieser Schwachstellen benötigen, wenden Sie sich bitte an einen Support-Racker unter https://www.rackspace.com/login.