Microsoft hat vier Sicherheitslücken behoben, die ihre Künstliche Intelligenz (KI), Cloud-Dienste, Enterprise Resource Planning (ERP)-Systeme und das Partner Center betreffen, darunter eine, die laut dem Unternehmen bereits in der Praxis ausgenutzt wurde.

Die CVE-2024-49035 (CVSS-Wert: 8,7), eine Privilegieneskalation-Lücke in partner.microsoft[.]com, hat die höchste Dringlichkeit und wurde als „Exploitation Detected“ eingestuft.

Details zu CVE-2024-49035

CVE-2024-49035 ist eine Sicherheitslücke in Partner Center auf der partner.microsoft[.]com-Plattform, die Angreifern unbefugten Zugriff gewährt.

• Art der Lücke: Eine unzureichende Zugriffskontrolle, die es nicht authentifizierten Angreifern ermöglicht, Privilegien im Netzwerk zu eskalieren.
• Ausgenutzte Lücke: Microsoft hat bestätigt, dass diese Schwachstelle in realen Angriffen verwendet wurde, jedoch keine spezifischen Details zu den Angriffsmethoden veröffentlicht.
• Forschungsteam: Gautam Peri, Apoorv Wadhwa und ein anonymer Forscher wurden für das Melden dieser Schwachstelle geehrt.

Die Korrektur dieser Schwachstelle wurde in den automatischen Updates von Microsoft Power Apps integriert.

Weitere behobene Sicherheitslücken

Zusätzlich zu CVE-2024-49035 behebt Microsoft auch drei weitere Sicherheitslücken, zwei davon mit kritischem Schweregrad und eine mit wichtigem Schweregrad:

1. CVE-2024-49038 (CVSS 9,3):

• Typ: Cross-Site Scripting (XSS) in Copilot Studio.
• Auswirkung: Ermöglicht es unbefugten Angreifern, Privilegien im Netzwerk zu eskalieren.

1. CVE-2024-49052 (CVSS 8,2):

• Typ: Fehlende Authentifizierung für eine kritische Funktion in Microsoft Azure PolicyWatch.
• Auswirkung: Ermöglicht es unbefugten Angreifern, Privilegien zu eskalieren.

1. CVE-2024-49053 (CVSS 7,6):

• Typ: Spoofing-Schwachstelle in Microsoft Dynamics 365 Sales.
• Auswirkung: Ermöglicht es authentifizierten Angreifern, Nutzer durch speziell gestaltete URLs zu täuschen und möglicherweise auf schadhafte Websites umzuleiten.

Schutzmaßnahmen und Empfehlungen

Die meisten Sicherheitslücken sind bereits vollständig behoben, und Nutzer müssen in den meisten Fällen keine Maßnahmen ergreifen. Für den Schutz gegen CVE-2024-49053 wird jedoch empfohlen:

• Dynamics 365 Sales Apps für Android und iOS auf die neueste Version 3.24104.15 zu aktualisieren.

Die Bedeutung schneller Updates

Diese Sicherheitslücken verdeutlichen die zunehmenden Risiken in Cloud- und Enterprise-Plattformen, insbesondere in weit verbreiteten Anwendungen wie Copilot Studio, Azure PolicyWatch und Dynamics 365 Sales. Unternehmen sollten ihre Systeme schnell aktualisieren, um das Risiko einer Ausnutzung zu minimieren.