Beim ersten Patch Day dieses Jahres am 10. Januar hat Microsoft etliche Updates bereitgestellt, die 98 Schwachstellen beheben. Microsoft stuft 11 Schwachstellen als kritisch ein und weist den Rest als hohes Risiko aus. Die Lücken betreffen unter anderem Windows, Office und Exchange. Spärliche Details zu den Schwachstellen bietet Microsoft zum Selbstsuchen im Leitfaden für Sicherheitsupdates. Deutlich übersichtlicher bereitet Dustin Childs im Blog von Trend Micro ZDI das Thema Update-Dienstag auf – stets auch mit Blick auf Admins, die Unternehmensnetzwerke betreuen.
Browser-Updates
Das jüngste Sicherheits-Update für Edge ist noch immer die Version 108.0.1462.54 vom 16. Dezember. Sie basiert auf Chromium 108.0.5359.124 und beseitigt mehrere Lücken in der Chromium-Basis. Microsoft hat am 5. Januar ein Bugfix-Update auf Edge 108.0.1462.76 nachgeschoben, das jedoch keine weiteren Schwachstellen behebt.
Office-Lücken
In seinen Office-Produkten, die zukünftig Microsoft 365 heißen sollen, hat Microsoft im Januar neun Schwachstellen behoben. Anfällig sind vor allem Visio und Sharepoint. Microsoft stuft eine Sharepoint-Lücke (CVE-2023-21743) als kritisch ein, die geeignet ist, um Sicherheitsfunktionen zu umgehen. Die übrigen weist der Hersteller als hohes Risiko aus. Sie sind bis auf eine geeignet, um Code einzuschleusen und auszuführen (RCE: Remote Code Execution).
Schwachstellen in Windows
Die Mehrzahl der Schwachstellen, in diesem Monat 66, verteilt sich über die verschiedenen Windows-Versionen (8.1 und neuer), für die Microsoft noch Sicherheits-Updates für alle anbietet. Windows 7 und Server 2008/R2 werden zwar in den Sicherheitsberichten noch erwähnt, Updates erhalten jedoch nur noch am kostenpflichtigen ESU-Programm teilnehmende Organisationen – in diesem Monat zum letzten Mal. Auch Windows 8.1 und Windows RT 8.1 haben am 10. Januar die letzten Sicherheits-Updates bekommen. Soweit die Systemanforderungen das zulassen, sollten Sie auf Windows 10 oder 11 wechseln, um weiterhin Sicherheits-Updates zu erhalten.
Windows unter Beschuss
In Windows hat Microsoft zwei 0-Day-Lücken geschlossen. Eine der Lücken (CVE-2023-21674) steckt im Advanced Local Procedure Call (ALPC) aller Windows-Versionen ab 8.1 (auch RT und Server) wird bereits für Attacken ausgenutzt, um Malware einzuschleusen. Dies ergibt sich aus dem Umstand, dass die Schwachstelle durch Sicherheitsexperten des Antivirusherstellers Avast entdeckt und an Microsoft gemeldet wurde. Im Erfolgsfall kann Code, der in der Browser-Sandbox (Chromium) ausgeführt wird, aus dieser ausbrechen und auf Kernel-Ebene laufen. Bereits vor dem Patch Day bekannt, aber bislang nicht genutzt, ist die ebenfalls als hohes Risiko eingestufte EoP-Lücke (Elevation of Privilege, Rechteausweitung) CVE-2023-21549 im SMB-Zeugendienst (SMB Witness Service).
Kritische Windows-Lücken
In Windows hat Microsoft zehn als kritisch eingestufte Sicherheitslücken behoben. Davon stecken drei im Layer 2 Tunneling Protocol (L2TP), zwei im Secure Socket Tunneling Protocol (SSTP) und drei in den Kryptografiediensten. Anfällig sind in den meisten Fällen alle Windows-Versionen einschließlich 7, RT 8.1 und Server.
fz
Etliche Schwachstellen im 3D Builder
Der ZDI-Schwachstellenjäger Mat Powell, oft bei Adobe-Software erfolgreich, hat sich diesmal Microsofts Modellierungsprogramm 3D Builder vorgenommen, das bei Windows 10 und 11 mitgeliefert wird. Powell hat 14 RCE-Lücken (CVE-2023-21780 bis -21793) gefunden, die Angreifer mit speziell präparierten Dateien ausnutzen könnten. Geht man davon aus, dass aus dem Netz geladene 3D-Modelle häufig für erste Gehversuche mit 3D Builder dienen, besteht hier durchaus eine gewisse Gefahr. Doch wer dem Risiko durch Einspielen des Updates begegnen möchte, muss sich noch etwas gedulden, denn es gibt noch keines. Microsoft will es „so schnell wie möglich“ nachreichen.
▶Windows-Update: Darauf müssen Sie achten
Nachgebesserte Updates für Exchange Server
Im Exchange Server hat Microsoft fünf neue Schwachstellen beseitigt (CVE-2023-21745, CVE-2023-21761 bis -21764). Allerdings resultieren CVE-2023-21763/-21764 laut Dustin Childs aus dem missglückten Versuch, die Lücke CVE-2022-41123 aus dem November 2022 zu flicken. Durch einen fest einprogrammierten Dateipfad könnte ein lokaler Angreifer (also auch einer, der zunächst mittels anderer Schwachstellen von außen eingedrungen ist) eine eigene DLL laden und mit Systemrechten ausführen. Laut Dustin Childs sind erst kürzlich weltweit knapp 70.000 Exchange Server ohne aktuelle Updates gezählt worden, die übers Internet erreichbar sind.
Extended Security Updates (ESU)
Unternehmen und Organisationen, die an Microsofts kostenpflichtigen ESU-Programm teilnehmen, um Systeme mit Windows 7 oder Server 2008/R2 abzusichern, erhalten in diesem Monat (zum letzten Mal!) Updates, die 43 Lücken schließen. Darunter sind neun als kritisch ausgewiesene Sicherheitslücken.
Auch im Januar gibt es wieder ein neues Windows-Tool zum Entfernen bösartiger Software. Der nächste turnusmäßige Update-Dienstag ist am 14. Februar.
Business, Security, Windows