Beim Patch Day am 12. Dezember hat Microsoft Sicherheits-Updates bereitgestellt, um 33 Schwachstellen zu beheben. Microsoft stuft vier Sicherheitslücken als kritisch ein und weist die übrigen als hohes Risiko aus. Die kritischen Lücken betreffen Windows und Azure. Keine der Schwachstellen wird bislang für Angriffe ausgenutzt. Microsoft geht also im Dezember, wie schon in früheren Jahren, eher sparsam mit neuen Updates um. Insgesamt war 2023 jedoch mit mehr als 900 CVEs eines der lückenreichsten Jahre.
Spärliche Details zu den Schwachstellen bietet Microsoft zum Selbstsuchen im Leitfaden für Sicherheitsupdates. Deutlich übersichtlicher bereitet Dustin Childs im Blog von Trend Micro ZDI das Thema Update-Dienstag auf – stets auch mit Blick auf Admins, die Unternehmensnetzwerke betreuen.
Die wichtigsten Sicherheitslücken beim Patch Day im Dezember 2023
CVEanfällige SoftwareSchweregradAuswirkungausgenutztvorab bekanntCVE-2023-35641Windows ICSkritischRCEneinneinCVE-2023-35630Windows ICSkritischRCEneinneinCVE-2023-35628Windows MSHTMLkritischRCEneinneinCVE-2023-35636OutlookhochDatenleckneinneinRCE: Remote Code Execution
Browser-Updates
Das jüngste Sicherheits-Update für Edge ist die Version 120.0.2210.61 vom 7. Dezember. Sie basiert auf Chromium 120.0.6099.71 und schließt auch drei Edge-spezifische Sicherheitslücken. Eine der Edge-Lücken (CVE-2023-35618) kann es einem Angreifer ermöglichen, Code auf den Rechner eines potenziellen Opfers zu schleusen. Dieser kann außerhalb der Browser-Sandbox ausgeführt werden, wenn ein Besucher einer Website eine speziell gestaltete Datei von dieser Website öffnet.
Office-Lücken
In seinen Office-Produkten hat Microsoft drei Sicherheitslücken geschlossen, die als hohes Risiko ausgewiesen sind. Ein Datenleck (CVE-2023-35636) betrifft Outlook für Windows und kann es Angreifern ermöglichen, NTLM-Hashes zu erbeuten. Die Spoofing-Lücke CVE-2023-35619 steckt hingegen nur in Outlook für macOS. Ein weiteres Datenleck (CVE-2023-36009) hat Microsoft in Word gestopft.
Schwachstellen in Windows
Der überwiegende Teil der Schwachstellen, diesmal 25, verteilt sich über die verschiedenen Windows-Versionen (10 und neuer), für die Microsoft noch Sicherheits-Updates für alle anbietet. Windows 7 und 8.1 werden zwar in den Sicherheitsberichten nicht mehr erwähnt, könnten jedoch auch anfällig sein. Soweit die Systemanforderungen das zulassen, sollten Sie auf Windows 10 (22H2) oder Windows 11 wechseln, um weiterhin Sicherheits-Updates zu bekommen.
Die neuesten Sicherheits-Updates
Kritische Windows-Lücken
Drei Windows-Schwachstellen weist Microsoft als kritisch aus. Die beiden RCE-Lücken (Remote Code Execution) CVE-2023-35630 und CVE-2023-35641 erreichen einen CVSS-Score von 8.8. Sie betreffen die gemeinsame Nutzung einer Internetverbindung (ICS: Internet Connection Sharing) aller Windows-Versionen. Die Attacke mit präparierten Datenpaketen kann klappen, wenn sich Angreifer und Opfer eine Internet-Verbindung teilen.
Die dritte als kritisch eingestufte Schwachstelle steckt in der Windows MSHTML Plattform, einem Relikt aus der Ära des Internet Explorers. Sendet ein Angreifer eine speziell gestaltete Mail, kann schädlicher Code ausgeführt werden. Dies geschieht bereits, während Outlook die Mail nach Erhalt verarbeitet – noch bevor sie in der Vorschau angezeigt wird. Online-Kriminelle werden sich bemühen, funktionsfähigen Angriffscode dafür zu entwickeln.
Exchange Server ohne Support
Nach Untersuchungen der ShadowServer Foundation sind allein in Europa noch mehr als 10.000 Exchange Server online, für die es keine Sicherheits-Updates mehr gibt. Es handelt sich vorwiegend um Exchange Server 2013, dessen Support Microsoft im April dieses Jahres eingestellt hat. Aber auch Exchange Server 2010 und 2007 sind noch darunter. Wer kann, sollte möglichst schnell auf Exchange Server 2019 umstellen, um die Angriffsfläche zu reduzieren.
Extended Security Updates (ESU)
Unternehmen und Organisationen, die an Microsofts kostenpflichtigen ESU-Programm teilnehmen, um Systeme mit Server 2008/R2 oder 2012/R2 abzusichern, erhalten in diesem Monat Updates, die 18 Schwachstellen beseitigen. Darunter sind auch die drei als kritisch eingestuften RCE-Lücken.
Im Dezember gibt es offenbar kein neues Windows-Tool zum Entfernen bösartiger Software. Der nächste turnusmäßige Update-Dienstag ist am 9. Januar 2024.
Business, Security Software and Services, Windows