Beim Patch Day am 13. Februar hat Microsoft etliche Sicherheits-Updates bereitgestellt, um 73 Schwachstellen zu beheben. Microsoft stuft fünf Sicherheitslücken als kritisch ein und weist die meisten der übrigen Lücken als hohes Risiko aus. Zwei 0-Day-Lücken betreffen Windows.
Spärliche Details zu den Schwachstellen bietet Microsoft zum Selbstsuchen im Leitfaden für Sicherheitsupdates. Deutlich übersichtlicher bereitet Dustin Childs im Blog von Trend Micro ZDI das Thema Update-Dienstag auf – stets auch mit Blick auf Admins, die Unternehmensnetzwerke betreuen.
Die wichtigsten Sicherheitslücken beim Patch Day im Februar
CVEanfällige SoftwareSchwere-gradAuswirkungausgenutztvorab bekanntCVE-2024-21412Windows Smart-ScreenhochSFBjaneinCVE-2024-21351Windows Smart-ScreenmittelSFBjaneinCVE-2024-21357Windows PGMkritischRCEneinneinCVE-2024-20684Windows Hyper-VkritischDoSneinneinCVE-2024-21413OfficekritischRCEneinneinCVE-2024-21410Exchange ServerkritischEoPneinneinCVE-2024-21380Dynamics / NAVkritischIDneinneinEoP: Elevation of Privilege, Rechteausweitung
RCE: Remote Code Execution
SFB: Security Feature Bypass
ID: Information Disclosure, Datenleck
DoS: Denial of Service
Browser-Updates
Das jüngste Sicherheits-Update für Edge ist die Version 121.0.2277.112 vom 8. Februar. Sie basiert auf Chromium 121.0.6167.160 und beseitigt mehrere Schwachstellen der Chromium-Basis. Google hat am 13. Februar ein neues Sicherheits-Update für Chrome veröffentlicht, um eine Lücke zu schließen, über die bislang nichts weiter bekannt ist.
Office-Lücken
In den Produkten seiner Office-Familie hat Microsoft acht Lücken geschlossen, von denen sieben als hohes Risiko ausgewiesen sind, darunter vier RCE-Lücken (Remote Code Execution). Die als kritisch eingestufte Schwachstelle CVE-2024-21413 ist ebenfalls eine RCE-Lücke. Wird sie ausgenutzt, öffnet die Office-Anwendung das Dokument nicht in der geschützten Office-Ansicht, sondern gleich im Bearbeitungsmodus. Auch das Vorschaufenster ist ein Angriffsvektor. Um insbesondere Office 2016 (die älteste noch unterstützte Version) komplett gegen Angriffe dieser Art abzusichern, müssen Sie laut Microsoft mehrere Updates installieren.
Schwachstellen in Windows
Der überwiegende Teil der Schwachstellen, diesmal 44, verteilt sich über die verschiedenen Windows-Versionen (10 und neuer), für die Microsoft noch Sicherheits-Updates für alle anbietet. Windows 7 und 8.1 werden zwar in den Sicherheitsberichten nicht mehr erwähnt, könnten jedoch anfällig sein. Soweit die Systemanforderungen das zulassen, sollten Sie auf Windows 10 (22H2) oder Windows 11 wechseln, um weiterhin Sicherheits-Updates zu bekommen. Im Herbst dieses Jahres endet auch die Unterstützung für Windows 10.
▶Die neuesten Sicherheits-Updates
Windows unter Beschuss
Die beiden SFB-Lücken (Security Feature Bypass) CVE-2024-21412 und CVE-2024-21351 werden laut Microsoft bereits für Angriffe genutzt. Erstere betrifft Internet-Verknüpfungsdateien (*.url), die an Microsofts Smart-Screen-Schutzmechanismus vorbeigeschleust werden können, sodass letztlich eine EXE-Datei aus dem Internet geladen und ohne die sonst übliche Sicherheitsabfrage ausgeführt wird. Trend Micro hat entsprechende Angriffe auf Nutzer eines Trader-Forums analysiert und dabei diese Schwachstelle entdeckt. Die Forscher erwarten, dass diese Art Angriffe bald weitere Kreise ziehen wird. Inzwischen nutzen bereits andere Täter diese Lücke, in dem sie speziell präparierte PDF-Dateien in Phishing-Mails versenden.
Die zweite 0-Day-Lücke CVE-2024-21351 ähnelt der gerade beschriebenen, es ist jedoch nichts über Art und Umfang der Angriffe bekannt. Auch hierbei wird der Smart-Screen-Filter des Windows Defender umgangen. Normalerweise markiert Windows Dateien, die von einer unsicheren Quelle im Internet geladen werden, mit dem so genannten „Mark-of-the-Web“ (MotW) und warnt vor dem Öffnen solcher Dateien, verhindert es jedoch nicht. Im Falle der Ausnutzung einer der beiden 0-Day-Lücken unterbleibt diese Sicherheitsabfrage.
Kritische Windows-Lücken
Zwei der Windows-Schwachstellen weist Microsoft als kritisch aus. Die DoS-Lücke (Denial of Service) CVE-2024-20684 in Hyper-V kann es einem Angreifer ermöglichen, aus dem Gastsystem (virtuelle Maschine) das Hostsystem stark zu beeinträchtigen. Die RCE-Lücke CVE-2024-21357 ist eine weitere Schwachstelle im Protokoll Pragmatic General Multicast (PGM). Der Angreifer muss sich jedoch im selben Netzwerksegment befinden, da PGM nicht Routing-tauglich ist.
Kritische Lücke in Exchange Server
Mit CVE-2024-21410 stopft Microsoft eine weitere Exchange-Schwachstelle, die das Ausleiten von NTLM-Hashes ermöglicht. Der Angreifer muss weder angemeldet noch im selben Netzwerk sein, um diese Sicherheitslücke auszunutzen. Im Erfolgsfall kann er sich dann als ein legitimer Benutzer ausgeben. Um Exchange Server gegen die Ausnutzung dieser Lücke zu wappnen, reicht es nicht, ein Update einzuspielen. Microsofts Exchange Team bietet in seinem Blog eine Anleitung.
Auch im Februar gibt es wieder ein neues Windows-Tool zum Entfernen bösartiger Software. Der nächste turnusmäßige Update-Dienstag ist am 12. März 2024.
Business, Security Software and Services, Windows