Beim Patch Day am 9. Mai 2023 hat Microsoft etliche Updates bereitgestellt, die 38 Schwachstellen beheben. Microsoft stuft sechs Schwachstellen als kritisch ein und weist den Rest als hohes Risiko aus. Die kritischen Lücken betreffen vor allem Windows sowie Sharepoint. Spärliche Details zu den Schwachstellen bietet Microsoft zum Selbstsuchen im Leitfaden für Sicherheitsupdates. Deutlich übersichtlicher bereitet Dustin Childs im Blog von Trend Micro ZDI das Thema Update-Dienstag auf – stets auch mit Blick auf Admins, die Unternehmensnetzwerke betreuen.
Die wichtigsten Sicherheitslücken beim Patch Day im Mai
CVEanfällige SoftwareSchwere-gradAuswirkungausgenutztvorab bekanntCVE-2023-29336Windows (Win32k)hochEoPjaneinCVE-2023-29325Windows OLEkritischRCEneinjaCVE-2023-24932Windows (Secure Boot)hochSFBneinjaCVE-2023-28283Windows (LDAP)kritischRCEneinneinCVE-2023-24941Windows Server (NFS)kritischRCEneinneinCVE-2023-24943Windows (PGM)kritischRCEneinneinCVE-2023-24955SharePointkritischRCEneinneinEoP: Elevation of Privilege, Rechteausweitung
RCE: Remote Code Execution
SFB: Security Feature Bypass
Browser-Updates
Das jüngste Sicherheits-Update für Edge ist die Version 113.0.1774.35 vom 5. Mai. Sie basiert auf Chromium 113.0.5672.63 und beseitigt etliche Lücken in der Chromium-Basis. Außerdem hat Microsoft darin zwei Edge-spezifische Schwachstellen (CVE-2023-29350, CVE-2023-29354) behoben. Edge präsentiert sich zunehmend als KI-gestützter Browser. Neben der Bing-Suche bietet Edge 113 weitere Textfunktionen mit ChatGPT in der Seitenleiste sowie eine Bilderstellung durch Dall-E. Seit dem Wechsel auf Chromium 110 läuft Edge nicht mehr auf Systemen mit Windows 7 oder 8.x – wie alle Chromium-basierten Browser.
Office-Lücken
In seiner Office-Produktfamilie hat Microsoft acht Sicherheitslücken geschlossen. Die Sharepoint-Schwachstelle CVE-2023-24955 weist Microsoft als kritisch aus, die übrigen sind als hohes Risiko („wichtig“) eingestuft. Zwei davon sind RCE-Lücken (RCE: Remote Code Execution), darunter eine (CVE-2023-24953), die Excel betrifft.
Schwachstellen in Windows
Ein großer Anteil der Schwachstellen, in diesem Monat 27, verteilt sich über die verschiedenen Windows-Versionen (10 und neuer), für die Microsoft noch Sicherheits-Updates für alle anbietet. Windows 7 und 8.1 werden in den Sicherheitsberichten nicht mehr erwähnt, könnten jedoch anfällig sein. Updates für diese Systeme erhalten selbst ESU-Kunden nicht mehr – nur noch für Windows Server 2008/R2. Soweit die Systemanforderungen das zulassen, sollten Sie auf Windows 10 oder 11 wechseln, um weiterhin Sicherheits-Updates zu erhalten.
Tipp: Windows 11 Pro für 70 Euro statt 259 Euro (UVP) kaufen
Windows unter Beschuss
Microsoft weist die Schwachstelle CVE-2023-29336 im Windows-Kernel (Win32k) als hohes Risiko aus. Sie wird bereits für Attacken ausgenutzt (0-Day-Lücke). Angreifer können sich höhere Berechtigungen (System) verschaffen. Typischerweise werden solche Schwachstellen mit einer RCE-Lücke kombiniert, um Malware einzuschleusen. Das dürfte auch hier der Fall sein, denn die Sicherheitslücke wurde durch Forscher des Antivirusherstellers Avast entdeckt und an Microsoft gemeldet.
Kritische Windows-Lücken
Unter den fünf von Microsoft als kritisch ausgewiesenen Windows-Lücken ist CVE-2023-29325 hervorzuheben. Die als OLE-Lücke ausgewiesene Schwachstelle betrifft in erster Linie Outlook als Einfallstor für Angreifer. Sendet ein Angreifer eine speziell präparierte RTF-Mail (Rich Text Format), kann enthaltener Schadcode bereits in der Vorschau aktiv werden. Aber auch andere Office-Programme können zum Angriffsvektor werden, etwa mit RTF-formatierten Word-Dateien. Die Lücke war vorab öffentlich bekannt und ist auf Twitter breit diskutiert worden.
▶Die neuesten Sicherheits-Updates
Ein Angreifer, der die Schwachstelle CVE-2023-24941 im Windows Network File System (NFS) ausnutzt, kann ohne Benutzeranmeldung Code einschleusen und diesen mit erweiterten Rechten ausführen. Betroffen sind die Server-Editionen von Windows. Wie bereits im April, schließt Microsoft auch im Mai eine kritische RCE-Lücke im Pragmatic General Multicast (PGM). Offenbar bietet PGM eine breite Angriffsfläche. Die letzte als kritisch eingestufte Schwachstelle (CVE-2023-28283) steckt in Lightweight Directory Access Protocol (LDAP) und betrifft alle noch unterstützten Windows-Versionen.
Extended Security Updates (ESU)
Unternehmen und Organisationen, die an Microsofts kostenpflichtigen ESU-Programm teilnehmen, um Systeme mit Server 2008/R2 abzusichern, erhalten in diesem Monat Updates, die 14 Lücken schließen. Darunter sind vier als kritisch ausgewiesene Sicherheitslücken (also alle oben genannten außer der NFS-Schwachstelle) sowie die 0-Day-Lücke CVE-2023-29336 (Win32k).
Auch im Mai gibt es wieder ein neues Windows-Tool zum Entfernen bösartiger Software. Der nächste turnusmäßige Update-Dienstag ist am 13. Juni.
Business, Security, Windows