Beim Patch Day am 10. Oktober hat Microsoft zahlreiche Updates bereitgestellt, um 103 Schwachstellen zu beheben. Microsoft stuft 13 Sicherheitslücken als kritisch ein und weist den Rest als hohes Risiko aus. Die kritischen Lücken betreffen Windows und das Common Data Model SDK. Eine Schwachstelle in WordPad sowie eine in Skype for Business werden bereits ausgenutzt. In diesem Monat ist es genau 20 Jahre her, dass Microsoft den monatlichen Patch Day (oder auch Update-Dienstag) etabliert hat.
Spärliche Details zu den Schwachstellen bietet Microsoft zum Selbstsuchen im Leitfaden für Sicherheitsupdates. Deutlich übersichtlicher bereitet Dustin Childs im Blog von Trend Micro ZDI das Thema Update-Dienstag auf – stets auch mit Blick auf Admins, die Unternehmensnetzwerke betreuen.
Die wichtigsten Sicherheitslücken beim Patch Day im Oktober 2023
CVEanfälligSchwere-gradAuswirkungausgenutztvorab bekanntCVE-2023-36563WordPadhochIDjajaCVE-2023-41763Skype for BusinesshochEoPjajaCVE-2023-35349Windows (MSMQ)kritischRCEneinneinCVE-2023-36778Exchange ServerhochRCEneinneinEoP: Elevation of Privilege, Rechteausweitung
RCE: Remote Code Execution
ID: Information Disclosure, Datenleck
Browser-Updates
Das jüngste Sicherheits-Update für Edge ist die Version 117.0.2045.55 vom 4. Oktober. Sie basiert auf Chromium 117.0.5938.150 und schließt eine Lücke in der Chromium-Basis. Das nachfolgende Update auf Edge 117.0.2045.60 bietet lediglich Bug-Fixes. Inzwischen hat Google Chrome 118 freigegeben, das weitere 20 Lücken stopft.
Office-Lücken
In seinen Office-Produkten hat Microsoft sieben Sicherheitslücken geschlossen, die als hohes Risiko ausgewiesen sind. Darunter sind vier Schwachstellen in Skype for Business Server, auch eine 0-Day-Lücke (CVE-2023-41763). Durch einen Skype-Anruf kann ein Angreifer mittels einer HTTP-Anfrage Informationen erlangen, die ihm den Zugriff auf das interne Netzwerk ermöglichen könnten. Die drei weiteren Skype-Schwachstellen sind RCE-Lücken (RCE: Remote Code Execution).
Schwachstellen in Windows
Der überwiegende Teil der Schwachstellen, diesmal 80, verteilt sich über die verschiedenen Windows-Versionen (10 und neuer), für die Microsoft noch Sicherheits-Updates für alle anbietet. Windows 7 und 8.1 werden zwar in den Sicherheitsberichten nicht mehr erwähnt, könnten jedoch anfällig sein. Soweit die Systemanforderungen das zulassen, sollten Sie auf Windows 10 (22H2) oder Windows 11 wechseln, um weiterhin Sicherheits-Updates zu bekommen.
Support-Ende für Windows Server 2012
Windows Server 2012 und 2012 R2 haben in diesem Monat letztmalig Updates erhalten. Es gibt jedoch ein kostenpflichtiges ESU-Programm (Extended Security Updates), mit dem sich Organisationen drei Jahre zusätzliche Zeit für den Umstieg auf neuere Versionen erkaufen können.
▶Die neuesten Sicherheits-Updates
0-Day-Lücke in WordPad
Die seit Windows 95 mit Windows ausgelieferte Mini-Textverarbeitung WordPad weist eine Sicherheitslücke auf, die an die 0-Day-Lücke in Word aus dem Vormonat erinnert. Microsoft weist auch die Schwachstelle CVE-2023-36563 in WordPad als Datenleck aus – und sie wird ebenfalls bereits für Angriffe genutzt. Ein Angreifer kann NTLM-Hashes offenlegen, die er für NTLM-Relay-Attacken nutzen könnte.
▶Microsoft entfernt Wordpad aus Windows
Kritische Windows-Lücken
Von den 12 von Microsoft als kritisch ausgewiesenen RCE-Lücken in Windows betreffen allein neun das Layer 2 Tunneling Protocol (L2TP). Zwei weitere hat Microsoft im Message Queuing Dienst (MSMQ) beseitigt, in dem der Hersteller allein in diesem Monat insgesamt 20 Schwachstellen behoben hat, darunter weitere 14 RCE-Lücken. Die MSMQ-Lücke CVE-2023-35349 (CVSS-Score 9.8) könnte laut Dustin Childs Wurm-tauglich sein, sofern MSMQ eingeschaltet ist. Er empfiehlt außerdem, den TCP-Port 1801 am Perimeter zu blockieren. Die letzte als kritisch ausgewiesene Windows-Lücke (CVE-2023-36718) betrifft das Virtual Trusted Platform Module. Ein als Gast angemeldeter Angreifer (respektive sein Code) könnte aus einer Virtuellen Maschine (VM) ausbrechen.
Microsoft und die 0-Day-Lücken in Open-Source-Bibliotheken
Im September sind 0-Day-Lücken in den quelloffenen Programmbibliotheken libwebp (CVE-2023-4863) und libvpx (CVE-2023-5217) aufgedeckt worden, die zahlreiche Programme betreffen, darunter alle unter Windows laufenden Browser. Microsoft hat dazu eine Stellungnahme im MSRC-Blog veröffentlicht. Demnach hat Microsoft die libwebp-Schwachstelle in Edge, Teams, Skype und den Webp Image Extensions aus dem Microsoft Store geschlossen, die libvpx-Lücke in Edge.
Weiteres Update für Exchange Server
Auch im Oktober gibt es wieder ein Sicherheits-Update für Exchange Server. Es soll eine weitere Schwachstelle (CVE-2023-36778) beheben, durch die ein Angreifer im LAN über eine Powershell-Verbindung Code ausführen könnte.
Extended Security Updates (ESU)
Unternehmen und Organisationen, die an Microsofts kostenpflichtigen ESU-Programm teilnehmen, um Systeme mit Server 2008/R2 abzusichern, erhalten in diesem Monat Updates, die 57 Schwachstellen beseitigen. Darunter sind diesmal 11 als kritisch eingestufte RCE-Lücken sowie die 0-Day-Lücke in WordPad.
Auch im Oktober gibt es wieder ein neues Windows-Tool zum Entfernen bösartiger Software. Der nächste turnusmäßige Update-Dienstag ist am 14. November.
Business, Security Software and Services, Windows