Beim Patch Day am 12. März hat Microsoft etliche Sicherheits-Updates bereitgestellt, um 59 Schwachstellen zu beheben. Microsoft stuft zwei Sicherheitslücken in Windows als kritisch ein und weist die übrigen Lücken als hohes Risiko aus. Bislang wird laut Microsoft keine der Lücken für Angriffe ausgenutzt. Das kann sich jedoch jederzeit ändern. Im Februar hatte Microsoft die Aussage zur Exchange-Lücke CVE-2024-21410 einen Tag nach dem Patch Day geändert: Es gibt doch Angriffe.
Spärliche Details zu den Schwachstellen bietet Microsoft zum Selbstsuchen im Leitfaden für Sicherheitsupdates. Deutlich übersichtlicher bereitet Dustin Childs im Blog von Trend Micro ZDI das Thema Update-Dienstag auf – stets auch mit Blick auf Admins, die Unternehmensnetzwerke betreuen.
Die wichtigsten Sicherheitslücken beim Patch Day im März 2024
CVEanfällige SoftwareSchweregradAuswirkungausgenutztvorab bekanntCVE-2024-21407Windows, Hyper-VkritischRCEneinneinCVE-2024-21408Windows, Hyper-VkritischDoSneinneinCVE-2024-21426Office, SharepointhochRCEneinneinCVE-2024-26198Exchange ServerhochRCEneinneinRCE: Remote Code Execution
DoS: Denial of Service
Browser-Updates
Das jüngste Sicherheits-Update für Edge ist die Version 1122.0.2365.80 vom 7. März. Sie basiert auf Chromium 122.0.6261.112 und beseitigt mehrere Schwachstellen der Chromium-Basis. Google hat am 12. März ein neues Sicherheits-Update für Chrome veröffentlicht, um drei weitere Lücken zu schließen.
Office-Lücken
In den Produkten seiner Office-Familie hat Microsoft offiziell drei Lücken geschlossen, die alle als hohes Risiko ausgewiesen sind. Darunter ist mit CVE-2024-21426 eine RCE-Lücke (Remote Code Execution) in Sharepoint. In Microsoft 365 Apps für Unternehmen hat der Hersteller die Schwachstelle CVE-2024-26199 beseitigt, deren Ausnutzung einem Angreifer Systemrechte verschaffen könnte. Das Datenleck CVE-2024-21448 betrifft lediglich Teams für Android.
Outlook für Android zählt bei Microsoft offenbar nicht zur Office-Familie, bekommt jedoch trotzdem ein Sicherheits-Update. Es beseitigt das Datenleck CVE-2024-26204. Bei der RCE-Lücke CVE-2024-21411 in Skype bleibt unklar, ob die bereits am 20. Februar veröffentlichte Version 8.113 anfällig oder bereits abgesichert ist. Überprüfen Sie mittels Einstellungen » Hilfe und Feedback, ob Sie die neueste Version installiert haben.
Schwachstellen in Windows
Der überwiegende Teil der Schwachstellen, diesmal 41, verteilt sich über die verschiedenen Windows-Versionen (10 und neuer), für die Microsoft noch Sicherheits-Updates für alle anbietet. Windows 7 und 8.1 werden zwar in den Sicherheitsberichten nicht mehr erwähnt, könnten jedoch anfällig sein. Soweit die Systemanforderungen das zulassen, sollten Sie auf Windows 10 (22H2) oder Windows 11 wechseln, um weiterhin Sicherheits-Updates zu bekommen.
Die neuesten Sicherheits-Updates
Kritische Windows-Lücken
Zwei der Windows-Schwachstellen weist Microsoft als kritisch aus. Die RCE-Lücke CVE-2024-21407 in Hyper-V kann es einem Angreifer ermöglichen, aus dem Gastsystem (der virtuellen Maschine) auszubrechen und beliebigen Code auf dem Hostsystem auszuführen. Die DoS-Lücke (Denial of Service) CVE-2024-21408 in Hyper-V kann es einem Angreifer ermöglichen, aus dem Gastsystem (virtuelle Maschine) das Hostsystem stark zu beeinträchtigen.
RCE-Lücke in Exchange Server
Mit CVE-2024-26198 schließt Microsoft eine Exchange-Schwachstelle, die darauf basiert, dass ein Angreifer eine manipulierte DLL und ein präpariertes Dokument an geeigneter Stelle ablegt. Dann muss er einen Benutzer dazu bringen, das Dokument zu öffnen, das nun die DLL lädt. Bislang gibt Microsoft an, diese Schwachstelle werde nicht ausgenutzt.
Exchange bald ohne Oracle Outside In
Microsoft hat am 12. März einen Warnhinweis (ADV24199947) veröffentlicht, um das Nutzungsende für Oracle Outside In (OIT) in Exchange Server anzukündigen. Ab sofort wird OIT in der ersten von drei Phasen zunächst auf den neuesten Stand (v8.5.7) gebracht, um Sicherheitslücken zu schließen. Es wird jedoch für alle Dateitypen deaktiviert. In der zweiten Phase erhält Exchange Server 2019 Update 15 eine neue, interne Scan-Lösung. In der abschließenden dritten Phase wird OIT komplett aus Exchange entfernt.
Auch im März gibt es wieder ein neues Windows-Tool zum Entfernen bösartiger Software. Der nächste turnusmäßige Update-Dienstag ist am 9. April 2024.
Business, Security Software and Services, Windows