Beim Patch Day am 14. April hat Microsoft etliche Updates bereitgestellt, die 97 Schwachstellen beheben. Microsoft stuft sieben Schwachstellen als kritisch ein und weist den Rest als hohes Risiko aus. Die kritischen Lücken betreffen vor allem Windows sowie eine Erweiterung aus dem Microsoft Store. Spärliche Details zu den Schwachstellen bietet Microsoft zum Selbstsuchen im Leitfaden für Sicherheitsupdates. Deutlich übersichtlicher bereitet Dustin Childs im Blog von Trend Micro ZDI das Thema Update-Dienstag auf – stets auch mit Blick auf Admins, die Unternehmensnetzwerke betreuen.
Browser-Updates
Das jüngste Sicherheits-Update für Edge ist die Version 112.0.1722.34 vom 6. April. Sie basiert auf Chromium 112.0.5615.49/50 und beseitigt etliche Lücken in der Chromium-Basis. Außerdem hat Microsoft darin drei Edge-spezifische Schwachstellen behoben. Edge 112 bringt als Neuerung einfache Bildbearbeitungsfunktionen wie Beschneiden und Filter mit. Die neuere Edge-Version 112.0.1722.39 vom 10. April enthält lediglich Bug-Fixes. Seit dem Wechsel auf Chromium 110 läuft Edge nicht mehr auf Systemen mit Windows 7 oder 8.x – wie alle Chromium-basierten Browser.
Office-Lücken
In seiner Office-Produktfamlie hat Microsoft fünf Sicherheitslücken geschlossen, die der Hersteller alle als hohes Risiko einstuft. Vier davon sind RCE-Lücken (RCE: Remote Code Execution), darunter zwei in Publisher.
Schwachstellen in Windows
Ein großer Anteil der Schwachstellen, in diesem Monat 77, verteilt sich über die verschiedenen Windows-Versionen (10 und neuer), für die Microsoft noch Sicherheits-Updates für alle anbietet. Windows 7 und 8.1 werden in den Sicherheitsberichten nicht mehr erwähnt, könnten jedoch anfällig sein. Updates für diese Systeme erhalten selbst ESU-Kunden nicht mehr – nur noch für Windows Server 2008/R2. Soweit die Systemanforderungen das zulassen, sollten Sie auf Windows 10 oder 11 wechseln, um weiterhin Sicherheits-Updates zu erhalten.
Windows unter Beschuss
Microsoft weist die Schwachstelle CVE-2023-28252 im Treiber des gemeinsamen Protokolldateisystems als hohes Risiko aus. Sie wird bereits für Attacken ausgenutzt (0-Day-Lücke). Angreifer können sich höhere Berechtigungen (System) verschaffen. Typischerweise werden solche Schwachstelle mit einer RCE-Lücke kombiniert, um Malware einzuschleusen. Die Lücke erinnert an CVE-2023-23376 aus dem Februar, ebenfalls eine 0-Day-Lücke an gleicher Stelle. Womöglich haben die Angreifer einen Weg gefunden, den Februar-Patch zu umgehen – oder ein paar Code-Zeilen weiter eine artverwandte Schwachstelle entdeckt.
▶Die neuesten Sicherheits-Updates
Kritische Windows-Lücken
Die sieben als kritisch ausgewiesenen Windows-Lücken betreffen das PPTP (Point-to-Point Tunneling Protocol – CVE-2023-28232), L2TP (Layer 2 Tunneling Protocol – CVE-2023-28219, CVE-2023-28220), den DHCP Server-Dienst (CVE-2023-28231), den Microsoft Message Queuing-Dienst (CVE-2023-21554, CVE-2023-28250) sowie die Erweiterung für RAW-Fotos (CVE-2023-28291). Letztere stammt aus dem Microsoft Store, wo es auch das Update gibt. Die neuen Versionen 2.0.60612.0 (Windows 10 und Windows 11 Build 18362) und 2.1.60611.0 (Window 11 Build 22621) sind nicht mehr anfällig.
Zahlreiche weitere Schwachstellen in Druckertreibern
Wie schon im März hat Microsoft in seinen Treibern für Postscript- und PCL6-Drucker etliche Sicherheitslücken geschlossen. Unter den 12 Schwachstellen im April sind 11 RCE-Lücken und ein Datenleck. Da Druckertreiberlücken früher schon bei Angriffen ausgenutzt wurden, etwa in Kombination mit anderen Schwachstellen, sollten Sie diese nicht auf die leichte Schulter nehmen.
Zehn Jahre alte Signaturlücke
Mit CVE-2013-3900 in WinVerifyTrust kommt eine zehn Jahre alte Schwachstelle bei der Signaturprüfung wieder ans Licht. Zwar hatte Microsoft die Lücke bereits geschlossen, doch das entsprechende Update war optional. Die Schwachstelle wurde erst kürzlich ausgenutzt, als Angreifer die 3CX Desktop-App, eine VoIP-Anwendung, kompromittiert haben. Microsoft hat nun Updates für zusätzliche Plattformen und weitere Empfehlungen bereitgestellt.
Exchange Server
Für Exchange Server 2013 gibt es ab heute keinen Support und keine Updates mehr.
Extended Security Updates (ESU)
Unternehmen und Organisationen, die an Microsofts kostenpflichtigen ESU-Programm teilnehmen, um Systeme mit Server 2008/R2 abzusichern, erhalten in diesem Monat Updates, die 44 Lücken schließen. Darunter sind sechs als kritisch ausgewiesene Sicherheitslücken (also alle oben genannten außer der in der RAW-Erweiterung) sowie die 0-Day-Lücke CVE-2023-28252.
Auch im April gibt es wieder ein neues Windows-Tool zum Entfernen bösartiger Software. Der nächste turnusmäßige Update-Dienstag ist am 9. Mai.
Business, Security, Windows