Beim Patch Day am 9. April 2024 hat Microsoft etliche Sicherheits-Updates bereitgestellt, um 147 Schwachstellen zu beheben. Microsoft stuft drei Sicherheitslücken in Microsoft Defender für IoT als kritisch ein und weist die übrigen Lücken bis auf zwei als hohes Risiko aus. Bislang wird laut Microsoft keine der Lücken für Angriffe ausgenutzt. Das kann sich aber jederzeit ändern. Zudem hat Trend Micro ZDI Exploit-Code in freier Wildbahn gesichtet.
Spärliche Details zu den Schwachstellen bietet Microsoft zum Selbstsuchen im Leitfaden für Sicherheitsupdates. Deutlich übersichtlicher bereitet Dustin Childs im Blog von Trend Micro ZDI das Thema Update-Dienstag auf – stets auch mit Blick auf Admins, die Unternehmensnetzwerke betreuen. Dustin Childs erinnert sich nach eigenem Bekunden nicht, dass Microsoft jemals so viele Sicherheitslücken in einem Monat gestopft hätte wie in diesem April.
Die wichtigsten Sicherheitslücken beim Patch Day im April
CVEanfällige SoftwareSchwere-gradAuswirkungausgenutztvorab bekanntCVE-2024-29988Windows Smart-ScreenhochSFBja (?)neinCVE-2024-26257OfficehochRCEneinneinCVE-2024-28925 und weitereWindows, Secure BoothochSFBneinneinCVE-2024-26221 und weitereWindows, DNShochRCEneinneinRCE: Remote Code Execution
SFB: Security Feature Bypass
Die große Anzahl der im April gestopften Lücken resultiert nicht zuletzt aus etlichen RCE-Lücken (Remote Code Execution) im OLE DB-Treiber für SQL Server (38), DHCP- und DNS-Server (9) sowie SFB-Lücken in Secure Boot (24). Die Updates für Secure Boot beheben zwar die Fehler, müssen jedoch noch mit zusätzlichen Schritten (KB5025885) aktiviert werden.
Browser-Updates
Das jüngste Sicherheits-Update für Edge ist die Version 123.0.2420.81 vom 4. April. Sie basiert auf Chromium 123.0.6312.106 und beseitigt mehrere Schwachstellen der Chromium-Basis. Außerdem haben die Microsoft-Entwickler darin zwei Edge-spezifische Sicherheitslücken behoben.
Office-Lücken
In den Produkten seiner Office-Familie hat Microsoft zwei Lücken geschlossen, die beide als hohes Risiko ausgewiesen sind. Darunter ist mit CVE-2024-26257 eine RCE-Lücke in Excel. Diese betrifft Microsoft 365 Apps für Unternehmen sowie Office LTSC für Mac 2021 – Office für Mac bekommt Sicherheits-Updates traditionell mit einiger Verspätung. Die zweite Schwachstelle ist eine Spoofing-Lücke (CVE-2024-26251) in Sharepoint Server. Hinzu kommt mit CVE-2024-20670 eine Spoofing-Lücke in Outlook für Windows.
Schwachstellen in Windows
Der überwiegende Teil der Schwachstellen, diesmal 91, verteilt sich über die verschiedenen Windows-Versionen (10 und neuer sowie Server), für die Microsoft noch Sicherheits-Updates für alle anbietet. Windows 7 und 8.1 werden zwar in den Sicherheitsberichten nicht mehr erwähnt, könnten jedoch anfällig sein. Soweit die Systemanforderungen das zulassen, sollten Sie auf Windows 10 (22H2) oder Windows 11 wechseln, um weiterhin Sicherheits-Updates zu bekommen.
▶Die neuesten Sicherheits-Updates
0-Day-Lücke in Windows oder nicht?
In Microsofts Informationen zum aktuellen Update-Dienstag findet sich kein Hinweis, dass eine der gestopften Lücken bereits bei Angriffen genutzt würde oder Exploit-Code für eine der Lücken in Umlauf wäre. Doch Dustin Childs merkt im ZDI-Blog an, dass sehr wohl Exploits für eine durch seinen Kollegen Peter Girrus entdeckte Schwachstelle in freier Wildbahn (itw: in the wild) gesichtet worden seien.
Dabei geht es um die SFB-Lücke (Security Feature Bypass) CVE-2024-29988 im Smart Screen Filter. Sie ähnelt der Schwachstelle CVE-2024-21412 aus dem Februar, die durch die APT-Gruppe Water Hydra (auch als Dark Casino bekannt) ausgenutzt wurde, um Malware einzuschleusen. Das Ausnutzen einer solchen Lücke führt dazu, dass Windows Defender eine aus dem Internet heruntergeladene Datei nicht mit dem Attribut „Mark-of-the-Web“ (MotW) versieht und somit auch nicht vor dem Öffnen der (potenziell unsicheren) Datei warnt. Daher nennt man das einen Security Feature Bypass (Umgehen einer Sicherheitsfunktion).
Kritische IoT-Schwachstellen
Als kritisch stuft Microsoft lediglich drei RCE-Sicherheitslücken in Microsoft Defender für IoT (Internet of Things oder auch Smart Home) ein. Sie werden noch durch drei EoP-Lücken (Elevation of Privilege) ergänzt. Wie wahrscheinlich ein solcher Angriff an dieser Stelle ist, bleibt unklar. Sie sollten jedoch jede Angriffsmöglichkeit auf Ihre Verteidigungslinien ernst nehmen.
Auch im April gibt es wieder ein neues Windows-Tool zum Entfernen bösartiger Software. Der nächste turnusmäßige Update-Dienstag ist am 14. Mai 2024.
Business, Security Software and Services, Windows