Beim Patch Day am 14. Februar hat Microsoft etliche Updates bereitgestellt, die 77 Schwachstellen beheben. Microsoft stuft neun Schwachstellen als kritisch ein und weist den Rest als hohes Risiko aus. Die kritischen Lücken betreffen unter anderem Windows, .NET, Word und Visual Studio. Spärliche Details zu den Schwachstellen bietet Microsoft zum Selbstsuchen im Leitfaden für Sicherheitsupdates. Deutlich übersichtlicher bereitet Dustin Childs im Blog von Trend Micro ZDI das Thema Update-Dienstag auf – stets auch mit Blick auf Admins, die Unternehmensnetzwerke betreuen.
Browser-Updates
Das jüngste Sicherheits-Update für Edge ist die Version 110.0.1587.41 vom 9. Februar. Sie basiert auf Chromium 110.0.5481.78 und beseitigt mehrere Lücken in der Chromium-Basis sowie zwei Edge-spezifische Schwachstellen. Mit dem Wechsel auf Chromium 110 läuft Edge nicht mehr auf Systemen mit Windows 7 oder 8.x – wie alle Chromium-basierten Browser.
▶So entfernt Microsoft den Internet Explorer jetzt endgültig
Office-Lücken
In seinen Office-Produkten hat Microsoft sechs Sicherheitslücken geschlossen. Die Schwachstelle CVE-2023-21715 in Publisher wird laut Microsoft bereits für Angriffe ausgenutzt (0-Day-Lücke). Sie kann dazu dienen, den Office-Schutz vor schädlichen Makros auszuhebeln. Eine RCE-Lücke (RCE: Remote Code Execution) in Word (CVE-2023-21716) ist als kritisch eingestuft. Der Grund für diese Einstufung ist, dass die Outlook-Vorschau als Angriffsvektor dienen kann. Wird eine präparierte Word-Datei als Mail-Anhang empfangen und in der Outlook Vorschau angezeigt, kann eingeschleuster Code mit Benutzerrechten ausgeführt werden. Die übrigen Lücken weist der Hersteller als hohes Risiko aus. Darunter ist eine weitere, die sich geeignet, um Code einzuschleusen und auszuführen.
Schwachstellen in Windows
Ein großer Anteil der Schwachstellen, in diesem Monat 36, verteilt sich über die verschiedenen Windows-Versionen (10 und neuer), für die Microsoft noch Sicherheits-Updates für alle anbietet. Windows 7 und 8.1 werden in den Sicherheitsberichten nicht mehr erwähnt, könnten jedoch anfällig sein. Updates für diese Systeme erhalten selbst ESU-Kunden nicht mehr – nur noch für Windows Server 2008/R2. Soweit die Systemanforderungen das zulassen, sollten Sie auf Windows 10 oder 11 wechseln, um weiterhin Sicherheits-Updates zu erhalten.
Windows unter Beschuss
Die Schwachstelle CVE-2023-23376 steckt im Treiber des gemeinsamen Protokolldateisystems und wird bereits für Attacken ausgenutzt (0-Day-Lücke). Entdeckt hat die Lücke Microsofts Threat Intelligence Center (MSTIC). Das könnte bedeuten, dass sie durch hochprofessionelle (etwa staatsnahe) APT-Gruppen (Advanced Persistent Threat) ausgenutzt wird. Die als hohes Risiko eingestufte EoP-Lücke (Elevation of Privilege, Rechteausweitung) eignet sich in Kombination mit einer RCE-Lücke, um Code mit Systemrechten auszuführen. So können Angreifer anfällige Systeme mit Malware, etwa Ransomware oder Spionage-Tools, verseuchen.
▶Die neuesten Sicherheits-Updates
Kritische Windows-Lücken
In Windows hat Microsoft vier als kritisch eingestufte RCE-Sicherheitslücken behoben. Davon stecken drei im Microsoft Protected Extensible Authentication Protocol (PEAP), eine im iSCSI Discovery Dienst (CVE-2023-21803). Letztere betrifft nur 32-Bit-Systeme mit x86-CPUs. Zudem in der iSCSI Initiator-Client standardmäßig deaktiviert.
Exchange Server und SQL Server
Im Exchange Server hat Microsoft vier RCE-Lücken beseitigt. Die Schwachstelle CVE-2023-21529 ist laut Dustin Childs durch einen unzureichenden Patch aus dem Herbst 2022 entstanden. Auch im Microsoft SQL Server hat der Hersteller vier RCE-Lücken geschlossen. Hinzu kommt die RCE-Schwachstelle CVE-2023-21685 im Microsoft AS WDAC OLE DB-Anbieter für SQL Server. Microsoft weist alle hier genannten Schwachstellen als hohes Risiko aus.
Extended Security Updates (ESU)
Unternehmen und Organisationen, die an Microsofts kostenpflichtigen ESU-Programm teilnehmen, um Systeme mit Server 2008/R2 abzusichern, erhalten in diesem Monat Updates, die 34 Lücken schließen. Darunter sind vier als kritisch ausgewiesene Sicherheitslücken sowie die 0-Day-Lücke CVE-2023-23376.
Auch im Februar gibt es wieder ein neues Windows-Tool zum Entfernen bösartiger Software. Der nächste turnusmäßige Update-Dienstag ist am 14. März.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.