Beim Patch Day am 14. März 2023 hat Microsoft etliche Updates bereitgestellt, die 81 Schwachstellen beheben. Microsoft stuft neun Schwachstellen als kritisch ein und weist den Rest mit einer Ausnahme als hohes Risiko aus. Die kritischen Lücken betreffen unter anderem Windows, Office, Dynamics sowie TPM-2.0-Module. Spärliche Details zu den Schwachstellen bietet Microsoft zum Selbstsuchen im Leitfaden für Sicherheitsupdates. Deutlich übersichtlicher bereitet Dustin Childs im Blog von Trend Micro ZDI das Thema Update-Dienstag auf – stets auch mit Blick auf Admins, die Unternehmensnetzwerke betreuen.
Browser-Updates
Das jüngste Sicherheits-Update für Edge ist die Version 111.0.1661.41 vom 13. März. Sie basiert auf Chromium 111.0.5563.64/65 und beseitigt etliche Lücken in der Chromium-Basis. Seit dem Wechsel auf Chromium 110 läuft Edge nicht mehr auf Systemen mit Windows 7 oder 8.x – wie alle Chromium-basierten Browser. In Edge Webview2 hat Microsoft die Spoofing-Lücke CVE-2023-24892 geschlossen.
Office-Lücken
In seinen Office-Produkten hat Microsoft zehn Sicherheitslücken geschlossen. In Excel hat Microsoft eine RCE-Lücke (RCE: Remote Code Execution) geschlossen, die der Hersteller wie acht weitere Office-Schwachstellen als hohes Risiko einstuft.
Angriffe auf Outlook-Nutzer sollen aus Russland kommen
Die Schwachstelle CVE-2023-23397 in Outlook für Windows ist als kritisch ausgewiesen und wird laut Microsoft bereits für Angriffe ausgenutzt (0-Day-Lücke). Mit einer speziell präparierten Mail kann ein Angreifer den NTLMv2-Hash eines Benutzerkontos abgreifen und über ein eigenen Server an einen weiteres System leiten, um sich zu authentifizieren (Relay-Angriff). Damit diese Anfälligkeit wirksam werden kann, muss die Mail nicht geöffnet werden – das Abschalten der Outlook-Vorschau hilft also nicht. Exchange-Admins sollten auch den zugehörigen Beitrag in Microsofts Exchange-Blog lesen. Darin werden Sicherheits-Updates für Exchange Server erwähnt, die bislang nicht im Security Update Guide auftauchen.
Im MSRC-Blog (Microsoft Security Response Center) beschreibt Microsoft den Angriffsvektor etwas genauer. Microsoft bietet auch ein Script an, mit dem Admins feststellen können, ob ihre Organisation von derartigen Attacken betroffen sind. Den ursprünglichen Befund hat das Computer Emergency Response Team der Ukraine (CERT-UA) gemeldet. Das Microsoft Threat Intelligence Team schreibt die Angriffe einer russischen Tätergruppe zu. Diese habe ausgewählte Einrichtungen aus den Bereichen Regierung, Transportwesen, Energieversorgung und Militär in Europa attackiert – oder tut dies womöglich noch immer.
Schwachstellen in Windows
Ein großer Anteil der Schwachstellen, in diesem Monat 56, verteilt sich über die verschiedenen Windows-Versionen (10 und neuer), für die Microsoft noch Sicherheits-Updates für alle anbietet. Windows 7 und 8.1 werden in den Sicherheitsberichten nicht mehr erwähnt, könnten jedoch anfällig sein. Updates für diese Systeme erhalten selbst ESU-Kunden nicht mehr – nur noch für Windows Server 2008/R2. Soweit die Systemanforderungen das zulassen, sollten Sie auf Windows 10 oder 11 wechseln, um weiterhin Sicherheits-Updates zu erhalten.
Windows unter Beschuss
Microsoft stuft die die Schwachstelle CVE-2023-24880 im Windows SmartScreen Filter nur als mittleres Risiko ein. Sie war jedoch bereits vorab öffentlich bekannt und wird bereits für Attacken ausgenutzt (0-Day-Lücke). Angreifer können Dateien erstellen und zum Download bereitstellen, die den Schutzmechanismus „Mark of the Web“ (MOTW) umgehen. Dadurch prüft der SmartScreen Filter die Reputation solcher Dateien nicht. So können ausführbare Dateien auf den Rechner gelangen, die Malware enthalten und/oder weitere Schadprogramme herunterladen.
▶Die neuesten Sicherheits-Updates
Kritische Windows-Lücken
Als kritisch ausgewiesene Windows-Lücken betreffen den HTTP-Protokoll-Stack, Hyper-V, PPTP (Point-to-Point Tunneling Protocol), ICMP (Internet Control Message Protocol), das RPC-Laufzeitmodul (Remote Procedure Call) sowie den Kryptografiedienst. Mit Ausnahme der DoS-Schwachstelle (Denial of Service) in Hyper-V handelt es sich um RCE-Lücken. Die Schwachstelle CVE-2023-23392 im HTTP-Stack betrifft nur Windows 11 und Server 2022. Ein Angreifer, der diese Lücke ausnutzt, kann ohne Benutzeranmeldung Code einschleusen und mit Systemrechten ausführen.
Zahlreiche Schwachstellen in Druckertreibern
In seinen Treibern für Postscript- und PCL6-Drucker hat Microsoft 20 Sicherheitslücken geschlossen. Zehn dieser Schwachstellen sind RCE-Lücken, neun sind Datenlecks und eine kann es einem Angreifer ermöglichen, sich höhere Berechtigungen zu verschaffen. Da Druckertreiberlücken früher schon bei Angriffen ausgenutzt wurden, etwa in Kombination mit anderen Schwachstellen, sollten Sie diese nicht auf die leichte Schulter nehmen.
Exchange Server
Wie bereits oben erwähnt, führt Microsofts Exchange Team in seinem Blog neue Sicherheits-Updates für Exchange Server auf. Demnach hat Microsoft Schwachstellen in Exchange Server 2013, 2016 und 2019 beseitigt, die noch nicht für Angriffe genutzt werden. Für Details verweisen die Autoren auf den Leitfaden für Sicherheitsupdates, wo jedoch bislang keine Exchange-Lücken aufgetaucht sind. Denken Sie auch daran, dass der Support für Exchange Server 2013 im April endet.
Extended Security Updates (ESU)
Unternehmen und Organisationen, die an Microsofts kostenpflichtigen ESU-Programm teilnehmen, um Systeme mit Server 2008/R2 abzusichern, erhalten in diesem Monat Updates, die 20 Lücken schließen. Darunter sind zwei als kritisch ausgewiesene Sicherheitslücken (RPC: CVE-2023-21708, ICMP: CVE-2023-23415).
Auch im März gibt es wieder ein neues Windows-Tool zum Entfernen bösartiger Software. Der nächste turnusmäßige Update-Dienstag ist am 11. April.