Microsoft hat mit KB5028407 einen Sicherheitspatch für Windows veröffentlicht – und warnt Nutzer davor, diesen zu installieren. Aber der Reihe nach.
Der Patch KB5028407 schließt eine Lücke mit der Bezeichnung “Sicherheitsanfälligkeit im Windows-Kernel bezüglich Veröffentlichung von Informationen”, der unter dem Code CVE-2023-32019 ausführlich beschrieben ist. CVE steht für Common Vulnerabilities and Exposures und ist ein Standard von Bulletins, die Sicherheitslücken beschreiben.Betroffen sind zahlreiche Versionen von Windows 10, Windows 11 und Windows Server.
Microsoft stuft diese Lücke mit “wichtig” ein (also als weniger gefährlich. Wirklich bedrohliche Lücken stuft Microsoft als “kritisch” ein). Ein Angreifer muss bereits Zugriff auf den Rechner haben, um die Lücke ausnutzen zu können; er benötigt aber keine Administratorrechte oder sonstige erweiterte Privilegien, um die Lücke auszunutzen. Microsoft schreibt: “Angreifende, die diese Sicherheitsanfälligkeit erfolgreich ausnutzen, können den Heap-Speicher eines privilegierten Prozesses, der auf dem Server verarbeitet wird, anzeigen.” Mit anderen Worten: Der Angreifer gelangt an Informationen, an die er eigentlich nicht gelangen sollte.
Patch kann “breaking change” verursachen
Microsoft hat mit KB5028407 einen Patch zur Schließung dieser Lücke veröffentlicht. Dieses Bulletin trägt die Überschrift “How to manage the vulnerability associated with CVE-2023-32019” (also: So gehen Sie mit der mit CVE-2023-32019 verbundenen Sicherheitslücke um). Unter dem Abschnitt “Lösung” findet sich dieser mit “wichtig” eingeleitete Hinweis: Diese Lösung könne zu einem “breaking change” führen. Damit ist in diesem Fall keine “bahnbrechende” Änderung gemein, sondern eine erhebliche Beeinträchtigung des Betriebssystems.
Deshalb habe Microsoft den Patch nicht automatisch aktiviert, sondern stellt ihn nur mit der Option bereit, ihn zu aktivieren (das erfolgt durch das Ändern eines Windows–Registry-Key-Wertes und wird hier erklärt). Bei einem künftigen Update würde Microsoft den Patch dann aktivieren. Microsoft fährt fort:
Wir empfehlen, dass Sie diese Lösung in Ihrer Umgebung validieren. Sobald sie validiert ist, sollten Sie die Lösung so schnell wie möglich aktivieren.
Microsoft in der Beschreibung von KB5028407
Microsoft verrät aber nicht, worin der “breaking change” bestehen könnte und überlässt den Benutzern obendrein die Entscheidung darüber, ob sie die Lücke im Windows-Kernel schließen oder nicht. Eine mehr als ungewöhnliche Vorgehensweise.
So reagieren Sie richtig
Microsoft wird gute Gründe dafür haben, dass es vor der sofortigen Installation des Patches warnt. Da Angreifer die Lücke nicht ohne Weiteres ausnutzen können, sollten Sie besser auf weitere Informationen warten und den Patch erst einmal nicht aktivieren. Außer Sie sind ein erfahrener Administrator und wissen, was Sie tun.
Autor: Hans-Christian Dirscherl, Redakteur
Hans-Christian Dirscherl schreibt seit über 20 Jahren zu fast allen IT-Themen. Sein Fokus liegt auf der Koordination und Produktion von Nachrichten mit hohem Nutzwert sowie auf ausführlichen Tests und Ratgebern für die Bereiche Smart Home, Smart Garden und Automotive.