Beim Patch Day am 12. September hat Microsoft etliche Updates bereitgestellt, um 59 Schwachstellen zu beheben. Microsoft stuft fünf Sicherheitslücken als kritisch ein und weist den Rest bis auf eine Lücke als hohes Risiko aus. Die kritischen Lücken betreffen Windows, Visual Studio und Azure. Eine Schwachstelle in Word wird bereits ausgenutzt. Spärliche Details zu den Schwachstellen bietet Microsoft zum Selbstsuchen im Leitfaden für Sicherheitsupdates. Deutlich übersichtlicher bereitet Dustin Childs im Blog von Trend Micro ZDI das Thema Update-Dienstag auf – stets auch mit Blick auf Admins, die Unternehmensnetzwerke betreuen.
Die wichtigsten Sicherheitslücken beim Patch Day im September
CVE | anfällige Software | Schweregrad | Auswirkung | ausgenutzt | vorab bekannt |
---|---|---|---|---|---|
CVE-2023-36761 | Word | hoch | Datenleck | ja | ja |
CVE-2023-38148 | Windows (ICS) | kritisch | RCE | nein | nein |
CVE-2023-36792 | Visual Studio | kritisch | RCE | nein | nein |
CVE-2023-36793 | Visual Studio | kritisch | RCE | nein | nein |
CVE-2023-36796 | Visual Studio | kritisch | RCE | nein | nein |
Browser-Updates
Das jüngste Sicherheits-Update für Edge ist die Version 116.0.1938.76 vom 7. September. Sie basiert auf Chromium 116.0.5845.180 und schließt mehrere Lücken in der Chromium-Basis. Allerdings hat Google in dieser Woche bereits zwei neue Chrome-Updates veröffentlicht, die weitere Schwachstellen beseitigen, darunter eine 0-Day-Lücke. Seit dem Wechsel auf Chromium 110 im Februar läuft Edge nicht mehr auf Systemen mit Windows 7 oder 8.x – wie alle Chromium-basierten Browser.
Office-Lücken
Für seine Office-Produkte hat Microsoft acht Sicherheitslücken dokumentiert. Darunter ist eine RCE-Lücke (RCE: Remote Code Execution) in Word (CVE-2023-36762). Die Word-Schwachstelle CVE-2023-36761 weist Microsoft hingegen als Datenleck aus. Sie wird bereits für Angriffe ausgenutzt. Ein Angreifer kann NTLM-Hashes offenlegen, die er für NTLM-Relay-Attacken nutzen könnte. Dustin Childs hält deshalb eine Einordung als Spoofing-Lücke für passender. Ein Exploit dieser Word-Lücke kann auch über die Outlook-Vorschau erfolgen, falls eine entsprechend präparierte Word-Datei als Mail-Anhang verschickt wird.
Schwachstellen in Windows
Ein Teil der Schwachstellen, diesmal 21, verteilt sich über die verschiedenen Windows-Versionen (10 und neuer), für die Microsoft noch Sicherheits-Updates für alle anbietet. Windows 7 und 8.1 werden zwar in den Sicherheitsberichten nicht mehr erwähnt, könnten jedoch anfällig sein. Soweit die Systemanforderungen das zulassen, sollten Sie auf Windows 10 (22H2) oder Windows 11 wechseln, um weiterhin Sicherheits-Updates zu bekommen. Windows 10 21H2 hat im Juni letztmalig Updates erhalten.
▶Die neuesten Sicherheits-Updates
Eine kritische Windows-Lücke
Die einzige von Microsoft als kritisch ausgewiesene Windows-Lücke betrifft die gemeinsame Nutzung der Internetverbindung (ICS: Internet Connection Sharing). Befindet sich ein Angreifer bei aktiviertem ICS im selben Netzwerksegment wie der Zielrechner, kann er mit einem präparierten Netzwerkpaket Code einschleusen und ausführen. ICS ist nicht standardmäßig aktiviert.
Weitere Schwachstellen in Windows und seinen Apps
Als hohes Risiko eingestufte RCE-Lücken hat Microsoft in der EdgeHTML Scripting Engine, in Miracast sowie in Windows-Designs geschlossen. Letztere Schwachstelle (CVE-2023-38146) ermöglicht es einem Angreifer mit einer präparierten Themes-Datei Code einzuschleusen und auszuführen. Das erinnert an artverwandte Attacken mit Bildschirmschonern, wie es sie vor 20 Jahren gab. In der App 3D Builder hat Microsoft sieben Schwachstellen behoben, sechs davon sind RCE-Lücken. Updates für diese App gibt es im Microsoft Store.
Kritische Lücken in Visual Studio
Microsoft stuft drei der fünf RCE-Lücken in Visual Studio als kritisch ein. Warum die beiden anderen weniger problematisch sein sollen, erschließt sich aus Microsofts Angaben nicht.
Weitere Updates für Exchange Server
Nachdem Microsoft bereits Patch Day im August einige Exchange-Lücken behandelt hat, kommen in diesem Monat noch einmal fünf hinzu. Drei der Schwachstellen sind RCE-Lücken. Hinzu kommen ein Datenleck und eine Spoofing-Lücke (CVE-2023-36757). Letztere kann für NTLM-Relay-Attacken genutzt werden. Die September-Updates setzen voraus, dass die August-Patches bereits installiert sind.
Extended Security Updates (ESU)
Unternehmen und Organisationen, die an Microsofts kostenpflichtigen ESU-Programm teilnehmen, um Systeme mit Server 2008/R2 abzusichern, erhalten in diesem Monat Updates, die 11 Schwachstellen beseitigen. RCE-Lücken sind diesmal nicht darunter.
Auch im September gibt es wieder ein neues Windows-Tool zum Entfernen bösartiger Software. Der nächste turnusmäßige Update-Dienstag ist am 10. Oktober.