Beim Patch Day am 10. Oktober hat Microsoft zahlreiche Updates bereitgestellt, um 103 Schwachstellen zu beheben. Microsoft stuft 13 Sicherheitslücken als kritisch ein und weist den Rest als hohes Risiko aus. Die kritischen Lücken betreffen Windows und das Common Data Model SDK. Eine Schwachstelle in WordPad sowie eine in Skype for Business werden bereits ausgenutzt. In diesem Monat ist es genau 20 Jahre her, dass Microsoft den monatlichen Patch Day (oder auch Update-Dienstag) etabliert hat.

Spärliche Details zu den Schwachstellen bietet Microsoft zum Selbstsuchen im Leitfaden für Sicherheitsupdates. Deutlich übersichtlicher bereitet Dustin Childs im Blog von Trend Micro ZDI das Thema Update-Dienstag auf – stets auch mit Blick auf Admins, die Unternehmensnetzwerke betreuen.

Die wichtigsten Sicherheitslücken beim Patch Day im Oktober 2023 CVE anfällig Schwere-grad Auswirkung ausgenutzt vorab bekannt CVE-2023-36563 WordPad hoch ID ja ja CVE-2023-41763 Skype for Business hoch EoP ja ja CVE-2023-35349 Windows (MSMQ) kritisch RCE nein nein CVE-2023-36778 Exchange Server hoch RCE nein nein EoP: Elevation of Privilege, Rechteausweitung

RCE: Remote Code Execution

ID: Information Disclosure, Datenleck

Das jüngste Sicherheits-Update für Edge ist die Version 117.0.2045.55 vom 4. Oktober. Sie basiert auf Chromium 117.0.5938.150 und schließt eine Lücke in der Chromium-Basis. Das nachfolgende Update auf Edge 117.0.2045.60 bietet lediglich Bug-Fixes. Inzwischen hat Google Chrome 118 freigegeben, das weitere 20 Lücken stopft.

Office-Lücken

In seinen Office-Produkten hat Microsoft sieben Sicherheitslücken geschlossen, die als hohes Risiko ausgewiesen sind. Darunter sind vier Schwachstellen in Skype for Business Server, auch eine 0-Day-Lücke (CVE-2023-41763). Durch einen Skype-Anruf kann ein Angreifer mittels einer HTTP-Anfrage Informationen erlangen, die ihm den Zugriff auf das interne Netzwerk ermöglichen könnten. Die drei weiteren Skype-Schwachstellen sind RCE-Lücken (RCE: Remote Code Execution).

Schwachstellen in Windows

Der überwiegende Teil der Schwachstellen, diesmal 80, verteilt sich über die verschiedenen Windows-Versionen (10 und neuer), für die Microsoft noch Sicherheits-Updates für alle anbietet. Windows 7 und 8.1 werden zwar in den Sicherheitsberichten nicht mehr erwähnt, könnten jedoch anfällig sein. Soweit die Systemanforderungen das zulassen, sollten Sie auf Windows 10 (22H2) oder Windows 11 wechseln, um weiterhin Sicherheits-Updates zu bekommen.

Support-Ende für Windows Server 2012

Windows Server 2012 und 2012 R2 haben in diesem Monat letztmalig Updates erhalten. Es gibt jedoch ein kostenpflichtiges ESU-Programm (Extended Security Updates), mit dem sich Organisationen drei Jahre zusätzliche Zeit für den Umstieg auf neuere Versionen erkaufen können.

▶Die neuesten Sicherheits-Updates

0-Day-Lücke in WordPad

Die seit Windows 95 mit Windows ausgelieferte Mini-Textverarbeitung WordPad weist eine Sicherheitslücke auf, die an die 0-Day-Lücke in Word aus dem Vormonat erinnert. Microsoft weist auch die Schwachstelle CVE-2023-36563 in WordPad als Datenleck aus – und sie wird ebenfalls bereits für Angriffe genutzt. Ein Angreifer kann NTLM-Hashes offenlegen, die er für NTLM-Relay-Attacken nutzen könnte.

▶Microsoft entfernt Wordpad aus Windows

Kritische Windows-Lücken

Von den 12 von Microsoft als kritisch ausgewiesenen RCE-Lücken in Windows betreffen allein neun das Layer 2 Tunneling Protocol (L2TP). Zwei weitere hat Microsoft im Message Queuing Dienst (MSMQ) beseitigt, in dem der Hersteller allein in diesem Monat insgesamt 20 Schwachstellen behoben hat, darunter weitere 14 RCE-Lücken. Die MSMQ-Lücke CVE-2023-35349 (CVSS-Score 9.8) könnte laut Dustin Childs Wurm-tauglich sein, sofern MSMQ eingeschaltet ist. Er empfiehlt außerdem, den TCP-Port 1801 am Perimeter zu blockieren. Die letzte als kritisch ausgewiesene Windows-Lücke (CVE-2023-36718) betrifft das Virtual Trusted Platform Module. Ein als Gast angemeldeter Angreifer (respektive sein Code) könnte aus einer Virtuellen Maschine (VM) ausbrechen.

Microsoft und die 0-Day-Lücken in Open-Source-Bibliotheken

Im September sind 0-Day-Lücken in den quelloffenen Programmbibliotheken libwebp (CVE-2023-4863) und libvpx (CVE-2023-5217) aufgedeckt worden, die zahlreiche Programme betreffen, darunter alle unter Windows laufenden Browser. Microsoft hat dazu eine Stellungnahme im MSRC-Blog veröffentlicht. Demnach hat Microsoft die libwebp-Schwachstelle in Edge, Teams, Skype und den Webp Image Extensions aus dem Microsoft Store geschlossen, die libvpx-Lücke in Edge.

Auch im Oktober gibt es wieder ein Sicherheits-Update für Exchange Server. Es soll eine weitere Schwachstelle (CVE-2023-36778) beheben, durch die ein Angreifer im LAN über eine Powershell-Verbindung Code ausführen könnte.

Unternehmen und Organisationen, die an Microsofts kostenpflichtigen ESU-Programm teilnehmen, um Systeme mit Server 2008/R2 abzusichern, erhalten in diesem Monat Updates, die 57 Schwachstellen beseitigen. Darunter sind diesmal 11 als kritisch eingestufte RCE-Lücken sowie die 0-Day-Lücke in WordPad.

Auch im Oktober gibt es wieder ein neues Windows-Tool zum Entfernen bösartiger Software. Der nächste turnusmäßige Update-Dienstag ist am 14. November.