[English]Am 10. Januar 2023 hat Microsoft Sicherheitsupdates für Windows-Clients und -Server, für Office usw. – sowie für weitere Produkte – veröffentlicht. Die Sicherheitsupdates beseitigen 98 Schwachstellen, davon sind (11 davon sind kritisch, eine ist eine 0-day-Schwachstelle. Nachfolgend findet sich ein kompakter Überblick über diese Updates, die zum Patchday freigegeben wurden.Eine Liste der Updates finden Sie auf dieser Microsoft-Seite. Details zu den Update-Paketen für Windows, Office etc. sind in separaten Blogbeiträgen verfügbar.
Anzeige
Hinweise zu den Updates
Windows 10 Version 20H2 bis 22H2 verwenden einen gemeinsamen Kern und besitzen einen identischen Satz von Systemdateien. Daher werden für diese Windows 10 Versionen die gleichen Sicherheitsupdate ausgeliefert. Informationen zur Aktivierung der Features von Windows 10, welches durch ein Enablement Package-Update erfolgt, finden sich diesem Techcommunity-Beitrag.
Alle Windows 10-Updates sind kumulativ. Das monatliche Patchday-Update enthält alle Sicherheitsfixes für Windows 10 und alle nicht sicherheitsbezogenen Fixes bis zum Patchday. Zusätzlich zu den Sicherheitspatches für die Schwachstellen enthalten die Updates Maßnahmen zur Verbesserung der Sicherheit. Microsoft integriert die Servicing Stack Updates (SSUs) in den aktuellen kumulativen Updates (Latest Cumulative Updates, LCUs) für neuere Windows 10-Versionen.
Eine Liste der aktuellen SSUs findet sich unter ADV990001 (wobei die Liste nicht immer aktuell ist). Windows 7 SP1 wird seit Januar 2020 nicht mehr unterstützt. Nur Kunden mit einer ESU-Lizenz für das 3. Jahr (oder Umgehungsmaßnahmen) erhalten letztmalig Updates. Mit dem aktuellen ESU-Bypass lässt das Update installieren. Updates können auch aus dem Microsoft Update Catalog heruntergeladen werden.
Auch Windows 8.1 erhält letztmalig Updates und fällt aus dem Support. Die Updates für Windows RT 8.1 und Microsoft Office RT sind nur über Windows Update erhältlich.
Gefixte Schwachstellen
Bei Bleeping Computer gibt es diesen Artikel, nach dem die Sicherheitsupdates 98 Schwachstellen, davon 11 kritisch und eine 0-day-Schwachstelle beseitigen. Bei Tenable gibt es zudem diesen Blog-Beitrag mit einer Übersicht der gefixten Schwachstellen. Tenable gibt an, dass eine 0-day-Schwachstelle in freier Wildbahn ausgenutzt wird.
- CVE-2023-21674: Windows Advanced Local Procedure Call (ALPC) Elevation of Privilege Vulnerability (EoP); Important; VSSv3 Score 8.8 ; Ausnutzung in freier Wildbahn. Die Sicherheitslücke besteht in der Funktion Advanced Local Procedure Call (ALPC). ALPC ist ein Dienstprogramm zur Nachrichtenübermittlung in Windows-Betriebssystemen. Wenn sie ausgenutzt wird, kann ein Angreifer die Schwachstelle ausnutzen, um aus der Sandbox von Chromium auszubrechen und Ausführungsrechte auf Kernel-Ebene zu erlangen.
- CVE-2023-21730: Windows Cryptographic Services Elevation of Privilege Vulnerability; Critical, CVSSv3 Score 7.8; Die Sicherheitslücke besteht in Windows Cryptographic Services, einer Reihe von kryptografischen Dienstprogrammen in Windows-Betriebssystemen. Die Sicherheitslücke kann von einem entfernten, nicht authentifizierten Angreifer ausgenutzt werden. Die Schwachstelle erfordert keine Benutzerinteraktion und hat eine geringe Angriffskomplexität. Laut dem Microsoft Exploitability Index ist eine Ausnutzung jedoch weniger wahrscheinlich. Die Entdeckung wird dem Offensive and Security Engineering (MORSE) Team von Microsoft zugeschrieben.
- CVE-2023-21760, CVE-2023-21765 und CVE-2023-21678: Windows Print Spooler Elevation of Privilege Vulnerabilities; Important; CVSSv3 Score 7.8; als "Exploitation weniger wahrscheinlich" eingestuft.
- CVE-2023-21543, CVE-2023-21546, CVE-2023-21555, CVE-2023-21556 und CVE-2023-21679: Windows Layer 2 Tunneling Protocol (L2TP) Remote Code Execution Vulnerabilities; Critical; VSSv3 Score of 8.1, Remote-Ausführung ohne Authentifizierung auf einem als Remote Access Server fungierenden Computer. Die Schwachstellen weisen jedoch eine hohe Angriffskomplexität auf, d. h. der Angreifer muss vor der Ausnutzung Aktionen auf dem Ziel durchführen, um erfolgreich zu sein.
- CVE-2023-21763 und CVE-2023-21764: Microsoft Exchange Server Elevation of Privilege Vulnerabilities; Important, CVSSv3 Score 7.8; Könnte einem authentifizierten Angreifer SYSTEM-Rechte gewähren. Microsoft hat diese Schwachstellen als "Ausnutzung weniger wahrscheinlich" eingestuft, aber keine Erklärung dafür gegeben.
- CVE-2023-21745 und CVE-2023-21762: Microsoft Exchange Server Spoofing Vulnerabilities, Important, CVSSv3 Score 8.0; CVE-2023-21745 kann entweder über das lokale Netzwerk oder über das Internet ausgenutzt werden – und wurde als "Exploitation More Likely" eingestuft. CVE-2023-21762 hingegen ist auf ein gemeinsam genutztes physisches oder lokales Netzwerk oder eine "anderweitig begrenzte administrative Domäne" beschränkt. Eine erfolgreiche Ausnutzung könnte zur Offenlegung von New Technology LAN Manager (NTLM) Hashes und NTLM-Relay-Angriffen führen.
- CVE-2023-21746: Windows NTLM Elevation of Privilege Vulnerability; Important; CVSSv3 Score 7.8, als "Exploitation Less Likely" eingestuft; ein erfolgreicher Angriff würde es einem Angreifer ermöglichen, SYSTEM-Rechte zu erlangen.
Eine Liste aller abgedeckten CVEs finden Sie auf dieser Microsoft-Seite, Auszüge sind in den verlinkten Artikeln von Tenable und Bleeping Computer abrufbar. Nachfolgend noch die Liste der gepatchten Produkte:
- .NET Core
- 3D Builder
- Azure Service Fabric Container
- Microsoft Bluetooth Driver
- Microsoft Exchange Server
- Microsoft Graphics Component
- Microsoft Local Security Authority Server (lsasrv)
- Microsoft Message Queuing
- Microsoft Office
- Microsoft Office SharePoint
- Microsoft Office Visio
- Microsoft WDAC OLE DB provider for SQL
- Visual Studio Code
- Windows ALPC
- Windows Ancillary Function Driver for WinSock
- Windows Authentication Methods
- Windows Backup Engine
- Windows Bind Filter Driver
- Windows BitLocker
- Windows Boot Manager
- Windows Credential Manager
- Windows Cryptographic Services
- Windows DWM Core Library
- Windows Error Reporting
- Windows Event Tracing
- Windows IKE Extension
- Windows Installer
- Windows Internet Key Exchange (IKE) Protocol
- Windows iSCSI
- Windows Kernel
- Windows Layer 2 Tunneling Protocol
- Windows LDAP – Lightweight Directory Access Protocol
- Windows Local Security Authority (LSA)
- Windows Local Session Manager (LSM)
- Windows Malicious Software Removal Tool
- Windows Management Instrumentation
- Windows MSCryptDImportKey
- Windows NTLM
- Windows ODBC Driver
- Windows Overlay Filter
- Windows Point-to-Point Tunneling Protocol
- Windows Print Spooler Components
- Windows Remote Access Service L2TP Driver
- Windows RPC API
- Windows Secure Socket Tunneling Protocol (SSTP)
- Windows Smart Card
- Windows Task Scheduler
- Windows Virtual Registry Provider
- Windows Workstation Service
Ähnliche Artikel:
Microsoft Office Updates (3. Januar 2023)
Microsoft Security Update Summary (10. Januar 2023)
Patchday: Windows 10-Updates (10. Januar 2023)
Patchday: Windows 11/Server 2022-Updates (10. Januar 2023)
Windows 7/Server 2008 R2; Windows 8.1/Server 2012 R2: Updates (10. Januar 2023)
Patchday: Microsoft Office Updates (10. Januar 2023)
Exchange Server Sicherheitsupdates (10. Januar 2023), dringend patchen
2015
– Hinter der Verknüpfung dürfte im URL eine 3 (Drei) in der Jahreszahl fehlen daher bekommt man bei Microsoft dann 404 not found
– In der deutschen Beschreibung steht bei Ihnen "kann von einem entfernten, nicht authentifizierten Angreifer ausgenutzt werden". Wenn ich mir den CVSS bei Microsoft ansehe, müsste dies aufgrund (AV:local PR:low) aber eher lauten "kann von einem lokalen, authentifizierten Angreifer ausgenutzt werden" also eine EoP, ähnlich der ALPC davor.
Hm, welche CVE meinst Du? Noch habe ich keinen gebrochenen Link gefunden.
ich denke, dieser ist gemeint: CVE-2023-21730
2012 R2 VM – installiert – läuft :)
"Nur Kunden mit einer ESU-Lizenz für das 3. Jahr (oder Umgehungsmaßnahmen) erhalten letztmalig Updates."
BypassESU für Windows 7 wird fortgesetzt, wer Interesse hat kann den entsprechenden Thread im MDL-Forum verfolgen.
Thread im MDL-Forum: »You need to login to view this posts content.«
Wozu könnte man denn BypassESU noch verwenden, wenn es nichts Neues mehr zu installieren gibt?
Wieso sollte BypassESU fortgesetzt und wenn notwendig weiterentwickelt werden wenn es keine Updates geben würde?
Für Server 2012R2?
Denn das soll lt. Microsoft ESU bekommen.
Und afaik soll auch Server 2008R2 ein 4. Jahr ESU bekommen.
und die embedded Versionen kriegen auch noch updates.
Die Frage muss man den Bypass-Leuten stellen, ich könnte mir aber vorstellen, deren Überlegungen gehen in die Richtung, Server-Updates für Windows 7 umzubiegen, um es mal flapsig zu formulieren. Günter berichtete vor zwei Tagen:
„Für Windows Server 2008 R2 gewährt Microsoft übrigens ein viertes Jahr ESU-Support. Alle Systeme mit Windows Server 2008 R2 SP1, Windows Server 2008 SP2, Windows Server 2008 R2 SP1 for Embedded Systems und Windows Server 2008 SP2 for Embedded Systems erhalten ein viertes Jahr Sicherheitsupdates, sofern sie auf Microsoft Azure laufen. Dieser Support-Zeitraum läuft dann am 9 Januar 2024 aus." (h**ps://www.borncity.com/blog/2023/01/09/supportende-fr-windows-7-8-1-am-10-januar-2023-fr-windows-server-2012-r2-im-oktober/)
Ganz gleich, wie es für Windows 7 mit BypassESU und 0Patch weitergehen wird, man kann schon jetzt sagen: Die Windows 7-Welt wird deutlich enger werden, weil über kurz oder lang die Unterstützung für Browser und Anwendungen wegbrechen wird. Man muss sich klarmachen, die Nutzung von Windows 7 ist, etwa im Vergleich zu Anfang 2020, stark zurückgegangen. Ich habe gestern gelesen, der Anteil der Windows 8.1-Systeme liegt aktuell bei 2,8%, der Anteil der Windows 7-Maschinen bei knapp über 4%. Das mag auch der Grund sein, weshalb Microsoft den ESU-Support für Windows 7-Desktop eingestellt hat. Wer heute noch mit Windows 7 unterwegs ist, wird es tun, weil es entweder besondere technische Gründe dafür gibt oder aus Überzeugung, gepaart mit dem sportiven Ehrgeiz, Windows 7 jetzt erst recht weiterzunutzen.
Also mal im Klartext, irgendwo zwischen Seite 397 und 399 des so geheimnisvoll verlinkten Threads herausdestilliert:
Viel Wunschdenken, nichts Konkretes. Es wird spekuliert, ob man vielleicht Updates anderer Windows-Editionen, die noch bis 2024/25 unterstützt werden, für Win7 zurechtbiegen könnte. Aber ob das funktioniert, wisse man erst ab dem 14.2., wenn die entsprechenden Updates vorliegen. (Wieso eigentlich? Man könnte doch schon jetzt mit den systemfremden Januar-Updates die Kompatibilität testen.)
Bestenfalls ein Strohhalm, der die Galgenfrist noch ein bisschen verlängert. Um einen (aufgabenselektiven) Umstieg in absehbarer Zukunft wird man jedenfalls kaum rumkommen.
Aber schön, dass es so viele Nutzer gibt, denen lebensverlängernde Maßnahmen für Win7 ein Anliegen sind!
0Patch liefert auch weiterhin Sicherheitspatches für W7 und da diese nicht auf MS angewiesen sind, sondern selbst Patches entwickeln… bleibt eigentlich nur das Problem das irgendwann die genutzten Softwareprodukte das System nicht mehr unterstützen… dann hängt man auf veralteter Software fest. Spielt aber auch keine Rolle solange man hinter Einer Securety Aplliance hängt die das abfängt.
Denn auch hier gilt: zuerst muss der Angreifer überhaupt aufs System gelangen um Lücken ausnutzen zu können.
Exchange 2016 CU22 hat das Sicherheitsupdate nicht bekommen. Nur das CU23!!!
Nino Bilic (Microsoft):
"It is over a year now (about 15 months) that CU22 has been released and it is not a supported CU anymore for Exchange Server 2016. As we said on this blog few times over last few months, from November 2022 on, only CU23 is supported for Exchange Server 2016. Please upgrade."
Wo ist das Problem? Natürlich sollte jeder das letzte CU schon lange installiert haben ;)
Kein Problem, nur eine Feststellung :).
Hat schon jemand die aktuellen Updates auf DC´s (aktuell bei uns noch 2012R2) ausprobiert?
2016 – alles okay!
ok, danke dir für die Info…
2012R2: Download hängt zunächst bei 95%. Nach Neustart und erneutem Versuch dann Fehler 80070570. Aufgetreten auf zwei Servern mit 2012R2 (einer als VM, einer noch physikalisch).
Lösung laut Heise Forum:
Manueller Download des KB im Microsoft Katalog und anschließende Installation war dann aber problemlos.
Danke!
SSU installieren: https://www.catalog.update.microsoft.com/Search.aspx?q=KB5018922
Update installieren: https://www.catalog.update.microsoft.com/Search.aspx?q=KB5022352
Erkennt dein WSUS nach der manuellen Installation den KB5022352?
Bei mir bis jetzt noch nicht… ggf. muss das Update manuell auf dem WSUS importiert werden, damit der das erkennt…?
2012 R2 VM und 2012 Hyper V bisher ohne Probleme
2019 VM bisher keine Probleme
2x 2016 bisher keine Probleme
noch keine DC's oder Exchange gemacht
DC (Server 2016) und Exchange (Server 2016) – alles okay in den letzten zwei Tagen!
2 DC´s 2012R2 habe ich gestern Abend geupdated…
bis jetzt keine Probleme…außer das ich das KB5022352 manuell installieren musste, nachdem das Security Only installiert war…
Bereinigt eigentlich das Januar Update das Problem mit Server 2019, dass die Netzwerk Einstellungen bei VMs nicht richtig funktionieren? Bzw bei neuerstellten VMs? Gab doch beim Dezember Update Probleme. Da die Updates kumulativ sind, sollte es doch sein? Gab doch am 20.12 ein Extra- Update, welches ich aber nicht beim Server 2019 Hyper V installiert habe , da ich zum Januar warten wollte. Geht um folgendes: https://www.borncity.com/blog/2022/12/15/windows-server-2019-2022-dezember-2022-sicherheitsupdates-verursachen-hyper-v-probleme/