[English]Noch ein kleiner Nachtrag zum Januar 2023-Patchday (10. Januar 2023). Administratoren sollten sich darum kümmern, dass ihre als Domain Controller fungierenden Windows Server auf dem aktuellen Patchstand sind. Denn mit den Januar 2023-Updates wurden zwei gravierende Schwachstellen im Lightweight Directory Access Protocol (LDAP) geschlossen.
Anzeige
Im Lightweight Directory Access Protocol (LDAP) von Windows gibt es zwei gravierende Schwachstellen, die mit den Sicherheitsupdates vom Januar 2023 geschlossen wurden. Ich hatte es in der Übersicht zum Blog-Beitrag Microsoft Security Update Summary (10. Januar 2023) nicht angesprochen. Auch in den Support-Beiträgen von Microsoft zu den Sicherheitsupdates vom Januar 2023 habe ich auf die Schnelle nichts gefunden.
Zwei LDAP-Schwachstellen
Aber Blog-Leser Dennis Könn hat mich in einer privaten Nachricht auf Facebook auf das Thema hingewiesen (danke dafür) und dabei auf einen Blog-Beitrag von MVP Sander Berkower verlinkt. Berkower weist auf die zwei schwerwiegenden LDAP-Schwachstellen hin, die von Microsoft auch offen gelegt wurden..
- CVE-2023-21676: Windows Lightweight Directory Access Protocol (LDAP) Remote Code Execution Vulnerability; CVSSv3-Score 8.8/7.7; diese Schwachstelle im Lightweight Directory Access Protocol (LDAP) ermöglicht einem authentifizierten Angreifer die Remotecodeausführung auf Windows Server-Installationen, die als Domänencontroller konfiguriert sind. Bei dem Angriff handelt es sich um einen wenig komplexen Angriff über das Netzwerk.
- CVE-2023-21557: Windows Lightweight Directory Access Protocol (LDAP) Denial of Service Vulnerability; CVSSv3-Score 7.5/6.5; die Schwachstelle im Windows Lightweight Directory Access Protocol (LDAP) ermöglicht es einem nicht authentifizierten Angreifer, eine Pufferlängenprüfung zu umgehen. Das kann für ein Informationsleck ausgenutzt werden, d.h. Angreifer können Informationen abgreifen. Um dies zu erreichen, muss lediglich eine speziell gestaltete Anfrage über das Netzwerk an einen anfälligen Domain Controller gesendet werden.
Diese Schwachstellen existieren in allen noch unterstützten Windows-Client- und Windows Server-Versionen. Microsoft hält das für so kritisch, dass die Betriebssysteme Windows Server 2008 und Windows Server 2008 R2 über das ESU-Programm ebenfalls mit Updates versorgt wurden.
Liste der Windows-Updates
Ich habe nachfolgend die Liste der einzelnen Updates vom Januar 2023 für die unterstützten Windows-Versionen herausgezogen. Die genauen Details, welches Sicherheitsupdate bei welchem Windows eine der CVEs schließt, ist in den oben verlinkten CVEs von Microsoft aufgelistet.
Anzeige
- KB5022291: Windows Server 2022
- KB5022303: Windows 11 22H2
- KB5022287: Windows 11 21H2
- KB5022282: Windows 10 Version 20H2 – 22H2
- KB5022286: Windows 10 Enterprise 2019 LTSC /Windows Server 2019
- KB5022289: Windows 10 Version 1607, Windows Server 2016
- KB5022297: Windows 10 Version 1507
- KB5022352: (Monthly Rollup) Windows 8.1; Windows Server 2012 R2
- KB5022346: (Security Only Quality Update) Windows 8.1; Windows Server 2012 R2
- KB5022348: (Monthly Rollup) Windows Server 2012, Windows Embedded 8 Standard
- KB5022343 :(Security-only Update) Windows Server 2012, Windows Embedded 8 Standard
- KB5022338: (Monthly Quality Rollup) Windows 7 SP1, Windows Server 2008 R2 SP1
- KB5022339: (Security-only update) Windows 7 SP1, Windows Server 2008 R2 SP1
Administratoren sollten diese Updates in ihren Testumgebungen auf die Auswirkungen für Domain Controller untersuchen und dann in den Produktionsumgebungen installieren. Über Probleme bei der Installation von Updates im Januar 2023 (vor allem bei Windows Server 20212 R2) hatte ich ja im Blog-Beitrag Windows Patchday-Nachlese Januar 2023 berichtet und auch Workarounds vorgeschlagen.
Ähnliche Artikel:
Microsoft Office Updates (3. Januar 2023)
Microsoft Security Update Summary (10. Januar 2023)
Patchday: Windows 10-Updates (10. Januar 2023)
Patchday: Windows 11/Server 2022-Updates (10. Januar 2023)
Windows 7/Server 2008 R2; Windows 8.1/Server 2012 R2: Updates (10. Januar 2023)
Patchday: Microsoft Office Updates (10. Januar 2023)
Exchange Server Sicherheitsupdates (10. Januar 2023), dringend patchen
Windows Patchday-Nachlese Januar 2023
Anzeige
bin etwas verwundert über die Einstufung von CVE-2023-21676, so wie sich das liest müsste das ja über einem Score von 9 sein.
Im Prinzip ja aber es muss ja Luft nach oben sein. Hafnium war ja 9.x weil Anonym und aus dem Internet.
Die Lücke hier erfordert ja einen Zugriff auf dem Server der eigentlich immer "intern" steht und LDAP ist eigentlich nicht aus dem Internet erreichbar.
Und man muss "authentifiziert" sein. DAs macht es zwar nicht besser, da es ein DomainUser auch machen kann aber eben nicht so einfach wie "anonym".
Es gibt noch andere Dinge, die auch heavy sind aber wo das Security update noch nicht ausreicht. https://www.msxfaq.de/windows/sicherheit/windows_security_changes_2023.htm