LDAP-Schwachstellen: Domain Controller mit Januar 2023-Updates patchen

Sicherheit (Pexels, allgemeine Nutzung)[English]Noch ein kleiner Nachtrag zum Januar 2023-Patchday (10. Januar 2023). Administratoren sollten sich darum kümmern, dass ihre als Domain Controller fungierenden Windows Server auf dem aktuellen Patchstand sind. Denn mit den Januar 2023-Updates wurden zwei gravierende Schwachstellen im Lightweight Directory Access Protocol (LDAP) geschlossen.


Anzeige

Im Lightweight Directory Access Protocol (LDAP) von Windows gibt es zwei gravierende Schwachstellen, die mit den Sicherheitsupdates vom Januar 2023 geschlossen wurden. Ich hatte es in der Übersicht zum Blog-Beitrag Microsoft Security Update Summary (10. Januar 2023) nicht angesprochen. Auch in den Support-Beiträgen von Microsoft zu den Sicherheitsupdates vom Januar 2023 habe ich auf die Schnelle nichts gefunden.

Zwei LDAP-Schwachstellen

Aber Blog-Leser Dennis Könn hat mich in einer privaten Nachricht auf Facebook auf das Thema hingewiesen (danke dafür) und dabei auf einen Blog-Beitrag von MVP Sander Berkower verlinkt. Berkower weist auf die zwei schwerwiegenden LDAP-Schwachstellen hin, die von Microsoft auch offen gelegt wurden..

  • CVE-2023-21676: Windows Lightweight Directory Access Protocol (LDAP) Remote Code Execution Vulnerability; CVSSv3-Score 8.8/7.7; diese Schwachstelle im Lightweight Directory Access Protocol (LDAP) ermöglicht einem authentifizierten Angreifer die Remotecodeausführung auf Windows Server-Installationen, die als Domänencontroller konfiguriert sind. Bei dem Angriff handelt es sich um einen wenig komplexen Angriff über das Netzwerk.
  • CVE-2023-21557: Windows Lightweight Directory Access Protocol (LDAP) Denial of Service Vulnerability; CVSSv3-Score 7.5/6.5; die Schwachstelle im Windows Lightweight Directory Access Protocol (LDAP) ermöglicht es einem nicht authentifizierten Angreifer, eine Pufferlängenprüfung zu umgehen. Das kann für ein Informationsleck ausgenutzt werden, d.h. Angreifer können Informationen abgreifen. Um dies zu erreichen, muss lediglich eine speziell gestaltete Anfrage über das Netzwerk an einen anfälligen Domain Controller gesendet werden.

Diese Schwachstellen existieren in allen noch unterstützten Windows-Client- und Windows Server-Versionen. Microsoft hält das für so kritisch, dass die Betriebssysteme Windows Server 2008 und Windows Server 2008 R2 über das ESU-Programm ebenfalls mit Updates versorgt wurden.

Liste der Windows-Updates

Ich habe nachfolgend die Liste der einzelnen Updates vom Januar 2023 für die unterstützten Windows-Versionen herausgezogen. Die genauen Details, welches Sicherheitsupdate bei welchem Windows eine der CVEs schließt, ist in den oben verlinkten CVEs von Microsoft aufgelistet.

  • KB5022291: Windows Server 2022
  • KB5022303: Windows 11 22H2
  • KB5022287: Windows 11 21H2
  • KB5022282: Windows 10 Version 20H2 – 22H2
  • KB5022286: Windows 10 Enterprise 2019 LTSC /Windows Server 2019
  • KB5022289: Windows 10 Version 1607, Windows Server 2016
  • KB5022297: Windows 10 Version 1507
  • KB5022352: (Monthly Rollup) Windows 8.1; Windows Server 2012 R2
  • KB5022346: (Security Only Quality Update) Windows 8.1; Windows Server 2012 R2
  • KB5022348: (Monthly Rollup) Windows Server 2012, Windows Embedded 8 Standard
  • KB5022343 :(Security-only Update) Windows Server 2012, Windows Embedded 8 Standard
  • KB5022338: (Monthly Quality Rollup) Windows 7 SP1, Windows Server 2008 R2 SP1
  • KB5022339: (Security-only update) Windows 7 SP1, Windows Server 2008 R2 SP1

Administratoren sollten diese Updates in ihren Testumgebungen auf die Auswirkungen für Domain Controller untersuchen und dann in den Produktionsumgebungen installieren. Über Probleme bei der Installation von Updates im Januar 2023 (vor allem bei Windows Server 20212 R2) hatte ich ja im Blog-Beitrag Windows Patchday-Nachlese Januar 2023 berichtet und auch Workarounds vorgeschlagen.

Ähnliche Artikel:
Microsoft Office Updates (3. Januar 2023)
Microsoft Security Update Summary (10. Januar 2023)
Patchday: Windows 10-Updates (10. Januar 2023)
Patchday: Windows 11/Server 2022-Updates (10. Januar 2023)
Windows 7/Server 2008 R2; Windows 8.1/Server 2012 R2: Updates (10. Januar 2023)
Patchday: Microsoft Office Updates (10. Januar 2023)
Exchange Server Sicherheitsupdates (10. Januar 2023), dringend patchen

Windows Patchday-Nachlese Januar 2023


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Update, Windows Server abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu LDAP-Schwachstellen: Domain Controller mit Januar 2023-Updates patchen

  1. Michael sagt:

    bin etwas verwundert über die Einstufung von CVE-2023-21676, so wie sich das liest müsste das ja über einem Score von 9 sein.

    • Frank Carius sagt:

      Im Prinzip ja aber es muss ja Luft nach oben sein. Hafnium war ja 9.x weil Anonym und aus dem Internet.
      Die Lücke hier erfordert ja einen Zugriff auf dem Server der eigentlich immer "intern" steht und LDAP ist eigentlich nicht aus dem Internet erreichbar.

      Und man muss "authentifiziert" sein. DAs macht es zwar nicht besser, da es ein DomainUser auch machen kann aber eben nicht so einfach wie "anonym".

      Es gibt noch andere Dinge, die auch heavy sind aber wo das Security update noch nicht ausreicht. https://www.msxfaq.de/windows/sicherheit/windows_security_changes_2023.htm

Schreibe einen Kommentar zu Frank Carius Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.