Microsoft Security Update Summary (14. März 2023)

Publiziert am 15. März 2023 von Günter Born

Update[English]Am 14. März 2023 hat Microsoft Sicherheitsupdates für Windows-Clients und -Server, für Office – sowie für weitere Produkte  – veröffentlicht. Die Sicherheitsupdates beseitigen 76 CVE-Schwachstellen, 9 davon sind kritisch, 66 sind wichtig und zwei sind bereits ausgenutzte 0-day-Schwachstellen. Nachfolgend findet sich ein kompakter Überblick über diese Updates, die zum Patchday freigegeben wurden.Eine Liste der Updates finden Sie auf dieser Microsoft-Seite. Details zu den Update-Paketen für Windows, Office etc. sind in separaten Blogbeiträgen verfügbar.

Anzeige

Hinweise zu den Updates

Windows 10 Version 20H2 bis 22H2 verwenden einen gemeinsamen Kern und besitzen einen identischen Satz von Systemdateien. Daher werden für diese Windows 10 Versionen die gleichen Sicherheitsupdate ausgeliefert. Informationen zur Aktivierung der Features von Windows 10, welches durch ein Enablement Package-Update erfolgt, finden sich diesem Techcommunity-Beitrag.

Windows 10/11, Windows Server

Alle Windows 10/11-Updates (sowie die Updates der Server-Pendants) sind kumulativ. Das monatliche Patchday-Update enthält alle Sicherheitsfixes für diese Windows-Versionen – sowie alle nicht sicherheitsbezogenen Fixes bis zum Patchday. Zusätzlich zu den Sicherheitspatches für die Schwachstellen enthalten die Updates auch Fixes zur Behebung von Fehlern oder Neuerungen (z.B. Moments 2 Update für Windows 11 22H2). Microsoft integriert die Servicing Stack Updates (SSUs) in den aktuellen kumulativen Updates (Latest Cumulative Updates, LCUs) für neuere Windows 10-Versionen. Eine Liste der aktuellen SSUs findet sich unter ADV990001 (wobei die Liste nicht immer aktuell ist).

Windows 7 SP1/Windows 8.1/Windows Server

Windows 7 SP1 wird seit Januar 2020 nicht mehr unterstützt. Nur Kunden mit einer ESU-Lizenz für das 4. Jahr (oder Umgehungsmaßnahmen) erhalten noch Updates. Updates können auch aus dem Microsoft Update Catalog heruntergeladen werden. Windows 8.1 ist im Januar 2023 aus dem Support gefallen. Windows Server 2012 /R2 erhält aber bis Oktober 2023 Sicherheitsupdates.

Hinweise zu Windows 7 ESU: Blog-Leser Bolko wies in einem Kommentar darauf hin (danke dafür), dass es für Windows 7 doch noch Sicherheitsupdates gebe. Denn der Nutzer abbodi1406 hat im MDL-Forum Updates für zwei seiner Tools: BypassESU v12 und dotNetFx4_ESU_Installer_u (zur Installation des NET Framework ohne ByPassESU v12) bereitgestellt. Die Updates für "Windows Embedded Standard 7" sind identisch mit "Windows Server 2008 R2" und die kann man auch auf Windows 7 installieren. Der Vorteil bei den Updates für "Windows Embedded Standard 7" ist, dass es die auch für 32-Bit gibt. Die Updates für "Windows Server 2008 R2" sind hingegen nur für 64-Bit.

Bei Windows Server 2012 R2 löst das SSU wohl einen (unerwarteten) Reboot-aus – wie auf patchmanagement.org gemeldet wird (gibt mehrere Meldungen).

Today's SSU for 2012R2 is forcing a reboot on several of our production servers (entirely unexpected).  We have been immediately approving SSU's for ALL servers with a deadline in the past so they would happen before any of the other patches.  We have been doing this for years (in WSUS) with no complaints but today we got a report of several production servers rebooting unexpectedly.  I un-approved the SSU's for ALL and have them only approved for test servers with no deadline now.

Manuelle Installation sollte keinen Reboot ausführen, wie aboddii schreibt.

Gefixte Schwachstellen

Bei Tenable gibt es diesen Blog-Beitrag mit einer Übersicht der gefixten Schwachstellen. Tenable gibt an, dass drei 0-day-Schwachstellen in freier Wildbahn ausgenutzt werden.

  • CVE-2023-23397: Microsoft Outlook Elevation of Privilege Vulnerability, CVEv3 Score 9.8, kritisch; wird bereits ausgenutzt; Die Schwachstelle kann ausgenutzt werden, indem eine bösartige E-Mail an eine anfällige Version von Outlook gesendet wird. Wenn die E-Mail vom Server verarbeitet wird, kann eine Verbindung zu einem vom Angreifer kontrollierten Gerät hergestellt werden, um den Net-NTLMv2-Hash des E-Mail-Empfängers auszuspähen. Der Angreifer kann diesen Hash verwenden, um sich in einem NTLM-Relay-Angriff als Empfänger des Opfers zu authentifizieren. Microsoft weist darauf hin, dass diese Schwachstelle ausgenutzt werden kann, bevor die E-Mail im Vorschaufenster angezeigt wird, was bedeutet, dass für einen erfolgreichen Angriff keine Interaktion des Empfängers erforderlich ist. Entdeckung durch das Computer Emergency Response Team der Ukraine (CERT-UA) und Microsoft. Microsoft hat am 14. März 2023 einen Blog-Beitrag über die Entdeckung dieser Sicherheitslücke veröffentlicht – ein russischer Bedrohungsakteur nutzt die Schwachstelle aus.

    Ergänzung: Zur Outlook-Schwachstelle gibt es einen separaten Beitrag Outlook wegen kritischer Schwachstelle CVE-2023-23397 patchen.

  • CVE-2023-24880: Windows SmartScreen Security Feature Bypass Vulnerability in Windows, CVSSv3 Score of 5.4, moderat. Die Sicherheitslücke ist öffentlich bekannt und wurde in freier Wildbahn ausgenutzt. Um sie auszunutzen, muss eine bösartige Datei von einem Benutzer mit einer betroffenen Windows-Version geöffnet werden. Wenn die E-Mail geöffnet wird, wird die Mark of the Web (MoTW)-Funktionalität umgangen, was bedeutet, dass Sicherheitsfunktionen, die sich auf die MoTW-Kennzeichnung verlassen, nicht ausgelöst werden und es möglich ist, dass schädliche Nutzdaten in der Datei auf dem Ziel ausgeführt werden.
  • CVE-2023-23416: Windows Cryptographic Services Remote Code Execution RCE-RCE-Schwachstelle, CVSSv3 Score 8.4, kritisch, besteht in den  Windows Cryptographic Services, einer Reihe von Verschlüsselungstools in Windows-Betriebssystemen. Wird ausgenutzt, indem ein bösartiges Zertifikat auf ein anfälliges Ziel importiert wird. Dazu muss sich der Angreifer beim Ziel authentifizieren oder einen authentifizierten Benutzer dazu verleiten, das bösartige Zertifikat zu importieren. CVE-2023-23416 wurde mit Hilfe des Microsoft Exploitability Index als "Exploitation More Likely" eingestuft.
  • CVE-2023-23415: Internet Control Message Protocol (ICMP) Remote Code Execution Vulnerability, RCE-Schwachstelle in Windows, CVSSv3-Score 9.8, kritisch; Die Schwachstelle in der Behandlung von ICMP-Paketen durch das Betriebssystem, wenn eine Anwendung, die auf dem anfälligen Windows-Host läuft, an einen Raw-Socket gebunden ist. Wird ausgenutzt, indem ein bösartiges fragmentiertes IP-Paket an ein verwundbares Ziel gesendet wird, führt zur Ausführung von beliebigem Code. CVE-2023-23415 wurde mit Hilfe des Microsoft Exploitability Index als "Exploitation More Likely" eingestuft.
  • CVE-2023-23392: HTTP Protocol Stack Remote Code Execution Vulnerability, CVSSv3-Score 9.8, kritisch, die Schwachstelle besteht in der Komponente HTTP.sys von Windows. Kann remote von einem entfernten, nicht authentifizierten Angreifer ausgenutzt werden, der ein bösartiges Paket an den Zielserver sendet. Damit ein Server anfällig ist, muss er HTTP/3 aktiviert haben und gepufferte E/A verwenden. Die HTTP/3-Unterstützung ist eine neue Funktion für Windows Server 2022 und muss mit einem Registrierungsschlüssel aktiviert werden.

Eine Liste aller abgedeckten CVEs finden Sie auf dieser Microsoft-Seite, Auszüge sind in den Artikeln von Tenable und Bleeping Computer abrufbar. Nachfolgend noch die Liste der gepatchten Produkte:

  • Azure
  • Client Server Run-time Subsystem (CSRSS)
  • Internet Control Message Protocol (ICMP)
  • Microsoft Bluetooth Driver
  • Microsoft Dynamics
  • Microsoft Edge (Chromium-based)
  • Microsoft Graphics Component
  • Microsoft Office Excel
  • Microsoft Office Outlook
  • Microsoft Office SharePoint
  • Microsoft OneDrive
  • Microsoft PostScript Printer Driver
  • Microsoft Printer Drivers
  • Microsoft Windows Codecs Library
  • Office for Android
  • Remote Access Service Point-to-Point Tunneling Protocol
  • Role: DNS Server
  • Role: Windows Hyper-V
  • Service Fabric
  • Visual Studio
  • Windows Accounts Control
  • Windows Bluetooth Service
  • Windows Central Resource Manager
  • Windows Cryptographic Services
  • Windows Defender
  • Windows HTTP Protocol Stack
  • Windows HTTP.sys
  • Windows Internet Key Exchange (IKE) Protocol
  • Windows Kernel
  • Windows Partition Management Driver
  • Windows Point-to-Point Protocol over Ethernet (PPPoE)
  • Windows Remote Procedure Call
  • Windows Remote Procedure Call Runtime
  • Windows Resilient File System (ReFS)
  • Windows Secure Channel
  • Windows SmartScreen
  • Windows TPM
  • Windows Win32K

Ähnliche Artikel:
Microsoft Security Update Summary (14. März 2023)
Patchday: Windows 10-Updates (14. März 2023)
Patchday: Windows 11/Server 2022-Updates (14. März 2023)
Windows 7/Server 2008 R2; Server 2012 R2: Updates (14. März 2023)
Patchday: Microsoft Office Updates (14. März 2023)
Exchange Server Sicherheitsupdates (14. März 2023)

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Office, Sicherheit, Software, Update, Windows abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

21 Antworten zu Microsoft Security Update Summary (14. März 2023)

  1. secondJo sagt:
    15. März 2023 um 06:51 Uhr

    1 x Windows Server 2019 auf VMWare ESXi 6.7 welcher nach der Installation von KB5023702 nicht mehr hoch fährt (Kreis dreht sich seit Stunden)- abwürgen, Abgesicherter Modus, Updates werden rückgängig gemacht –> Danach normaler Start

    Das selbe auch noch auf einem anderen Server 2019 auf einem ESXi 7.

    Update danach händisch installiert, Neustart = gleiches Problem…

    Antworten
  2. Dominik sagt:
    15. März 2023 um 08:10 Uhr

    1 x 2012 R2 Hyper V + 1x 2019 VM – alles ok!

    Antworten
  3. Jense sagt:
    15. März 2023 um 09:11 Uhr

    4x HyperV 2019, alles OK!

    Antworten
  4. Dominik sagt:
    15. März 2023 um 10:20 Uhr

    Jemand schon einen DC gemacht?

    Antworten
  5. Flo sagt:
    15. März 2023 um 10:26 Uhr

    DCs, Exchange, RDS und Fileserver, alles 2016. Bei zweien war nach dem Neustart der Anmeldedienst (netlogon) auf manuell anstelle von automatisch gerutscht wodurch dann die Freigaben, Zeitdienst oder Gruppenrichtlinien nicht mehr wollten. Falls das noch jemanden beisst.

    Antworten
  6. 1ST1 sagt:
    15. März 2023 um 10:49 Uhr

    Also, wenn Exploits zu der Outlook-Lücke im Schwarzmarkt erhältlich waren/sind, dann waren diese bis heute Nacht SEHR teuer. Sowas setzt man nur gegen sehr hochwertige Ziele ein, um die Lücke auf keinen Fall zu "verbrennen". Jetzt ist sie verbrannt, in ein paar Tagen sind alle Outlook-Instanzen (zumindestens die 365er) gepatcht.

    Antworten
  7. Larsen sagt:
    15. März 2023 um 11:27 Uhr

    Exchange Server 2019 unter Windows Server 2019 als VM unter Proxmox VE: Keine Probleme
    Windows Server 2019, DC, physikalisch: Keine Probleme

    Antworten
  8. Gerold sagt:
    15. März 2023 um 21:13 Uhr

    Nachschlag für Outlook:

    Microsoft entschärft aktiv ausgenutzte EoP-Sicherheitslücke in Outlook

    Für Microsoft Outlook für Windows steht ein wichtiges Sicherheits-Update zur Verfügung: Der Konzern hat kurz nach dem offiziellen Patch-Day noch ein separates Update für Outlook nachgereicht, das allen Nutzern dringend empfohlen wird.
    Microsoft entschärft damit eine Sicherheitslücke in Outlook für Windows, die laut dem Konzern bereist aktiv ausgenutzt wird. Daher ist ein zeitnahes Update von Outlook jetzt dringend angeraten.

    https://winfuture.de/news,135153.html

    Antworten
  9. Carsten sagt:
    15. März 2023 um 21:33 Uhr

    Gerade all unsere Server 2016 aktualisiert(Exchange, DCs, etc.). Sowohl auf ESXi 7 als auch auf ESXi 6.7. Normaler Reboot. Keine Probleme.

    Antworten
  10. MK sagt:
    2. April 2023 um 14:09 Uhr

    Ich hatte seit mitte letzter Woche das Problem das ich zwar noch Surfen konnte aber alles was mehr als ganz wenige Bytes von mir ins Netz überträgt auf meinem Windows Rechner nicht mehr ging. Größere EMails, Oauth-Anmeldungen, etc. pp. Praktisch war das Netz kaum noch nutzbar. (Android Geräte ohne Probleme)

    Geholfen hat es die MTU auf 1480 zu setzen. (Die oft empfohlenen 1492 funktionieren nicht, mich genauer an den exakten Wert heranzutasten war mir die Mühe nicht wert). Ich vermute einen Zusammenhang mit CVE-2023-23415 und das jetzt irgendwo im Netz die ICMP Nachrichten zur Aushandlung der richtigen Größe blockiert werden.

    Eventuell haben ja andere ähnliche Beobachtungen gemacht.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.