[English]Am 11. April 2023 hat Microsoft Sicherheitsupdates für Windows-Clients und -Server, für Office – sowie für weitere Produkte – veröffentlicht. Die Sicherheitsupdates beseitigen 97 CVE-Schwachstellen, sieben davon sind kritisch und eine ist eine 0-day-Schwachstelle. Nachfolgend findet sich ein kompakter Überblick über diese Updates, die zum Patchday freigegeben wurden.Eine Liste der Updates finden Sie auf dieser Microsoft-Seite. Details zu den Update-Paketen für Windows, Office etc. sind in separaten Blogbeiträgen verfügbar.
Anzeige
Hinweise zu den Updates
Windows 10 Version 20H2 bis 22H2 verwenden einen gemeinsamen Kern und besitzen einen identischen Satz von Systemdateien. Daher werden für diese Windows 10 Versionen die gleichen Sicherheitsupdate ausgeliefert. Informationen zur Aktivierung der Features von Windows 10, welches durch ein Enablement Package-Update erfolgt, finden sich diesem Techcommunity-Beitrag.
Windows 10/11, Windows Server
Alle Windows 10/11-Updates (sowie die Updates der Server-Pendants) sind kumulativ. Das monatliche Patchday-Update enthält alle Sicherheitsfixes für diese Windows-Versionen – sowie alle nicht sicherheitsbezogenen Fixes bis zum Patchday. Zusätzlich zu den Sicherheitspatches für die Schwachstellen enthalten die Updates auch Fixes zur Behebung von Fehlern oder Neuerungen (z.B. Moments 2 Update für Windows 11 22H2). Microsoft integriert die Servicing Stack Updates (SSUs) in den aktuellen kumulativen Updates (Latest Cumulative Updates, LCUs) für neuere Windows 10-Versionen. Eine Liste der aktuellen SSUs findet sich unter ADV990001 (wobei die Liste nicht immer aktuell ist).
Windows 7 SP1/Windows Server 2012 R2
Windows 7 SP1 wird seit Januar 2020 nicht mehr unterstützt. Nur Kunden mit einer ESU-Lizenz für das 4. Jahr (oder Umgehungsmaßnahmen) erhalten noch Updates. Updates können auch aus dem Microsoft Update Catalog heruntergeladen werden. Windows 8.1 ist im Januar 2023 aus dem Support gefallen. Windows Server 2012 /R2 erhält bis Oktober 2023 Sicherheitsupdates.
Hinweise zu Windows 7 ESU: Blog-Leser Bolko wies in einem Kommentar darauf hin (danke dafür), dass es für Windows 7 doch noch Sicherheitsupdates gebe. Denn der Nutzer abbodi1406 hat im MDL-Forum Updates für zwei seiner Tools: BypassESU v12 und dotNetFx4_ESU_Installer_u (zur Installation des NET Framework ohne ByPassESU v12) bereitgestellt. Die Updates für "Windows Embedded Standard 7" sind identisch mit "Windows Server 2008 R2" und die kann man auch auf Windows 7 installieren. Der Vorteil bei den Updates für "Windows Embedded Standard 7" ist, dass es die auch für 32-Bit gibt. Die Updates für "Windows Server 2008 R2" sind hingegen nur für 64-Bit.
Gefixte Schwachstellen
Bei Tenable gibt es diesen Blog-Beitrag mit einer Übersicht der gefixten Schwachstellen. Tenable gibt an, dass eine 0-day-Schwachstelle in freier Wildbahn ausgenutzt wird.
- CVE-2023-28252: Windows Common Log File System Driver Elevation of Privilege Vulnerability, CVEv3 Score 7.8, important; Es ist eine Execution of Privileges (EoP) Schwachstelle im Windows Common Log File System (CLFS)-Treiber (für 2023 die zweite). Das ist der Protokollierungsdienst, der von Anwendungen im Kernel- und Benutzermodus verwendet wird. Bei dieser Sicherheitslücke handelt es sich um einen Post-Compromise-Fehler, d. h. ein Angreifer könnte sie ausnutzen, nachdem er sich Zugang zu einem anfälligen Ziel verschafft hat. Eine erfolgreiche Ausnutzung würde die Privilegien des Angreifers auf SYSTEM erhöhen. Nach Angaben von Microsoft wurde die Schwachstelle in freier Wildbahn als Zero-Day-Schwachstelle ausgenutzt. Seine Entdeckung wird Genwei Jiang von Mandiant und Quan Jin von DBAPPSecurity WeBin Lab zugeschrieben. Kaspersky sagt laut Bleeping Computer, dass sie auch die Sicherheitslücke CVE-2023-28252 ebenfalls entdeckt und an Microsoft gemeldet haben, nachdem sie gesehen hatten, dass sie in Nokoyawa-Ransomware-Angriffen ausgenutzt wurde.
- CVE-2023-21554: Microsoft Message Queuing Remote Code Execution Vulnerability; CVEv3 Score 9.8, critical; Es ist eine RCE-Schwachstelle, die Microsoft Message Queuing (MSMQ) betrifft. Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er ein speziell gestaltetes MSMQ-Paket an einen betroffenen MSMQ-Server sendet. In dem Microsoft-Bericht wird darauf hingewiesen, dass zur Ausnutzung dieser Schwachstelle der Windows Message Queuing Service aktiviert sein muss. Wenn er aktiviert ist, wird der TCP-Port 1801 auf dem Host überwacht.
Zusätzlich zu dieser RCE-Schwachstelle wurden in diesem Monat auch zwei als "wichtig" eingestufte Denial-of-Service-VEs (CVE-2023-21769 und CVE-2023-28302) in MSMQ gepatcht. - CVE-2023-28250: CVE-2023-28250 | Windows Pragmatic General Multicast (PGM) Remote Code Execution Vulnerability; CVEv3 Score 8.8, critical; Es ist eine RCE-Schwachstelle, die Windows Pragmatic General Multicast (PGM) betrifft. Für eine erfolgreiche Ausnutzung muss der MSMQ-Dienst aktiviert sein. Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er eine manipulierte Datei über das Netzwerk sendet, um beliebigen Code auszuführen. Diese Sicherheitslücke betrifft unterstützte Versionen von Windows, einschließlich Server Core-Installationen.
- CVE-2023-28231: DHCP Server Service Remote Code Execution Vulnerability; CVEv3 Score 9.8, critical; ist eine RCE-Schwachstelle, die den DHCP-Serverdienst (Dynamic Host Configuration Protocol) betrifft. Microsoft stuft diese Sicherheitsanfälligkeit gemäß dem Microsoft Exploitability Index als "Exploitation More Likely" ein. Eine erfolgreiche Ausnutzung erfordert, dass sich ein Angreifer in einem benachbarten Netzwerk befindet, bevor er einen manipulierten RPC-Aufruf zur Ausnutzung der Schwachstelle verwendet.
Eine Liste aller abgedeckten CVEs finden Sie auf dieser Microsoft-Seite, Auszüge sind bei Tenable abrufbar. Nachfolgend noch die Liste der gepatchten Produkte:
- .NET Core
- Azure Machine Learning
- Azure Service Connector
- Microsoft Bluetooth Driver
- Microsoft Defender for Endpoint
- Microsoft Dynamics
- Microsoft Dynamics 365 Customer Voice
- Microsoft Edge (Chromium-based)
- Microsoft Graphics Component
- Microsoft Message Queuing
- Microsoft Office
- Microsoft Office Publisher
- Microsoft Office SharePoint
- Microsoft Office Word
- Microsoft PostScript Printer Driver
- Microsoft Printer Drivers
- Microsoft WDAC OLE DB provider for SQL
- Microsoft Windows DNS
- Visual Studio
- Visual Studio Code
- Windows Active Directory
- Windows ALPC
- Windows Ancillary Function Driver for WinSock
- Windows Boot Manager
- Windows Clip Service
- Windows CNG Key Isolation Service
- Windows Common Log File System Driver
- Windows DHCP Server
- Windows Enroll Engine
- Windows Error Reporting
- Windows Group Policy
- Windows Internet Key Exchange (IKE) Protocol
- Windows Kerberos
- Windows Kernel
- Windows Layer 2 Tunneling Protocol
- Windows Lock Screen
- Windows Netlogon
- Windows Network Address Translation (NAT)
- Windows Network File System
- Windows Network Load Balancing
- Windows NTLM
- Windows PGM
- Windows Point-to-Point Protocol over Ethernet (PPPoE)
- Windows Point-to-Point Tunneling Protocol
- Windows Raw Image Extension
- Windows RDP Client
- Windows Registry
- Windows RPC API
- Windows Secure Boot
- Windows Secure Channel
- Windows Secure Socket Tunneling Protocol (SSTP)
- Windows Transport Security Layer (TLS)
- Windows Win32K
Im April 2023 endet der Support für Exchange Server 2013 und das Produkt wird keine keine Sicherheitsupdates mehr erhalten. Um Unternehmen bei der Identifizierung von nicht unterstützten Versionen von Microsoft Exchange Server zu unterstützen, sind die folgenden Plugins verfügbar:
- Plugin ID 22313: Microsoft Exchange Server Unsupported Version Detection
- Plugin ID 10880: Microsoft Exchange Server Unsupported Version Detection (Uncredentialed)
Ähnliche Artikel:
Microsoft Security Update Summary (11. April 2023)
Patchday: Windows 10-Updates (11. April 2023)
Patchday: Windows 11/Server 2022-Updates (11. April 2023)
Windows 7/Server 2008 R2; Server 2012 R2: Updates (11. April 2023)
Patchday: Microsoft Office Updates (11. April 2023)
2015
Hallo zusammen,
unter Windows 10 Home habe ich die Updates erhalten – nicht jedoch unter Windows 10 LTSC 1809 (Build 17763.4131) 64-Bit. Dabei hätte ich dort laut den Infos auf der Microsoft Homepage das KB5025229 über Windows Update automatisch erhalten müssen:
https://support.microsoft.com/en-us/topic/april-11-2023-kb5025229-os-build-17763-4252-e8ead788-2cd3-4c9b-8c77-d677e2d8744f
Es gab zwar einzelne Updates, jedoch nicht das KB5025229. Stattdessen kamen hier bislang nur folgende Updates an:
– Security Intelligence-Update für Microsoft Defender Antivirus – KB2267602 (Version 1.387.740.0)
– Update für Microsoft Defender Antivirus-Antischadsoftwareplattform – KB4052623 (Version 4.18.2303.8)
– Windows-Tool zum Entfernen bösartiger Software x64 – v 5.112 (KB890830)
Ich habe das "Phänomen" auf insgesamt drei LTSC-Systemen mit gleichem Versionsstand, daher gehe ich zunächst mal nicht davon aus, dass irgendwas mit meinem "Windows Update Catalogue" kaputt ist; d.h. ich habe bislang weder versucht, den Windows Update Dienst zu stoppen und C:\Windows\SoftwareDistribution umzubenennen noch habe ich versucht, das Update manuell herunterzuladen und zu installieren.
Kann das jemand bestätigen oder weiß Näheres?
Viele Grüße,
Martin
Hallo Martin,
Verwaltest du deine Updates Über den WSUS? Tust du Updates Autogenehmingen? Hab heute bei mir in der WSUS Liste geschaut und alle Updates sind dort eingetroffen.
Schau mal in deinem WSUS ob da beim Autogenehmigen schief gelaufen ist.
Hi Jan,
nein, ich nutze keinen WSUS – die Maschinen holen sich die Updates direkt über Windows Update. Hat bislang auch immer problemlos funktioniert, nur beim jetzigen Patchday klemmts irgendwie.
Viele Grüße,
Martin
das Phänomen gab es bereits im letzten Monat.
Einfach nochmal auf Suchen gehen, dann klappt es auch und das eigentliche Update wird installiert.
Aufgefallen ist es als ein Client nach "Installation" nicht neustarten wollte.
Hi Dominik,
hab inzwischen alles mögliche versucht – Reboot und erneute Updatesuche, auch zwischendurch gefühlt 1000x auf "Nach Updates suchen" geklickt ;-) Windows Update Dienst beendet und C:\Windows\SoftwareDistribution umbenannt und Dienst erneut gestartet – resultiert leider alles im gleichen: "Sie sind auf dem neuesten Stand". Beim März-Patchday lief noch alles wie gewohnt.
Viele Grüße,
Martin
Hallo Martin,
wenn du die Updates normal bei Microsoft holst werden die nicht immer auf allen Clients gleichzeitig verteilt manche bekommen die früher andere erst später.
Möchtest du das alle Clients die Updates zur selben Zeit bekommen brauchst du einen WSUS (oder was vergleichbares)
Ich habe gerade die "Produkte" in meinem WSUS geprüft und festgestellt, dass da überhaupt kein "Windows Server, version 1809 and later" mehr auftaucht. Stattdessen wird jetzt "Windows Server, version 1903 and later" angezeigt. Daher ist meine Vermutung, dass M$ aus irgendeinem Grund den 1809 aus der Update-Historie geschmissen hat.
Wir können gespannt bleiben… wir sind schließlich nicht einzigen mit 1809er LTSC Versionen.
Kann ich bestätigen – ist bei mir auch so…
Bei uns sind ein ein paar gute Dutzend 1809er Server (Server 2019) inzwischen schon erfolgreich durchgepatcht. Wenn es nur Win 10 1809 betreffen sollte, wären wir nicht betroffen, haben wir nicht mehr.
Ja, kann ich bestätigen. Seit ung. 10 Minuten werden die Updates auch auf die Server 2019 (1809 LTSC) verteilt. Wie es bei Clients aussieht, weiß ich nicht, da wir nur neuere System ohne LTSC haben.
Hab gerade noch mal bei mir geprüft: Windows 10 LTSC 2019 (1809) erhält bislang noch keine Updates. Ist ja aber schon mal ein gutes Zeichen, dass jetzt immerhin der Server 2019 mit den Updates betankt wird… toi toi toi.
Dasselbe hier. Der Server 2019 hat das Update erhalten, alle vier Clients mit Windows 10 LTSC 2019 nicht. Da dürfte eine manuelle Installation nötig werden.
@Martin: bei uns genau das gleiche Phänomen, seit letzten Monat kommen nicht mehr die großen Update Packages über WU. Und das auf so ziemlich jeden Win11 Client.
Bei Windows 11 wurde das Update ja auf UUP umgestellt
Erinnerung: UUP-Updates für Windows kommen am 28. März 2023
@Tino: Danke für deine Rückmeldung!
Ich habe jetzt mal auf einem der drei Systeme das KB5025229 von Hand installiert, das lief immerhin problemlos durch. Wäre aber eine äußerst bescheidene Lösung, das überall händisch machen zu müssen :-(
Auffälligkeit ohne aktuelle, tiefere Analyse bis jetzt auf allen Windows Servern 2016:
Die Aufgabenplanung führt keine selbst angelegte Aufgabe mehr aus. Verteilt wird die Aufgabe über GPO. Die angezeigte Zeit der nächsten Ausführung stimmt (alle 5 Minuten) aber die Aufgabe wird nicht ausgeführt. Im Verlauf erscheint auch kein Eintrag.
Installiert wurden in der Nacht:
2023-04 Cumulative Update for Windows Server 2016 for x64-based Systems (KB5025228)
Windows-Tool zum Entfernen bösartiger Software x64 – v5.112 (KB890830)
Also nach mehreren Analysen aktuell bei uns die Aussage: Eine per GPO verteilte Aufgabe startet nicht mehr automatisch zur angegebenen Zeit. Im Verlauf wird auch kein Eintrag erzeugt und im Eventlog ist auch nichts zu finden!
Lösung: Ich habe den Aufgaben, die per GPO verteilt werden, ein neues Startdatum gegeben und diese dann neu verteilt (Option Aktualisieren). Jetzt laufen alle wieder!
kein Office Update für Outlook, obwohl das letzte SU nicht 100% ist ? na dann :-D
Office-Patchday (zumindest für die nicht sicherheitsrelevanten Dinge) ist doch in einer anderen Woche?
Ist am 1. Dienstag im Monat – m.W. gab es aber am 4.4.2023 keine Office-Updates.
jaa aber es hieß doch, dass das letzte Outlook SU nicht 100 % wäre. Deshalb war meine Vermutung, dass MS nochmal nachpatcht!
LAPS ist nun auch nativ in Windows enthalten. Siehe: https://techcommunity.microsoft.com/t5/windows-it-pro-blog/by-popular-demand-windows-laps-available-now/ba-p/3788747
Und wer noch uralte LAPS-Clients installiert hat, hat ein Problem…
https://twitter.com/_aarony/status/1645907441232789506
bei mir funktioniert passwort reset mit legacy laps und OS 2016/2019 nach dem update. Hatte den Artikel auch gesehen.
Solange der LAPS Client schon drauf ist und Aktiv sollte automatisch der LAPS emulation mode aktiv sein, zumindest habe ich das so verstanden, wird geprüft an irgendeiner ID. Allerdings ist mir die Migration auch noch nicht ganz klar, da man zwar beides zusammen benutzen kann / soll aber nicht den selben Benutzer verwenden darf. Konfiguration erfolgt aber über die gleiche ADMX.
1) Extend your AD schema with the new Windows LAPS attributes
2) Add a new local admin account to your managed devices (call it "LapsAdmin2")
3) Enable the new Windows LAPS policies to target LapsAdmin2.
4) Run Windows LAPS and legacy LAPS side-by-side for as long as needed to gain confidence in the solution (and also update IT worker\helpdesk procedures, monitoring software, etc). Note you will have two (2) separately managed local managed accounts that you may choose to use during this time.
5) Once happy, remove the legacy LAPS CSE from your managed devices.
6) Delete the original LapsAdmin account.
7) (Optionally), purge the now defunct legacy LAPS policy registry entries.
Ist inzwischen im Artikel LAPS-Integration per April 2023-Update in Windows – Ärger für Administratoren angesprochen.
@ bitte mal einen Blogbeitrag erstellen, dass Teams eine Störung hat.
liegt wohl an der Umstellung / Einstellung der kostenlosen Variante.
Hab was kurzes im Blog – ist wohl keine gravierende Störung
Microsoft Teams gestört? (12. April 2023)
2019 VM
2012 VM bisher problemlos! alles in Ordnung!
jemand schon DC gemacht?
Ja, 2016, alles okay was DC angeht. Grundsätzlich haben wir ein Problem mit Aufgaben (Aufgabenplanung) die über die GPO verteilt wurden.
Das von Martin beschriebene Problem mit dem Update das nicht über das Windows Update kommt kann ich genau so bestätigen.
Ich habe diverse System probiert. Es funktioniert nur bei der Windows 10 1809 nicht.
Bei allen andern wie gewohnt. Die Server auf Basis der 1809 installieren vollkommen normal. Eine Manuelle Installation funktionert und erste Tests führen erstmal zu keinen Problem, auch im AD Umfeld nicht.
Was mir aufgefallen ist, dass:
Am Server wird das Update im Updateverlauf Erweitungsgemäßt eingetragen und benannt:
2023-04 Kumulatives Upodate für Windows Server 2019 (1809) für x64-basierte System (KB5025229)
Am Windows 10 Client ( bei dem ich das Update Manuell vom Update-Katalog aus installiert habe ) steht schlicht:
Sicherheitsupdate für Windows (KB5025229)
Das ist ungewöhnlich und habe ich so noch nie beim Patchday gesehen, aber ich musste auch schon eeewig nicht mehr manuell installieren.
Die Buildnummer wurde korrekt auf: 10.0.17763.4252 angehoben.
Ich habe auch zum Test mal einen ganz nackte VM mit der 1809 installiert.
Updates laufen normal bis 2023-03. aber die 2023-04 (KB5025229) wird auch dann nicht anbeboten.
Vllt. weiß einer demnächst mehr? Oder Microsoft hat Probleme festegestellt? .. hmm?
Lg
Hi Johnny,
vielen Dank für deinen sehr ausführlichen Kommentar! Ich habe inzwischen auch auf einem System das Update von Hand installiert und kann exakt bestätigen, dass es bei mir im Updateverlauf ebenfalls nur wie folgt aufgelistet wird:
Sicherheitsupdate für Windows (KB5025229)
Die Build-Nummer von Windows wurde bei mir ebenfalls korrekt auf 17763.4252 angehoben.
Ich warte auf den anderen Maschinen jetzt erstmal noch ein wenig ab, würde das Update aber dann notfalls auch hier manuell installieren.
@Jan: Danke für deinen Hinweis wg. WSUS; ich habe die Updates unter Windows 10 LTSC 2019 aber bislang immer pünktlich direkt zum Start des Patchdays bekommen, dieses mal ist es das erste mal, dass es so "bockt".
Mehrere virtuelle DCs haben bei uns heute morgen beim starten gehangen, alle Server 2019. Es hing aber auch ein Terminalserver.
KVM oder ESXi?
https://www.borncity.com/blog/2023/04/04/kvm-bug-windows-vms-knnen-nach-11-tagen-beim-booten-hngen/
Installation des Updates auf einem DC 2019 Standard führte zur Fehlermeldung in der Gruppenrichtlinienverwaltung:
Für die Datei "C:\Windows\PolicyDefinitions\LAPS.admx" konnte keine entsprechende Ressourcendatei gefunden werden (Fehler = 2): Das System kann die angegebene Datei nicht finden.
Da ich keine LAPS.adml gefunden habe, habe ich das Update erstmal wieder deinstalliert.
Hat da auch jmd Erfahrungen mit gemacht?
Würde mich auch interessieren, gleiche Meldung nach dem Update!
okay dann installiere ich auf dem DC 2019 erstmal das Update nicht!
Lösung gefunden (laps.adml):
Sucht auf einem W10 Client (mit Update 04-2023) in dem Ordner: "C:\Windows\WinSxS\amd64_microsoft-windows-laps-adm.resources_31bf3856ad364e35_10.0.19041.2788_en-us_9c681a483fe0a403\LAPS.adml"
Und die kopiert ihr in den Ordner PolicyDefinitions de oder en je nach dem.
Dann klappt es mit der GPO!
Vielen Dank für die Lösung :) Ich hoffe, das wird mit dem nächsten MS Update gefixt.
gerade mal nachgeschaut unter:
C:\Windows\PolicyDefinitions
LAPS.adml gibt es auch vor dem Update (Stand März 2023) Server 2019 DC keine LAPS.adml Datei
und Gegentest gemacht. Auf unserem zweiten virtuellen DC 2016 gibt es eine LAPS.adml Datei ebenso nicht. Dort konnte das Update allerdings problemlos installiert werden
Du musst bei einem Windows 10 Client schauen (durchsuche c nach laps.adml) dort hab ich die adml gefunden!
jaa das weiß ich. Ich meinte damit, dass das Phänomen auch einem Server 2016 DC auftritt. Dort gibt es auch keine LAPS.adml Datei. Ich kann allerdings keine Probleme feststellen. Der 2016 DC ist gestern gepatcht wurden.
Achso ok, hatte ich dann falsch interpretiert.
2016 ist da aussen vor, dass bekommen nur Server 2019 und 2022.
Bei mir liegt die Datei korrekt in C:\Windows\PolicyDefinitions\en-US (Server 2019 nach Update)
Wir haben aber bisher nur einen DC upgedatet.
Generell würde ich die admx/adml Dateien dann über DFS/Sysvol bereitstellen: \\domain\sysvol\domain.com\Policies\PolicyDefinitions
Ich hatte bei meinen Windows 2019 DCs auch die Meldung in der Gruppenrichtlinienverwaltung dass im de-DE Ordner die adml fehlt, habe mir beholfen die von einem (W11) Client zu kopieren um zumindest die Meldung loszuwerden.
Es ist absolut irre, dass an jedem Patchday Probleme auftreten und man sich das noch immer alles gefallen lässt. Neben den gefühlten 100.000 Dingen die man ohnehin täglich als Admin zu tun hat, kann man sich noch damit auseinandersetzen, weil ein Riesenkonzern unfähig (und unwillig ist) eine entsprechende Qualitätssicherung durchzuführen.