[English]Am 9. Mai 2023 hat Microsoft Sicherheitsupdates für Windows-Clients und -Server, für Office – sowie für weitere Produkte – veröffentlicht. Die Sicherheitsupdates beseitigen 37 CVE-Schwachstellen, sechs davon sind kritisch und 36 sind als wichtig eingestuft. Nachfolgend findet sich ein kompakter Überblick über diese Updates, die zum Patchday freigegeben wurden.Eine Liste der Updates finden Sie auf dieser Microsoft-Seite. Details zu den Update-Paketen für Windows, Office etc. sind in separaten Blogbeiträgen verfügbar.
Anzeige
Hinweise zu den Updates
Windows 10 Version 20H2 bis 22H2 verwenden einen gemeinsamen Kern und besitzen einen identischen Satz von Systemdateien. Daher werden für diese Windows 10 Versionen die gleichen Sicherheitsupdate ausgeliefert. Informationen zur Aktivierung der Features von Windows 10, welches durch ein Enablement Package-Update erfolgt, finden sich diesem Techcommunity-Beitrag.
Windows 10/11, Windows Server
Alle Windows 10/11-Updates (sowie die Updates der Server-Pendants) sind kumulativ. Das monatliche Patchday-Update enthält alle Sicherheitsfixes für diese Windows-Versionen – sowie alle nicht sicherheitsbezogenen Fixes bis zum Patchday. Zusätzlich zu den Sicherheitspatches für die Schwachstellen enthalten die Updates auch Fixes zur Behebung von Fehlern oder Neuerungen (z.B. Moments 2 Update für Windows 11 22H2). Microsoft integriert die Servicing Stack Updates (SSUs) in den aktuellen kumulativen Updates (Latest Cumulative Updates, LCUs) für neuere Windows 10-Versionen. Eine Liste der aktuellen SSUs findet sich unter ADV990001 (wobei die Liste nicht immer aktuell ist).
Am 9. Mai 2023 erreicht Windows 10 Version 20H2 (Enterprise, Education) sein End-of-live und erhält letztmalig Sicherheitsupdates. Am 13. Juni 2023 wird Windows 10 Version 21H2 in den Varianten Home und Pro ebenfalls das End-of-live erreichen.
Windows 7 SP1/Windows Server 2012 R2
Windows 7 SP1 wird seit Januar 2020 nicht mehr unterstützt. Nur Kunden mit einer ESU-Lizenz für das 4. Jahr (oder Umgehungsmaßnahmen) erhalten noch Updates. Updates können auch aus dem Microsoft Update Catalog heruntergeladen werden. Windows 8.1 ist im Januar 2023 aus dem Support gefallen. Windows Server 2012 /R2 erhält bis Oktober 2023 Sicherheitsupdates.
Anzeige
Gefixte Schwachstellen
Bei Tenable gibt es diesen Blog-Beitrag mit einer Übersicht der gefixten Schwachstellen. Eine schwachstelle wurde in freier Wildbahn ausgenutzt. Hier einige der kritischen Schwachstellen, die beseitigt wurden:
- CVE-2023-29336: Win32k Elevation of Privilege Vulnerability, CVEv3 Score 7.8, important; Es ist eine EoP-Schwachstelle in Microsofts Win32k, einem zentralen kernelseitigen Treiber, der in Windows verwendet wird. Diese Sicherheitslücke und wurde in freier Wildbahn als Zero-Day ausgenutzt. Die Ausnutzung dieser Sicherheitsanfälligkeit würde es einem Angreifer ermöglichen, auf einem betroffenen Host SYSTEM-Berechtigungen zu erlangen.
- CVE-2023-24932: Secure Boot Security Feature Bypass Vulnerability; CVEv3 Score 6.7, important; Es ist eine Sicherheitslücke in Secure Boot in Windows-Betriebssystemen, die das Ausführen nicht vertrauenswürdiger Software während des Startvorgangs ermöglicht. Die Schwachstelle wurde öffentlich bekannt gemacht und als Zero-Day-Schwachstelle ausgenutzt, bevor ein Patch zur Verfügung stand. Zur Ausnutzung dieser Schwachstelle muss ein Angreifer über administrative Rechte oder physischen Zugriff auf das anfällige Gerät verfügen, weshalb Microsoft diese Schwachstelle gemäß dem Microsoft Exploitability Index als "weniger wahrscheinlich" eingestuft hat.
- CVE-2023-29325: Windows OLE Remote Code Execution Vulnerability; CVEv3 Score 8.1 , critical; Es ist eine RCE im Windows Object Linking and Embedding (OLE)-Mechanismus von Windows-Betriebssystemen, der öffentlich bekannt ist. Windows OLE ist eine Technologie, die die Erstellung von Dokumenten ermöglicht, die Objekte aus verschiedenen Anwendungen enthalten. Die Sicherheitslücke liegt in der Verarbeitung von RTF-Dokumenten und E-Mails. Laut Microsoft ist das Vorschaufenster in Microsoft Outlook und Office ein Angriffsvektor für die Schwachstelle. Ein nicht authentifizierter, entfernter Angreifer kann diese Sicherheitslücke ausnutzen, indem er ein speziell gestaltetes Dokument an ein anfälliges System sendet. Der Schwachstelle wurde jedoch eine hohe Komplexität zugewiesen, da der Angreifer für eine erfolgreiche Ausnutzung eine Wettlaufbedingung erfüllen und das Ziel auf die Ausnutzung vorbereitet sein muss. In diesem Bereich wurde in den Vormonaten bereit (unvollständig) gepatcht.
- CVE-2023-24941: Windows Network File System Remote Code Execution Vulnerability; CVEv3 Score 9.8 , critical; Es ist eine kritische RCE-Schwachstelle, die unterstützte Versionen von Windows Server betrifft. Die betroffene Komponente ist der Network File System (NFS)-Dienst, der für die gemeinsame Nutzung von Dateien zwischen Unix- und Windows Server-Systemen verwendet wird. Die Sicherheitslücke betrifft insbesondere NFSV4.1, nicht aber NFSV2.0 oder NFSV3.0. CVE-2023-24941 kann remote von einem nicht authentifizierten Angreifer ausgenutzt werden, der einen bösartigen Aufruf an einen anfälligen Server sendet.
Eine Liste aller abgedeckten CVEs finden Sie auf dieser Microsoft-Seite, Auszüge sind bei Tenable abrufbar. Nachfolgend noch die Liste der gepatchten Produkte:
- Microsoft Bluetooth Driver
- Microsoft Graphics Component
- Microsoft Office
- Microsoft Office Access
- Microsoft Office Excel
- Microsoft Office SharePoint
- Microsoft Office Word
- Microsoft Teams
- Microsoft Windows Codecs Library
- Reliable Multicast Transport Driver (RMCAST)
- Remote Desktop Client
- SysInternals
- Visual Studio Code
- Windows Backup Engine
- Windows Installer
- Windows iSCSI Target Service
- Windows Kernel
- Windows LDAP – Lightweight Directory Access Protocol
- Windows MSHTML Platform
- Windows Network File System
- Windows NFS Portmapper
- Windows NTLM
- Windows OLE
- Windows RDP Client
- Windows Remote Procedure Call Runtime
- Windows Secure Boot
- Windows Secure Socket Tunneling Protocol (SSTP)
- Windows SMB
- Windows Win32K
Ähnliche Artikel:
Microsoft Security Update Summary (9. Mai 2023)
Patchday: Windows 10-Updates (9. Mai 2023)
Patchday: Windows 11/Server 2022-Updates (9. Mai 2023)
Windows 7/Server 2008 R2; Server 2012 R2: Updates (9. Mai 2023)
Patchday: Microsoft Office Updates (9. Mai 2023)
Microsoft Office Updates (2. Mai 2023)
Anzeige
Update (KB5026363) für Windows Server 2016 installiert auf einem Exchange 2016 -> Die Outlooksuche bringt den Fehler "Wir haben Probleme beim Abrufen der Ergebnisse vom Server…".
Health Checker bringt folgende Fehler:
Critical Services Not Running
HostControllerService – Status: Stopped – StartType: Automatic
Common Services Not Running
MSExchangeHM – Status: Stopped – StartType: Automatic
MSExchangeHMRecovery – Status: Stopped – StartType: Automatic
Nach dem manuellen Starten der drei Services funktioniert die Suche wieder. Die Analyse warum die Services nicht automatisch starten läuft.
ich hatte ein ähnliches Problem mit dem SQL-Express, dass die Datenbank für Veeam bereitstellt. von heute auf morgen startete der SQL-Server-Dienst nicht mehr und in Folge auch die wichtigen Dienste von Veeam nicht. Etwas nervig nach einem Neustart manuell nachzuarbeiten, keine (Fehler)meldung im Ereignisprotokoll. bis ich auf die Idee gekommen bin den Dienst auf manuell zu ändern, übernehmen und wieder auf automatisch. bei letzten Neustart klappte es wieder.
jemand ähnliche Erfahrungen mit Exchange gemacht ?
Also nach dem zweiten Neustart ist alles wieder in Ordnung, ohne eine Änderung!
ebenso 2x neugestartet.
Erst VM gepatcht, neugestartet, heruntergefahren.
Hyper V gepatcht, VM danach wieder hochgefahren. Bisher alles in Ordnung!
Exchange 2016 auf Server 2012 R2
Alle unsere Windows Server 2012 R2 liefern nach beim Booten folgenden Fehler:
Ereignis-ID: 30
Quelle: Eventlog
Protokollname: System
Der Ereignisprotokollierungsdienst hat beim Aktivieren des Herausgebers "{0bf2fb94-7b60-4b4d-9766-e82f658df540}" für den Kanal "Microsoft-Windows-Kernel-ShimEngine/Operational" einen Fehler (5) erkannt. Dieser Fehler hat keinen Einfluss auf den Betrieb des Kanals, beeinträchtigt jedoch die Fähigkeit des Herausgebers, Ereignisse für den Kanal auszulösen. Dieser Fehler ist oft darauf zurückzuführen, dass der Anbieter die ETW-Anbietersicherheit verwendet und der Ereignisprotokoll-Dienstidentität keine Berechtigungen zum Aktivieren gewährt hat.
—
Das Problem gab es bereits im März 2022:
https://www.borncity.com/blog/2022/03/08/microsoft-security-update-summary-8-mrz-2022/
In den Kommentaren wird da erwähnt, dass nach einem Neustart der Fehler weg ist. Das ist dieses Mal auch wieder der Fall. Alternativ funktioniert aber auch die Lösung wie hier beschrieben (ohne Neustart):
https://www.mcbsys.com/blog/2018/06/june-update-causes-eventlog-error-30/
Allerdings ist es ja anscheinend nicht nötig die Berechtigung zu setzen da es ja mit Neustart auch ohne die Berechtigung geht.
Nach Ihrem Kommentar habe ich meinen 2012 (VM) direkt 2x neustarten lassen. Bisher keine Probleme.
Bei CVE-2023-24932 sind wohl wieder zusätzliche schritte nötig, ähnlich dem Update von WinRE vor paar Monaten:
https://support.microsoft.com/de-de/topic/kb5025885-how-to-manage-the-windows-boot-manager-revocations-for-secure-boot-changes-associated-with-cve-2023-24932-41a975df-beb2-40c1-99a3-b3ff139f832d
Es ist doch zum Haare raufen 🤯
Oder aussitzen bis Q1/2024
Tja, was bedeutet das nun? Es gibt wieder verschiedene Phasen des Rollouts.
Läuft man dann in der finalen Phase in Probleme, falls man das vorher ignoriert oder nicht?
wie immer – aussitzen. hättens ja auch gleich scharf schalten können. oder hats mal wieder nebenwirkungen aufgrund von was auch immer. das winre update war ja auch so fehlerfrei wie nur sonst was. entweder der patch macht es gleich oder gar nicht.
2019 VM und 2016 VM bisher ohne Probleme
etwas offtopic
https://devblogs.microsoft.com/dotnet/upcoming-availability-of-net-framework-4-8-1-on-windows-update-and-catalog/
Server 2019 Hyper V – startet normal!
Hat schon einer von euch schon die aktuellen Patches auf die Clients installiert? Windows 10 21H2 und 22H2
Ich kriege auf meinen Test VMs im administrativen Eventlog ein Fehler:
Protokoll: Internet Explorer mit Zugriff verweigert
Auch werden Files über GPOs nicht mehr auf den Client kopiert… (das hatten wir doch schon mal).???
Habt ihr auch dieses Verhalten nach dem Updaten? thx.
Das keine Files mehr gezogen wurden lag an etwas anderem.
Komischerweise kriege ich die Access Denied Meldung im Eventlog auch bei Clients, die noch nicht gepatcht sind… hier aber auch nicht bei allen… Strange :-(((
jemand schon einen DC gepatcht?
ja zwei sogar
okay :)
Danke fürs ins Feuer springen und berichten. :)
2016 -> okay!
Testumgebung (alles Server 2019):
2x DCs: ok
Exchange 2019: ok
WSUS: ok
CA: ok
Win 10 Prof.: ok
Kurztest: alles spielt miteinander, keine Funktionsstörungen, nichts auffälliges im Ereignisprotokoll
Ich dachte Office 2013 wäre EOL und erhält keine Sicherheitsupdates mehr.
Sind mir eben im WSUS aufgefallen:
security update for Excel 2013: May 9, 2023 (KB5002384)
security update for Word 2013: May 9, 2023 (KB5002365)
Finde ich gut wenn die kritische Sicherheitslücken noch schließen!
Knapp 24 h nach PD ist immer noch keine neue wsusscn2.cab in Sicht. Sind wir etwa die einzigen, die darauf warten?
Wir warten auch auf die wsusscn2.cab. Hat da jemand Informationen ?
Deren Discord Channel oder Github?
Ich les mich grad durch den Artikel betr. Secure-Boot zu KB5025885
Da steht
"Nach der Anwendung dieser Sperrungen können die Geräte absichtlich nicht mehr mit Hilfe von Wiederherstellungs- oder Installationsmedien gestartet werden, es sei denn, diese Medien wurden mit den am oder nach dem 9. Mai 2023 veröffentlichten Sicherheitsupdates aktualisiert. Dazu gehören sowohl startbare Medien wie Datenträger, externe Laufwerke, Netzwerkstartwiederherstellung als auch Wiederherstellungsimages."
wie sieht das mit Backups aus (Veeam – VM oder Physische Kisten) – kann ich ein Fullrestore eines Systemes machen und starten, wenn das vor dem 9. Mai erstellt wurde ? Das würde ja bedeuten, dass ältere Backups nutzlos wären.
Hat das schon jemand getestet ?
MDT zum Beispiel betrifft das genauso… ich kam leider auch noch nicht dazu, nach den Updates ein paar Clients zu installieren… da bin ich mal gespannt darauf… ggf. heute…
Ich muss sicherlich auch das WDS Boot Image neu machen…. :-(
Ja, das scheint ja eine ziemliche Sache zu sein. Hier ist ein längerer Artikel zum Thema. Das kann ganz schön in die Hose gehen.
https://nakedsecurity.sophos.com/2023/05/10/bootkit-zero-day-fix-is-this-microsofts-most-cautious-patch-ever/
Ja, das scheint ja eine ziemliche Sache zu sein. Hier ist ein längerer Artikel zum Thema. Das kann ganz schön in die Hose gehen.
https://nakedsecurity.sophos.com/2023/05/10/bootkit-zero-day-fix-is-this-microsofts-most-cautious-patch-ever/
Seit dem April Patchday läuft auf unseren 2016er Servern gpupdate alle 5 statt alle 90 Minuten (das sollte eigentlich nur bei DCs so sein). Server 2012R2 und Windows 10 sind nicht betroffen. Das Verhalten bleibt mit dem Mai Update bestehen und lässt sich auch nicht mit der Einstellung "Gruppenrichtlinien-Aktualisierungsintervall für Computer festlegen" auf 90 Minuten zurück stellen.
Auslöser war Symantec Endpoint Protection, der zur selben Zeit wie das Windows Update auf die aktuelle Version geupdated wurde.