[English]Am 8. August 2023 hat Microsoft Sicherheitsupdates für Windows-Clients und -Server, für Office – sowie für weitere Produkte – veröffentlicht. Die Sicherheitsupdates beseitigen 73 Schwachstellen, eine ist ein 0-day. Nachfolgend findet sich ein kompakter Überblick über diese Updates, die zum Patchday freigegeben wurden.
Anzeige
Hinweise zu den Updates
Eine Liste der Updates finden Sie auf dieser Microsoft-Seite. Details zu den Update-Paketen für Windows, Office etc. sind in separaten Blogbeiträgen verfügbar.
Windows 10/11, Windows Server
Alle Windows 10/11-Updates (sowie die Updates der Server-Pendants) sind kumulativ. Das monatliche Patchday-Update enthält alle Sicherheitsfixes für diese Windows-Versionen – sowie alle nicht sicherheitsbezogenen Fixes bis zum Patchday. Zusätzlich zu den Sicherheitspatches für die Schwachstellen enthalten die Updates auch Fixes zur Behebung von Fehlern oder Neuerungen.
Windows 7 SP1/Windows Server 2012 R2
Windows 7 SP1 wird seit Januar 2020 nicht mehr unterstützt. Nur Kunden mit einer ESU-Lizenz für das 4. Jahr (oder Umgehungsmaßnahmen) erhalten noch Updates. Updates können auch aus dem Microsoft Update Catalog heruntergeladen werden. Windows Server 2012 /R2 erhält bis Oktober 2023 Sicherheitsupdates.
Gefixte Schwachstellen
Bei Tenable gibt es diesen Blog-Beitrag mit einer Übersicht der gefixten Schwachstellen. Hier einige der kritischen Schwachstellen, die beseitigt wurden:
Anzeige
- CVE-2023-38180: .NET and Visual Studio Denial of Service Schwachstelle, CVEv3 Score 7.5, important; Es ist eine Denial of Service (DoS)-Schwachstelle in Microsoft Visual Studio, .NET Versionen 6.0 und 7.0 und ASP.NET Core 2.1. Microsoft sagt, dass diese Sicherheitslücke als Zero-Day ausgenutzt wurde. Ein Angreifer, der diese Schwachstelle ausnutzt, könnte einen DoS-Zustand auf einem anfälligen Server erzeugen.
- CVE-2023-35385, CVE-2023-36910, CVE-2023-36911: RCE-Schwachstellen in der Microsoft Message Queuing (MSMQ) Komponente von Windows; CVEv3 Score 9.8; critical; Ein entfernter, nicht authentifizierter Angreifer kann diese Sicherheitsanfälligkeit ausnutzen, indem er bösartige MSMQ-Pakete an einen anfälligen MSMQ-Server sendet, was zur Ausführung von beliebigem Code führt. Um diese Schwachstelle auszunutzen, muss jedoch der Message Queuing-Dienst auf dem anfälligen Server aktiviert sein. Wenn der Dienst aktiviert ist, läuft er laut Microsoft unter dem Dienstnamen "Message Queuing" und lauscht am TCP-Port 1801. Tenable-Kunden können die Plugin-ID 174933 verwenden, um Systeme zu identifizieren, auf denen dieser Dienst läuft. Microsoft stufte diese Sicherheitsanfälligkeiten mit Hilfe des Microsoft Exploitability Index als "Exploitation Less Likely" ein.
- CVE-2023-21709: EoP Schwachstelle in Microsoft Exchange Server; CVEv3 Score 9.8, important; Ein nicht authentifizierter Angreifer könnte diese Schwachstelle ausnutzen, indem er versucht, das Passwort für gültige Benutzerkonten zu erzwingen. Bei erfolgreicher Ausnutzung (als wenig wahrscheinlich eingestuft) könnte sich der Angreifer "als ein anderer Benutzer anmelden". Laut dem Advisory sind zusätzliche Schritte erforderlich, um diese Sicherheitslücke zu schließen. Nach der Anwendung des Patches muss ein PowerShell-Skript ausgeführt werden. Es wird empfohlen, die neuesten Informationen von Microsoft im Advisory nachzulesen, um diese Sicherheitslücke erfolgreich zu beheben.
- CVE-2023-38181, CVE-2023-38185, CVE-2023-35368, CVE-2023-38182, CVE-2023-35388, Microsoft Exchange Server Schwachstellen; CVEv3 Score 8.0 – 8.8 , important; Ein authentifizierter Angreifer kann durch Ausnutzung dieser Schwachstellen (als wenig wahrscheinlich eingestuft) Code über eine PowerShell-Remoting-Sitzung ausführen. Um diese Schwachstelle erfolgreich auszunutzen, müsste der Angreifer zunächst über LAN-Zugang und gültige Anmeldeinformationen für einen Exchange-Benutzer verfügen.
- CVE-2023-35359, CVE-2023-35380, CVE-2023-35382, CVE-2023-35386, CVE-2023-38154, Windows Kernel Elevation of Privilege (EP) Schwachstellen; CVEv3 Score 7.8 , important; Ein lokaler, authentifizierter Angreifer könnte diese Sicherheitslücke ausnutzen, um SYSTEM-Rechte zu erlangen. Vier der fünf Schwachstellen werden den Forschern von Google Project Zero zugeschrieben. Vier Schwachstellen sind mit "Exploitation More Likely" und CVE-2023-38154 mit "Exploitation Unlikely" eingestuft.
- CVE-2023-36900, Windows Common Log File System Driver Elevation of Privilege-Schwachstelle; CVSSv3 Score 7.8, important; Ein authentifizierter Angreifer könnte diese Sicherheitslücke ausnutzen, um SYSTEM-Rechte zu erlangen. Als "Exploitation More Likely" eingestuft.
Eine Liste aller abgedeckten CVEs finden Sie auf dieser Microsoft-Seite, Auszüge sind bei Tenable abrufbar. Nachfolgend noch die Liste der gepatchten Produkte:
- NET Core
- .NET Framework
- ASP.NET
- ASP.NET and Visual Studio
- Azure Arc
- Azure DevOps
- Azure HDInsights
- Dynamics Business Central Control
- Memory Integrity System Readiness Scan Tool
- Microsoft Dynamics
- Microsoft Exchange Server
- Microsoft Office
- Microsoft Office Excel
- Microsoft Office Outlook
- Microsoft Office SharePoint
- Microsoft Office Visio
- Microsoft Teams
- Microsoft WDAC OLE DB provider for SQL
- Microsoft Windows Codecs Library
- Reliability Analysis Metrics Calculation Engine
- Role: Windows Hyper-V
- SQL Server
- Tablet Windows User Interface
- Windows Bluetooth A2DP driver
- Windows Cloud Files Mini Filter Driver
- Windows Common Log File System Driver
- Windows Cryptographic Services
- Windows Defender
- Windows Fax and Scan Service
- Windows Group Policy
- Windows HTML Platform
- Windows Kernel
- Windows LDAP – Lightweight Directory Access Protocol
- Windows Message Queuing
- Windows Mobile Device Management
- Windows Projected File System
- Windows Reliability Analysis Metrics Calculation Engine
- Windows Smart Card
- Windows System Assessment Tool
- Windows Wireless Wide Area Network Service
Ähnliche Artikel:
Microsoft Security Update Summary (8. August 2023)
Patchday: Windows 10-Updates (8. August 2023)
Patchday: Windows 11/Server 2022-Updates (8. August 2023)
Windows 7/Server 2008 R2; Server 2012 R2: Updates (8. August 2023)
Microsoft Office Updates (8. August 2023)
Exchange Server Sicherheitsupdates (8. August 2023)
Desaster Exchange August 2013-Sicherheitsupdate – nicht installieren!.
Windows 11 22H2: Preview Update KB5028254 (26. Juli 2023)
Windows 11 21H2: Preview-Update KB5028245 (25. Juli 2023)
Windows 10 22H2 Preview Update KB5028244 (25. Juli 2023)
Anzeige
KB5029388 für Exchange 2016 CU 23 läßt sich nicht installieren. Bricht mit Fehlermeldung ab. Auch Datei aus Microsoft Update-Katalog bricht ab. Noch jemand das Problem? Exchange läuft hier auf MS Server 2016.
Bei Frankys gibt es dazu schon mehr Information, hab das selbe Problem gehabt, liegt wohl an der Betriebssystemsprache, wenn diese Deutsch ist.
Bei mir auch
Exchange 2019 auf Server 21H2
Nach dem fehlgeschlagenen Update sind mal wieder alle Exchangedienste deaktiviert.
Schau in die Linkliste – ich habe den Exchange-Beitrag Exchange Server Sicherheitsupdates (8. August 2023) verlinkt. Im Beitrag habe ich auf einen Workaround verwiesen, den mir ein deutscher Admin verraten und bei Microsoft gepostet hat – da sollten die Dienste wieder starten (hoffe ich). Ansonsten gibt es ja die Verweise auf Frankys Web, wo schon viele Diskussionen sind.
Gibt Problem auf Deutschen Servern
https://www.frankysweb.de/neue-sicherheitsupdates-fuer-exchange-server-august-2023/
Hallo zusammen
Zu: Message Queuing
Wenn der TCP-Port 1801 per Firewall eingehend gesperrt ist sollte das Message Queuing Problem eigentlich auch ohne Patch sicher sein? Wie seht ihr das?
Gruass Kay
Guten Morgen zusammen,
heute kamen wieder einige Office 2013 Update rein … sehr konsequent von Microsoft ;-)
Na dann… einen schönen stressfreien Mittwoch
Jemand schon einen DC gemacht?
VM 2019 – ohne Probleme normaler Server, kein DC
Moin Günter.
Du schreibst "Eine Liste der Updates finden Sie auf dieser Microsoft-Seite". Der Link https://msrc.microsoft.com/update-guide verweist leider auf eine Liste vom April. Die aktuelle scheint Microsoft dort nicht mehr zu pflegen.
Man muss links oben den Zeitraum anpassen, dann wird auch August angezeigt.