[English]Am 12. September 2023 hat Microsoft Sicherheitsupdates für Windows-Clients und -Server, für Office- sowie für weitere Produkte – veröffentlicht. Die Sicherheitsupdates beseitigen 61 CVE-Schwachstellen, zwei sind 0-day Schwachstellen. Nachfolgend findet sich ein kompakter Überblick über diese Updates, die zum Patchday freigegeben wurden.
Anzeige
Hinweise zu den Updates
Eine Liste der Updates finden Sie auf dieser Microsoft-Seite. Details zu den Update-Paketen für Windows, Office etc. sind in separaten Blogbeiträgen verfügbar.
Windows 10/11, Windows Server
Alle Windows 10/11-Updates (sowie die Updates der Server-Pendants) sind kumulativ. Das monatliche Patchday-Update enthält alle Sicherheitsfixes für diese Windows-Versionen – sowie alle nicht sicherheitsbezogenen Fixes bis zum Patchday. Zusätzlich zu den Sicherheitspatches für die Schwachstellen enthalten die Updates auch Fixes zur Behebung von Fehlern oder Neuerungen.
Windows 7 SP1/Windows Server 2012 R2
Windows 7 SP1 wird seit Januar 2020 nicht mehr unterstützt. Nur Kunden mit einer ESU-Lizenz für das 4. Jahr (oder Umgehungsmaßnahmen) erhalten noch Updates. Updates können auch aus dem Microsoft Update Catalog heruntergeladen werden. Windows Server 2012 /R2 erhält bis Oktober 2023 Sicherheitsupdates.
Gefixte Schwachstellen
Bei Tenable gibt es diesen Blog-Beitrag mit einer Übersicht der gefixten CVE-Schwachstellen. Hier einige der kritischen Schwachstellen, die beseitigt wurden:
Anzeige
- CVE-2023-36761: Microsoft Word Information Disclosure-Schwachstelle, CVEv3 Score 6.2, important; Es handelt sich um eine (vom Microsoft Threat Intelligence Team entdeckte) Sicherheitslücke in Microsoft Word, durch die Informationen preisgegeben werden. Nach Angaben von Microsoft wurde sie als Zero-Day-Lücke ausgenutzt und öffentlich bekannt gemacht, bevor ein Patch verfügbar war. Laut Microsoft ist das Vorschaufenster ein Angriffsvektor, d. h. die einfache Vorschau einer speziell gestalteten Datei kann zur Auslösung der Schwachstelle führen. Eine erfolgreiche Ausnutzung dieser Schwachstelle würde die Offenlegung von NTLM-Hashes (New Technology LAN Manager) ermöglichen. NTLM-Hashes könnten in NTLM-Relay- oder Pass-the-Hash-Angriffen missbraucht werden. Der Entdecker hat angekündigt, Code und PoC bald zu veröffentlichen.
- CVE-2023-36802: Microsoft Streaming Service Proxy Elevation of Privilege-Schwachstelle; CVEv3 Score 7.8; important; Die Ausnutzung dieser Schwachstelle würde einem Angreifer SYSTEM-Rechte verleihen. Nach Angaben von Microsoft wurde die Schwachstelle bereits als Zero-Day ausgenutzt. Die Entdeckung dieser Schwachstelle ist Valentina Palmiotti von IBM X-Force, Quan Jin und ze0r vom DBAPPSecurity WeBin Lab sowie dem Microsoft Security Response Center (MSRC) und Microsoft Threat Intelligence zu verdanken.
- CVE-2023-36744, CVE-2023-3674, CVE-2023-36756: Microsoft Exchange Server Remote Code Execution-Schwachstellen; CVEv3 Score 8.0, important; Um diese Sicherheitslücken erfolgreich auszunutzen, muss sich ein Angreifer mit LAN-Zugang authentifizieren und über gültige Anmeldedaten für einen Exchange-Benutzer verfügen. Die Schwachstellen wurden aber von Microsoft als "Exploitation More Likely" eingestuft. Es gibt ein separates CVE-2023-36777, welches ebenfalls gepatcht und als "Exploitation More Likely" eingestuft wurde. Die CVEs wurden im August 2023 mit Patches geschlossen, siehe nachfolgende Anmerkung.
- CVE-2023-38143, CVE-2023-38144: Windows Common Log File System Driver Elevation of Privilege-Schwachstellen; CVEv3 Score 7.8, important; Die Schwachstellen im Windows Common Log File System (CLFS)-Treiber ermöglichen eine Privilegienerhöhung und die Ausnutzung wird durch Microsoft als als "Exploitation More Likely" eingestuft. Ein authentifizierter Angreifer könnte diese Schwachstellen ausnutzen, um SYSTEM-Rechte zu erlangen.
Eine Liste aller abgedeckten CVEs finden Sie auf dieser Microsoft-Seite, die Seite bei Tenable ordnet die Schwachstellen teilweise noch im Kontext für 2023 ein. Bezüglich Microsoft Exchange gibt es diesen Techcommunity-Post des Exchange Teams, welches die oben erwähnten, aber bereits im August 2023 gepatchten, CVEs erläutert. Nachfolgend noch die Liste der gepatchten Produkte:
- .NET and Visual Studio
- .NET Core & Visual Studio
- .NET Framework
- 3D Builder
- 3D Viewer
- Azure DevOps
- Azure HDInsights
- Microsoft Azure Kubernetes Service
- Microsoft Dynamics
- Microsoft Dynamics Finance & Operations
- Microsoft Exchange Server
- Microsoft Identity Linux Broker
- Microsoft Office
- Microsoft Office Excel
- Microsoft Office Outlook
- Microsoft Office SharePoint
- Microsoft Office Word
- Microsoft Streaming Service
- Microsoft Windows Codecs Library
- Visual Studio
- Visual Studio Code
- Windows Cloud Files Mini Filter Driver
- Windows Common Log File System Driver
- Windows Defender
- Windows DHCP Server
- Windows GDI
- Windows Internet Connection Sharing (ICS)
- Windows Kernel
- Windows Scripting
- Windows TCP/IP
- Windows Themes
Ähnliche Artikel:
Microsoft Security Update Summary (12. September 2023)
Patchday: Windows 10-Updates (12. September 2023)
Patchday: Windows 11/Server 2022-Updates (12. September 2023)
Patchday: Windows 7/Server 2008 R2; Server 2012 R2 Updates (12. September 2023)
Patchday: Microsoft Office Updates (12. September 2023)
Windows 11 22H2: Preview Update KB5029351 (22. August 2023)
Windows 11 21H2: Preview-Update KB5029332 (22. August 2023)
Windows 10 22H2 Preview Update KB5029331 (22. August 2023)
Anzeige
Die Exchange sind aber nur nachträgliche Informationen, da sie im August su gefixt worden.
Habe ich auch gesehen:
„The Exchange Server CVEs released today can be addressed by installing the August 2023 SU."
„There is no separate Exchange Server SU for September 2023. If you have not yet installed the August 2023 SU, please do so now."
https://techcommunity.microsoft.com/t5/exchange-team-blog/september-2023-release-of-new-exchange-server-cves-resolved-by/ba-p/3924063
Ist inzwischen von mir angemerkt – bin heute etwas später mit der Patchday Aufbereitung gestartet.
Server 2019 VM – installiert – alles in Ordnung.
Jemand schon einen DC gemacht?
Bisher nur ne 2016er 0815-VM, die läuft auch. Eigentlich traurig, dass man das erwähnen muss :)
Windows Server 2019 als DC auf Dell PowerEdge T150 – Update-Installation und Neustart unauffällig, alles funktioniert, keine Probleme (bisher)
DC Server 2019. Hat diesmal ca. 25Min statt ca. 20Min inkl. Neustart gedauert. War länger als sonst bei Install=20%. Sonst nichts aufgefallen.
Ist die angekündigte Abschaltung von TLS 1.0 und 1.1 enthalten?
Das geht in den Insider Builds von Windows 11 diesen Monat los.
https://techcommunity.microsoft.com/t5/windows-it-pro-blog/tls-1-0-and-tls-1-1-soon-to-be-disabled-in-windows/ba-p/3887947
Aktuell zwei aktiv ausgenutzte Lücken: CVE-2023-36761 und CVE-2023-36802
Oder hab ich noch was übersehen?
Dazu kommt dann noch Adobe Reader mit CVE-2023-26369, und die Heap buffer overflow Lücke in WebP CVE-2023-4863, die Google Chrome, Edge, Firefox und Thunderbird betrifft. Schöne Sammlung mal wieder ;)
Bisher alle Windows Systeme (Windows 10 20H2, Server 2012 bis 2019) alles ohne Auffälligkeiten oder Probleme.
Könnte der erste Patchday seit langem sein, welcher (bisher) noch keine Probleme hat.
Dafür gab es ja genügend andere Produkte zu patchen wie Browser, Adobe, Notepad ++, AMD Spectre v2, ggfls. SAP).
Browser bei uns per Autoupdate.
Die o.g. Drittanbieter Updates bisher auch ohne Probleme.