Microsoft Security Update Summary (14. November 2023)

[English]Am 14. November 2023 hat Microsoft Sicherheitsupdates für Windows-Clients und -Server, für Office – sowie für weitere Produkte  – veröffentlicht. Die Sicherheitsupdates beseitigen 57 Schwachstellen (CVEs), drei sind 0-day-Sicherheitslücken, die bereits ausgenutzt werden. Nachfolgend findet sich ein kompakter Überblick über diese Updates, die zum Patchday freigegeben wurden.

Hinweise zu den Updates

Eine Liste der Updates finden Sie auf dieser Microsoft-Seite. Details zu den Update-Paketen für Windows, Office etc. sind in separaten Blogbeiträgen verfügbar.

Windows 10/11, Windows Server

Alle Windows 10/11-Updates (sowie die Updates der Server-Pendants) sind kumulativ. Das monatliche Patchday-Update enthält alle Sicherheitsfixes für diese Windows-Versionen – sowie alle nicht sicherheitsbezogenen Fixes bis zum Patchday. Zusätzlich zu den Sicherheitspatches für die Schwachstellen enthalten die Updates auch Fixes zur Behebung von Fehlern oder Neuerungen.

Windows 7 SP1/Windows Server 2012 R2

Windows 7 SP1 wird seit Januar 2020 nicht mehr unterstützt. Nur Kunden mit einer ESU-Lizenz für das 4. Jahr (oder Umgehungsmaßnahmen) erhalten noch Updates. Updates können auch aus dem Microsoft Update Catalog heruntergeladen werden. Windows Server 2012 /R2 erhält bis Oktober 2023 regulär Sicherheitsupdates. Ab diesem Zeitpunkt ist ebenfalls eine ESU-Lizenz zum Bezug weiterer Sicherheitsupdates erforderlich (Windows Server 2012/R2 bekommt Extended Sicherheitsupdates (ESU) bis Oktober 2026).

Gefixte Schwachstellen

Bei Tenable gibt es diesen Blog-Beitrag mit einer Übersicht der gefixten Schwachstellen. Hier einige der kritischen Schwachstellen, die beseitigt wurden:

• CVE-2023-36025: Windows SmartScreen Security Feature Bypass-Schwachstelle,  CVEv3 Score 8.8, important (wichtig); Die Schwachstelle ermöglicht die Umgehung von Sicherheitsfunktionen des Windows SmartScreen. Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er eine bösartige Internet-Verknüpfungsdatei (.URL) erstellt und eine Zielperson dazu bringt, auf die Datei oder einen Hyperlink zu klicken, der auf eine .URL-Datei verweist. Eine erfolgreiche Ausnutzung würde zu einer Umgehung der Sicherheitsüberprüfungen in Windows Defender SmartScreen führen. Nach Angaben von Microsoft wurde sie bereits als Zero-Day-Lücke ausgenutzt. Dies ist die dritte Windows SmartScreen Zero-Day-Schwachstelle, die im Jahr 2023 in freier Wildbahn ausgenutzt wurde, und die vierte in den letzten zwei Jahren (Details bei Tenable).
• CVE-2023-36033: Windows DWM Core Library Elevation of Privilege-Schwachstelle,  CVEv3 Score 7.8, important; Es ist eine EoP-Schwachstelle in der DWM Core Library in Microsoft Windows. Ein lokaler Angreifer, der sich auf einem anfälligen System befindet, könnte die Schwachstelle ausnutzen, um SYSTEM-Rechte zu erlangen. Die Schwachstelle wurde Microsoft von dem Sicherheitsforscher Quan Jin von DBAPPSecurity WeBin Lab gemeldet, dem auch die Entdeckung von zwei weiteren EoP-Zero-Day-Schwachstellen im Jahr 2023 zugeschrieben wird. Microsoft weist darauf hin, dass sie als Zero-Day-Lücke ausgenutzt und öffentlich bekannt wurde, bevor ein Patch verfügbar war.
• CVE-2023-36038: ASP.NET Core Denial of Service-Schwachstelle,  CVEv3 Score 8.2, important; Es ist eine Denial-of-Service-Schwachstelle (DoS) im Open-Source-Webanwendungs-Framework ASP.NET.  Microsoft stuft die Schwachstelle gemäß dem Microsoft Exploitability Index als weniger wahrscheinlich für eine Ausnutzung ein. Ein Angreifer könnte eine OutOfMemoryException auslösen, was zu einem DoS-Zustand führen würde. Microsoft weist darauf hin, dass diese Sicherheitsanfälligkeit öffentlich bekannt gemacht wurde, jedoch keine Ausnutzung in the wild" beobachtet wurde.
• CVE-2023-36036: Windows Cloud Files Mini Filter Driver Elevation of Privilege-Schwachstelle,  CVEv3 Score 7.8, important; Es ist eine EoP-Schwachstelle in Microsoft Windows Cloud Files Mini Filter Driver (cldflt.sys). Laut Microsoft wurde die Schwachstelle in freier Wildbahn ausgenutzt und wird sowohl dem Microsoft Threat Intelligence Center (MSTIC) als auch dem Microsoft Security Response Center (MSRC) zugeschrieben. Microsoft hat zwar keine genauen Angaben zu dieser Schwachstelle gemacht, aber wie bei den meisten EoP-Schwachstellen kann ein lokaler Angreifer, wenn er diese Schwachstelle ausnutzt, seine Rechte auf SYSTEM erhöhen.
• CVE-2023-36413: Microsoft Office Security Feature Bypass-Schwachstelle,  CVEv3 Score 6.5, important; Es ist eine Schwachstelle in der Umgehung von Sicherheitsfunktionen in Microsoft Office (entdeckt von Eduardo Braun Prado und Will Dormann). Ein Angreifer könnte diese Sicherheitsanfälligkeit mit Social-Engineering-Taktiken ausnutzen, um ein Opfer davon zu überzeugen, eine bösartige Microsoft Office-Datei auf einem anfälligen System zu öffnen. Bei erfolgreicher Ausnutzung würden die Sicherheitsfunktionen von Microsoft Office zum Schutz der Benutzer, einschließlich der geschützten Dokumentansicht, umgangen, und die Datei würde im Bearbeitungsmodus statt im geschützten Modus geöffnet werden. Nach Angaben von Microsoft wurden Details zu dieser Schwachstelle öffentlich gemacht, bevor ein Patch zur Verfügung stand.
• CVE-2023-36439: Microsoft Exchange Server Remote Code Execution-Schwachstelle,  CVEv3 Score 8.8, important; Es ist eine RCE-Schwachstelle in Microsoft Exchange Server. Ein Angreifer, der sich bei einem anfälligen Exchange Server als gültiger Benutzer authentifiziert, könnte diese Sicherheitsanfälligkeit ausnutzen, um als NT AUTHORITY\SYSTEM RCE auf dem Backend des Serverpostfachs zu erlangen. Microsoft stuft diese Sicherheitsanfälligkeit als "Exploitation More Likely" ein. Es handelt sich um eine von vier Sicherheitslücken in Microsoft Exchange Server, die im Rahmen der Patch Tuesday-Veröffentlichung in diesem Monat gepatcht wurden.
• CVE-2023-36035, CVE-2023-36039, CVE-2023-36050: Microsoft Exchange Server Spoofing-Schwachstellen,  CVEv3 Score 8.0, important; Es sind Spoofing-Schwachstellen in Microsoft Exchange Server. Ein Angreifer könnte diese Schwachstellen ausnutzen, indem er über gültige Anmeldeinformationen für einen Exchange-Benutzer auf einer anfälligen Exchange Server-Instanz verfügt. Die Ausnutzung von CVE-2023-36035 und CVE-2023-36039 würde es einem Angreifer ermöglichen, auf den Net-NTLMv2-Hash des Benutzerkontos zuzugreifen, der in NTLM-Relay-Angriffen gegen andere Dienste verwendet werden könnte.

Zudem wurde CVE-2023-38545, eine SOCKS5 Heap Buffer Overflow-Schwachstelle in curl, die am 11. Oktober 2023 öffentlich wurde, geschlossen (siehe Windows: cURL 8.4.0 Update kommt zum 14. November 2023-Patchday).

Eine Liste aller abgedeckten CVEs finden Sie auf dieser Microsoft-Seite, Auszüge sind bei Tenable abrufbar. Nachfolgend noch die Liste der gepatchten Produkte:

• .NET Framework
• ASP.NET
• Azure
• Azure DevOps
• Microsoft Bluetooth Driver
• Microsoft Dynamics
• Microsoft Dynamics 365 Sales
• Microsoft Exchange Server
• Microsoft Office
• Microsoft Office Excel
• Microsoft Office SharePoint
• Microsoft Remote Registry Service
• Microsoft WDAC OLE DB provider for SQL
• Microsoft Windows Search Component
• Microsoft Windows Speech
• Open Management Infrastructure
• Tablet Windows User Interface
• Visual Studio
• Visual Studio Code
• Windows Authentication Methods
• Windows Cloud Files Mini Filter Driver
• Windows Common Log File System Driver
• Windows Compressed Folder
• Windows Defender
• Windows Deployment Services
• Windows DHCP Server
• Windows Distributed File System (DFS)
• Windows DWM Core Library
• Windows HMAC Key Derivation
• Windows Hyper-V
• Windows Installer
• Windows Internet Connection Sharing (ICS)
• Windows Kernel
• Windows NTFS
• Windows Protected EAP (PEAP)
• Windows Scripting
• Windows SmartScreen
• Windows Storage

Ähnliche Artikel:
Microsoft Security Update Summary (14. November 2023)
Patchday: Windows 10-Updates (14. November 2023)
Patchday: Windows 11/Server 2022-Updates (14. November 2023)
Windows 7/Server 2008 R2; Server 2012 R2: Updates (14. November 2023)
Microsoft Office Updates (14. November 2023)
Microsoft Office Updates (7. November 2023)

Exchange Server Sicherheitsupdates (14. November 2023)
Windows: cURL 8.4.0 Update kommt zum 14. November 2023-Patchday