[English]Am 13. Februar 2024 hat Microsoft Sicherheitsupdates für Windows-Clients und -Server, für Office – sowie für weitere Produkte – veröffentlicht. Die Sicherheitsupdates beseitigen 73 Schwachstellen (CVEs), zwei sind 0-day Sicherheitslücken, die bereits ausgenutzt werden. Nachfolgend findet sich ein kompakter Überblick über diese Updates, die zum Patchday freigegeben wurden.
Anzeige
Hinweise zu den Updates
Eine Liste der Updates finden Sie auf dieser Microsoft-Seite. Details zu den Update-Paketen für Windows, Office etc. sind in separaten Blogbeiträgen verfügbar.
Windows 10/11, Windows Server
Alle Windows 10/11-Updates (sowie die Updates der Server-Pendants) sind kumulativ. Das monatliche Patchday-Update enthält alle Sicherheitsfixes für diese Windows-Versionen – sowie alle nicht sicherheitsbezogenen Fixes bis zum Patchday. Zusätzlich zu den Sicherheitspatches für die Schwachstellen enthalten die Updates auch Fixes zur Behebung von Fehlern oder Neuerungen.
Windows 7 SP1/Windows Server 2012 R2
Windows 7 SP1 wird seit Januar 2020 nicht mehr unterstützt. Nur Kunden mit einer ESU-Lizenz für das 4. Jahr (oder Umgehungsmaßnahmen) erhalten noch Updates. Updates können auch aus dem Microsoft Update Catalog heruntergeladen werden. Windows Server 2012 /R2 erhält bis Oktober 2023 regulär Sicherheitsupdates. Ab diesem Zeitpunkt ist ebenfalls eine ESU-Lizenz zum Bezug weiterer Sicherheitsupdates erforderlich (Windows Server 2012/R2 bekommt Extended Sicherheitsupdates (ESU) bis Oktober 2026).
Gefixte Schwachstellen
Bei Tenable gibt es diesen Blog-Beitrag mit einer Übersicht der gefixten Schwachstellen. Hier einige der kritischen Schwachstellen, die beseitigt wurden:
Anzeige
- CVE-2024-21351: Windows SmartScreen Security Feature Bypass-Schwachstelle, CVEv3 Score 7.6, moderat; Ein Angreifer könnte diese Sicherheitslücke ausnutzen, indem er ein Ziel dazu bringt, eine bösartige Datei zu öffnen. Bei erfolgreicher Ausnutzung würden die SmartScreen-Sicherheitsfunktionen umgangen. Laut Microsoft wurde diese Sicherheitsanfälligkeit bereits als Zero-Day ausgenutzt, obwohl zakutell noch keine genauen Details über die Ausnutzung bekannt sind.
- CVE-2024-21412: Internet Shortcut Files Security Feature Bypass-Schwachstelle, CVEv3 Score 8.1, important (wichtig); Umgehung der Sicherheitsfunktion in Internet-Verknüpfungsdateien; Um diese Schwachstelle auszunutzen, muss ein Angreifer die Zielperson (z.B. mithilfe von Social Engineering) davon überzeugen, eine bösartige Internet-Verknüpfungsdatei zu öffnen.
- CVE-2024-21410: Microsoft Exchange Server Elevation of Privilege-Schwachstelle, CVEv3 Score 9.8, critical (kritisch); eine kritische EoP-Schwachstelle, die gemäß dem Microsoft Exploitability Index als "Exploitation More Likely" eingestuft wird. Eine erfolgreiche Ausnutzung dieser Schwachstelle würde es einem Angreifer ermöglichen, einen New Technology LAN Manager Version 2 (NTLMv2) Hash gegen einen anfälligen Server weiterzuleiten. NTLM-Hashes könnten in NTLM-Relay- oder Pass-the-Hash-Angriffen missbraucht werden, um die Position eines Angreifers in einer Organisation zu stärken. Laut Microsoft ist vor Exchange Server 2019 Cumulative Update 14 und früher standardmäßig kein Schutz für NTLM-Zugangsdaten-Relay aktiviert. Der Microsoft-Hinweis enthält einen Link zu einem Skript zur Aktivierung des Schutzes (es wird Extended Protection benötigt) und empfiehlt die Installation des neuesten kumulativen Updates, auch wenn das Skript zur Aktivierung des NTLM-Anmeldeinformations-Relay-Schutzes bereits ausgeführt wurde.
- CVE-2024-21378: Microsoft Outlook Remote Code Execution-Schwachstelle, CVEv3 Score 8.0, important (wichtig); Diese Schwachstelle in Outlook wird als "Exploitation More Likely" eingestuft; Um diese Schwachstelle auszunutzen, müsste sich ein Angreifer mit LAN-Zugang authentifizieren und über eine gültige Anmeldung für einen Exchange-Benutzer verfügen. Wenn der Angreifer diese Voraussetzungen erfüllt, muss er seine in böser Absicht erstellte Datei an einen Benutzer senden und ihn dazu verleiten, sie zu öffnen. Laut Microsoft ist das Vorschaufenster ein Angriffsvektor, d. h. die Vorschau einer speziell präparierten Datei kann die Sicherheitslücke auslösen. Ergänzung: Details zur Schwachstelle wurden im März 2024 veröffentlicht, siehe Microsoft Outlook RCE-Schwachstelle CVE-2024-21378; im Februar 2024 gepatcht.
- CVE-2024-21338, CVE-2024-21345, CVE-2024-21371: Windows Kernel Elevation of Privilege-Schwachstellen, CVEv3 Score 7.0 (CVE-2024-21345) – 8.0 (CVE-2024-21371), important (wichtig); Die Schwachstelle CVE-2024-21371 wird als "Exploitation More Likely" eingestuft. Ein Angreifer könnte diese Schwachstellen im Rahmen von Aktivitäten nach der Kompromittierung ausnutzen, um die Berechtigungen auf SYSTEM zu erhöhen. Zusätzlich zu diesen EoP-Schwachstellen wurden diesen Monat drei weitere Windows-Kernel-Schwachstellen gepatcht:
CVE-2024-21340 Sicherheitsanfälligkeit im Windows-Kernel bezüglich der Offenlegung von Informationen; CVEv3 Score 4.6
CVE-2024-21341 Sicherheitslücke im Windows-Kernel bezüglich Remotecodeausführung; CVEv3 Score 6.8
CVE-2024-21362 Windows Kernel Security Feature Bypass Vulnerability; CVEv3 Score 5.5
Eine Liste aller abgedeckten CVEs finden Sie auf dieser Microsoft-Seite, Auszüge sind bei Tenable abrufbar. Nachfolgend noch die Liste der gepatchten Produkte:
- .NET
- Azure Active Directory
- Azure Connected Machine Agent
- Azure DevOps
- Azure File Sync
- Azure Site Recovery
- Azure Stack
- Internet Shortcut Files
- Microsoft ActiveX
- Microsoft Azure Kubernetes Service
- Microsoft Defender for Endpoint
- Microsoft Dynamics
- Microsoft Edge (Chromium-based)
- Microsoft Exchange Server
- Microsoft Office
- Microsoft Office OneNote
- Microsoft Office Outlook
- Microsoft Office Word
- Microsoft Teams for Android
- Microsoft WDAC ODBC Driver
- Microsoft WDAC OLE DB provider for SQL
- Microsoft Windows
- Microsoft Windows DNS
- Role: DNS Server
- SQL Server
- Skype for Business
- Trusted Compute Base
- Windows Hyper-V
- Windows Internet Connection Sharing (ICS)
- Windows Kernel
- Windows LDAP – Lightweight Directory Access Protocol
- Windows Message Queuing
- Windows OLE
- Windows SmartScreen
- Windows USB Serial Driver
- Windows Win32K – ICOMP
Ähnliche Artikel:
Office: Projekt Update KB5002530 vom 6. Februar 2024
Microsoft Security Update Summary (13. Februar 2024)
Patchday: Windows 10-Updates (13. Februar 2024)
Patchday: Windows 11/Server 2022-Updates (13. Februar 2024)
Windows Server 2012 / R2 und Windows 7/Server 2008 R2 (13. Februar 2024)
Microsoft Office Updates (13. Februar 2024)
Exchange Server Updates (13. Februar 2024)
Anzeige
Ah okay! Schön, dass CU 14 für Exchange 2019 veröffentlicht wurde! Lese ich richtig, dass es kein SU gibt, sondern man nur ein Script aktivieren muss? Wo finde ich das Script! Unter dem Link ist keines zu finden und bei Frankys Web auch noch Nix zu lesen :(
PS; ein Client schon mal erfolgreich ! Jemand schon Server gemacht?
Weder für 2016 CU23 noch für 2019 CU13 gibt es ein SU, solange du die Extended Protection aktiviert hast, so lese ich das, ist die CVE-2024-21410 abgesichert.
Windows Server 2016, 19, 22 schon alle durchgepatched.
Domain Controller auf Windows Server 2022 und Exchange 2019 CU13 auf einem Windows Server 2022 mit aktivierter Extended Protection, Healtchecker zeigt soweit keine Schwachstellen an.
Für Exchange 2016 steht hier, was ggf. zu tun ist:
https://learn.microsoft.com/en-us/exchange/plan-and-deploy/post-installation-tasks/security-best-practices/exchange-extended-protection?view=exchserver-2019
Exchange 2016 nicht betroffen? Update für Exchange 2016 scheint es auch nicht zu geben.
Doch, aber der 2016er benötigt keinen Patch. (Der 2019er auch nicht, der bekommt halt "nur" auch ein neues CU, wo dann auch EP standardmäßig aktiviert wird). Gegen die Lücke im CVE hilft nur Extended Protection zu aktivieren, dafür hat MS damals schon ein entsprechendes Skript bereit gestellt, als sie die Funktion letztes (oder vorletztes?) Jahr eingeführt haben. Falls du also EP schon eingeschaltet hast brauchst du nichts weiter machen.
Wäre man den erst einmal auch „abgesichert", wenn der Exchange von extern nicht erreichbar ist?
Extended Protection ist in unserem Fall etwas kompliziert wegen Hybrid Konfiguration.
Danke
in der Hybrid Classic Implementierung bist du voll EP kompatibel, nur in den anderen Abstufungen muss man aufpassen und Abstriche machen, soll aber auch Workarounds dafür geben (teilweises aktivieren)
Hallo, und wie steht es um das W10 Update vom letzten Monat, dass die BitLocker Schwachstelle ausbügeln sollte? Uwe
da gibt es noch immer keine Lösung seitens MS… auf entsprechenden Systemen wird das Update einfach nur ausgeblendet. Wird wohl so schnell auch nix kommen. Da musst du selbst Hand anlegen.
D.h. MS bekommt eine allgemeine Lösung nicht hin, aber selbst darf man sich dann das System zerschießen indem man Partitions verschiebt, löscht und verkleinert.
Wahrscheinlich wird das jetzt 1/2 Jahr unterdrückt bis dann wieder ein Update kommt, das die RecoveryPartition betrifft und dann werden von MS wieder die Scripts vorgeschlagen, welche nur bei einem Bruchteil der Anwender passt, nämlich jenen, die auch wie Partition am Ende der Kette haben.
Zwar vielleicht keine direkte Hilfe, aber ich habe meine privaten Rechner alle auf W11 gezogen (mit Rufus-optimierter ISO, weil vorher Gemecker wegen TPM usw.) und da kommt dieses Update nicht mehr vor.
Selbst die zig Fehlversuche vorher sind aus der Liste der installierten Updates verschwunden. Gibt nur noch erfolgreiche Updates… ;-)
Danke für den Tipp, aber bei meinem Vater ist Rechner – altersbedingt kein Update auf W11 möglich und sinnvoll. Selbst wenn man Windows irgendwie täuschen kann, beim übernächsten Update scheitert dann W11 wieder weil MS nachgebessert hat und feststellt das der Rechner zu alt ist.
Und im Unternehmensbereich sind dann solche "Bastellösungen" auch nicht erwünscht.
Ich selbst bin vor wenigen Jahren auf Linux Mint umgestiegen und bereue es kein bisschen – im Gegenteil bei solchen Themen bin ich erleichtert wie einfach dort die Updates flutschen…
CVE-2024-21351 ist ein 0-day. Welcher CVE ist der zweite, wie im ersten Absatz angedeutet? Danke für den Hinweis :)
Außerdem
– Microsoft Edge + WebView2 Runtime 121.0.2277.113 (mit Chrome-Patches von vor 1 Woche, die lassen sich Zeit…)
– Google Chrome 121.0.6167.184/185
– Adobe hat auch ein paar Sachen, u.a. schon am Montag Acrobat, aber auch andere – Creative-Cloud-Komponenten
Intel hat auch einige Sicherheitswarnungen / -Mitteilungen / -Bulletings veröffentlicht ..
https://www.intel.com/content/www/us/en/security-center/default.html
Ja, z.B. Lücken in Netzwerktreibern älter Version 28.2:
https://web.archive.org/web/20240216040442/https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00993.html
und in WiFi-Adaptern:
https://web.archive.org/web/20240214220542/https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00947.html
Chipsatz-Treibern:
https://web.archive.org/web/20240217101445/https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00928.html
etc. etc.
Gerade einen Artikel auf BleepingComputer gelesen, dass die Outlook Lücke nun doch ein Zero Day ist…
…heute Mittag hieß es noch anders…
https://www.bleepingcomputer.com/news/security/microsoft-new-critical-outlook-rce-bug-exploited-as-zero-day/
Und nun hat es Microsoft wieder geändert:
„Mistakenly updated exploited flag and exploitability assessment to indicate exploitation existed. Reverting values to no. This is an informational change only."
https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-21413