[English]Am 12. November 2024 hat Microsoft Sicherheitsupdates für Windows-Clients und -Server, für Office – sowie für weitere Produkte – veröffentlicht. Die Sicherheitsupdates beseitigen 87 Schwachstellen (CVEs), davon vier kritische Sicherheitslücken, davon 4 als 0-day klassifiziert (zwei werden bereits ausgenutzt). Nachfolgend findet sich ein kompakter Überblick über diese Updates, die zum Patchday freigegeben wurden.
Anzeige
Hinweise zu den Updates
Eine Liste der Updates finden Sie auf dieser Microsoft-Seite. Details zu den Update-Paketen für Windows, Office etc. sind in separaten Blogbeiträgen verfügbar.
Windows 10/11, Windows Server
Alle Windows 10/11-Updates (sowie die Updates der Server-Pendants) sind kumulativ. Das monatliche Patchday-Update enthält alle Sicherheitsfixes für diese Windows-Versionen – sowie alle nicht sicherheitsbezogenen Fixes bis zum Patchday. Zusätzlich zu den Sicherheitspatches für die Schwachstellen enthalten die Updates auch Fixes zur Behebung von Fehlern oder Neuerungen.
Windows Server 2012 R2
Windows Server 2012 /R2 erhält bis Oktober 2023 regulär Sicherheitsupdates. Ab diesem Zeitpunkt ist eine ESU-Lizenz zum Bezug weiterer Sicherheitsupdates erforderlich (Windows Server 2012/R2 bekommt Extended Sicherheitsupdates (ESU) bis Oktober 2026).
Gefixte Schwachstellen
Bei Tenable gibt es diesen Blog-Beitrag mit einer Übersicht der gefixten Schwachstellen. Hier einige der kritischen Schwachstellen, die beseitigt wurden:
Anzeige
- CVE-2024-4345: NTLM Hash Disclosure Spoofing-Schwachstelle, CVEv3 Score 6.5, important; Ein Angreifer könnte diese als wichtig eingestufte Schwachstelle ausnutzen, indem er einen Benutzer dazu bringt, eine speziell gestaltete Datei zu öffnen. Eine erfolgreiche Ausnutzung würde zur unbefugten Offenlegung des NTLMv2-Hashs eines Benutzers führen, den ein Angreifer dann verwenden könnte, um sich als Benutzer am System zu authentifizieren. Laut Microsoft wurde CVE-2024-43451 in freier Wildbahn als Zero-Day ausgenutzt. Zum Zeitpunkt der Veröffentlichung dieses Blogeintrags waren keine weiteren Details zu dieser Sicherheitslücke verfügbar.
- CVE-2024-49039: Windows Task Scheduler Elevation of Privilege-Schwachstelle, CVEv3 Score 8.8, important; Ein Angreifer mit lokalem Zugriff auf ein anfälliges System könnte diese Sicherheitslücke ausnutzen, indem er eine speziell gestaltete Anwendung ausführt. Bei erfolgreicher Ausnutzung könnte ein Angreifer auf Ressourcen zugreifen, die ihm sonst nicht zur Verfügung stünden, und Code ausführen, z. B. RPC-Funktionen (Remote Procedure Call). Nach Angaben von Microsoft wurde CVE-2024-49039 in freier Wildbahn als Zero-Day ausgenutzt. Sie wurde Microsoft von einem anonymen Forscher zusammen mit Vlad Stolyarov und Bahare Sabouri von der Threat Analysis Group von Google offengelegt. Zum Zeitpunkt der Veröffentlichung dieses Blogeintrags waren keine weiteren Details über die Ausnutzung in freier Wildbahn verfügbar.
- CVE-2024-49019: Active Directory Certificate Services Elevation of Privilege-Schwachstelle, CVEv3 Score 7.8, important; Nach Angaben von Microsoft kann ein Angreifer bei erfolgreicher Ausnutzung Administratorrechte erlangen. In dem Advisory wird darauf hingewiesen, dass "Zertifikate, die mit einer Zertifikatsvorlage der Version 1 erstellt wurden, bei denen die Quelle des Betreffs auf 'In der Anfrage angegeben' gesetzt ist", potenziell betroffen sind, wenn die Vorlage nicht gemäß bewährter Verfahren gesichert wurde. Diese Sicherheitsanfälligkeit wird gemäß dem Exploitability Index von Microsoft als "Exploitation More Likely" eingestuft. Der Microsoft-Hinweis enthält auch mehrere Maßnahmen zur Absicherung von Zertifikatsvorlagen, deren Durchsicht wir dringend empfehlen.
- CVE-2024-49040: Microsoft Exchange Server Spoofing-Schwachstelle, CVEv3 Score 7.5, important; Nach Angaben von Microsoft wurde diese Sicherheitslücke öffentlich bekannt, bevor ein Patch zur Verfügung gestellt wurde. Nach der Anwendung des Updates sollten Administratoren den Support-Artikel Exchange Server non-RFC compliant P2 FROM header detection lesen. Der ergänzende Leitfaden weist darauf hin, dass das Exchange Server-Update für November als Teil eines „Secure by Default"-Ansatzes verdächtige E-Mails kennzeichnet, die „bösartige Muster im P2 FROM-Header" enthalten könnten. Obwohl diese Funktion deaktiviert werden kann, empfiehlt Microsoft dringend, sie aktiviert zu lassen, um weiteren Schutz vor Phishing-Versuchen und bösartigen E-Mails zu bieten.
- CVE-2024-43639: Windows Kerberos Remote Code Execution-Schwachstelle, CVEv3 Score 9.8, critical; Die kritische RCE-Schwachstelle, die Windows Kerberos betrifft, ein Authentifizierungsprotokoll zur Überprüfung von Benutzer- oder Host-Identitäten, wurde als "Exploitation Less Likely" eingestuft. Um diese Schwachstelle auszunutzen, muss ein nicht authentifizierter Angreifer eine Schwachstelle im kryptografischen Protokoll ausnutzen, um einen RCE zu erreichen. Zum Zeitpunkt der Veröffentlichung dieses Blogs wurden von Microsoft keine weiteren Details zu dieser Sicherheitslücke bekannt gegeben.
- CVE-2024-38255: Insgesamt 29 SQL Server Native Client Remote Code Execution-Schwachstellen, CVEv3 Score 8.8, important; Alle diese CVEs wurden als „Exploitation Less Likely" eingestuft. Eine erfolgreiche Ausnutzung dieser Schwachstellen kann erreicht werden, indem ein authentifizierter Benutzer dazu gebracht wird, eine Verbindung zu einer bösartigen SQL-Server-Datenbank mit einem betroffenen Treiber herzustellen. Eine vollständige Liste der CVEs ist in diesem Beitrag enthalten.
- CVE-2024-43602: Azure CycleCloud Remote Code Execution-Schwachstelle, CVEv3 Score 9.9, important; RCE-Schwachstelle in Azure CycleCloud von Microsoft, einem Tool, das bei der Verwaltung und Orchestrierung von HPC-Umgebungen (High Performance Computing) in Azure hilft. Diese Schwachstelle erhielt die höchste CVSSv3-Bewertung des Monats, eine 9,9, wurde aber nur als wichtig eingestuft. Ein Benutzer mit grundlegenden Rechten könnte CVE-2024-43602 ausnutzen, indem er speziell gestaltete Anfragen an einen anfälligen AzureCloud CycleCloud-Cluster sendet, um dessen Konfiguration zu ändern. Bei erfolgreicher Ausnutzung würde der Benutzer Root-Berechtigungen erhalten, mit denen er Befehle auf jedem Cluster in der Azure CycleCloud ausführen und Administrator-Anmeldeinformationen stehlen könnte.
Eine Liste aller aufgedeckten CVEs finden Sie auf dieser Microsoft-Seite, Auszüge sind bei Tenable abrufbar. Nachfolgend noch die Liste der gepatchten Produkte:
- .NET and Visual Studio
- Airlift.microsoft.com
- Azure CycleCloud
- Azure Database for PostgreSQL
- LightGBM
- Microsoft Exchange Server
- Microsoft Graphics Component
- Microsoft Office Excel
- Microsoft Office Word
- Microsoft PC Manager
- Microsoft Virtual Hard Drive
- Microsoft Windows DNS
- Role: Windows Hyper-V
- SQL Server
- TorchGeo
- Visual Studio
- Visual Studio Code
- Windows Active Directory Certificate Services
- Windows CSC Service
- Windows DWM Core Library
- Windows Defender Application Control (WDAC)
- Windows Kerberos
- Windows Kernel
- Windows NT OS Kernel
- Windows NTLM
- Windows Package Library Manager
- Windows Registry
- Windows SMB
- Windows SMBv3 Client/Server
- Windows Secure Kernel Mode
- Windows Task Scheduler
- Windows Telephony Service
- Windows USB Video Driver
- Windows Update Stack
- Windows VMSwitch
- Windows Win32 Kernel Subsystem
Ähnliche Artikel:
Microsoft Security Update Summary (12. November 2024)
Patchday: Windows 10/Server-Updates (12. November 2024)
Patchday: Windows 11/Server 2022-Updates (12. November 2024)
Patchday: Windows Server 2012 / R2 und Windows 7 (12. November 2024)
Patchday: Microsoft Office Updates (12. November 2024)
Anzeige
Hat jemand Probleme mit Browser-Tabs oder allgemein erhöhtem RAM-Verbrauch nach der Installation der November-Updates?
2.
Edge kopiert (klaut) vom Chrome Tabs und der Schließen-Button des Dialogfensters und die Abwahloption sind etwas versteckt platziert.
winfuture. de/news,146685.html
www. theverge. com/2024/11/12/24294454/microsoft-edge-chrome-tabs-prompt-trick
Dadurch wird auch die Browser-History des Chrome zu Microsoft kopiert.
Oooooha es artet langsam aus :D
Die Updates:
– KB5046705 (security-only, Windows Server 2008 R2)
– KB5046687 (Rollup, Windows Server 2008 R2)
zerstören alle älteren legacy Browser (Chrome 109, Edge 109, Firefox ESR 115, Opera 95).
Alle Programme, die das "Chromium Embedded Framework" (CEF) benutzen, funktionieren nicht mehr.
Siehe die übereinstimmenden Nutzer-Berichte im MDL-Forum.
Ein paar der gehackten neueren Browser wie Supermium laufen weiter (v124 läuft aber nicht).
Die ungoogled-Version des Chromium 109 funktioniert noch.
Hat Microsoft da zusammen mit Google einen Sabotage-Patch erfunden?
RedFox-Browser funktioniert noch.
Möchte Microsoft generell den Browsereinsatz auf Servern verbieten oder dient diese Aktion nur der Sabotage von Win7-Updates?
Sind die Server 2012 und höher auch von diesem Effekt betroffen?
Vor der Installation der November-Updates Backup machen!
Wie abbodi1406 im MDL-Forum geschrieben hat:
"They probably assume Server 2008 R2 machines are not for Browsing"
Hab hier noch eine Win 7 Kiste rumstehen, ist etwa 15 Jahre alte Hardware. Mal abwarten wie das mit den Browsern weitergeht und dann in der Black Friday Week neuen Compi zulegen.
Gestern wurde der neue "Supermium 126.0.6478.256 R5" veröffentlicht.
Der basiert auf Chromium ESR.
Der funktioniert auf Windows 7 (bisher ohne die November-Updates getestet).
Mit der Datei "Supermium (Classic Ungoogled).cmd" kann man ihn auch als ungoogled Chromium laufen lassen.
github. com/win32ss/supermium/releases
"Microsoft Visual C++ Redistributable Runtimes 2015-2022 v14.42.34433.0"
wurde gestern für alle Betriebssysteme veröffentlicht.
www. computerbase. de/downloads/systemtools/visual-c-redistributable-runtimes/
Installation auf Windows 7 funktioniert problemlos.
Exchange 2016 Probleme bei Installation?
Nach Update von MS Server 2016 hatte der Installer noch eine ganze Zeit gewerkelt. Normal. Dann habe ich Exchange 2016 SU (KB5044062) installiert.
Die Installation lief durch und das System wurde neu gestartet.
Nach einer Stunde(!) stand immer noch die Meldung "Windows wird vorbereitet Schalten Sie den Computer nicht aus". Outlook hatte noch Zugriff auf Exchange und lt. vSphere/CPU-Last tat sich noch etwas. Ich habe mich dann getraut nach fast 1,5Std der VM den Saft abzudrehen und hatte schon damit gerechnet den Snapshot wiederherzustellen zu müssen…
Nach dem Neustart wird KB5044062 als installiert angezeigt. Wüsste nicht wie ich prüfen soll ob das so ist. Server läuft wie gehabt.
Hat die Installation bei euch auch länger als gewöhnlich gedauert?
bei mir geht es um Server 2022 mit 2 virtuellen servern, auf diesen dauerte es deutlich länger lief aber durch, auf der Box, also dem Hardware Server war kb5046616 auch nach 2,5 Stunden noch bei 74%, Versuch Neustart in der Situation führte dazu dass er sich beim runterfahren aufhängte, harter Neustart, Update neu gestartet, jetzt lief es in 15 mins durch, seither alles stabil. Im reddit findet man Einträge von bis zu 2,5 Stunden für das genannte update
Ich schaue immer vor dem Neustart im Taskmanager, ob die TiWorker.exe oder die Mscorsvw.exe noch hohe CPU Leistung zieht (meist ein Kern dicht).
Ich warte dann immer, bis diese ruhig sind und Starte dann den Server erst neu.
Seitdem hatte ich am Exchange Server nie mehr das von dir beschriebene Verhalten, dass sehr lange (teils Stunden) "Windows wird vorbereitet Schalten Sie den Computer nicht aus" stehen geblieben ist.
Da es noch keinen separaten Patch Post für die Office Updates ausm November gibt, schreibe ich es mal hier. Vielleicht kann man da ja nen separaten Post drauß machen.
Seit der Installation der Office Updates für Office 2016 scheint es Probleme mit dem Laden von Add-Ins zu geben.
Excel versucht beispielsweise die Datei "C:\Users\username\AppData\Roaming\Microsoft\AddIns\LASSIST.XLA" zu laden, obwohl diese in Wirklichkeit "VLASSIST.XLA" heißt.
Manuelles entfernen des falschen Addins und erneutes hinzufügen des Addins macht, dass es erstmal wieder funktioniert, nach einem Neustart von Excel ist es aber wieder kaputt und er versucht wieder das Addin mit falschem Dateinamen zu finden.
Benennt man die Datei z.B. in "LASSIST.XLA" um, so lädt er das Addin korrekt, solange man es mit dem Namen "VLASSIST.XLA" eingebunden lässt.
Da hat Microsoft wohl wieder was feines gebastelt.
ja ich erwähne das im kommenden Post
Wird inzwischen auch hier thematisiert: https://www.reddit.com/r/sysadmin/comments/1gqjq6v/office_addins_broken_after_updates/ & https://www.reddit.com/r/sysadmin/comments/1gqo5ou/kb5002653_breaks_excel_xla_xlam_addins/
Ich habe es im Blog-Beitrag Excel 2016 kann nach Nov. 2024 Update KB5002653 keine Add-Ins mehr laden thematisiert.
Wir haben dasselbe Problem mit folgendem Add-In:
C:\Program Files (x86)\JetReports\JetReports.xll
Im Office Alert wird folgendes gemeldet:
Microsoft Excel
Wir konnten ':\Program Files (x86)\JetReports\JetReports.xll' nicht finden. Wurde das Objekt vielleicht verschoben, umbenannt oder gelöscht?
P1: 100202
P2: 16.0.5474.1000
P3:
P4:
Es Sieht so aus, als ob hier der Laufwerksbuchstabe (also das erste Zeichen) verschluckt wird. Hier hilft also leider kein umbenennen.
Gibt es irgendwelche Ideen?
Schau in meinen im vorher verlinkten Blog-Beitrag