[English]Am 14. März 2023 (zweiter Dienstag im Monat, Microsoft Patchday) hat Microsoft mehrere sicherheitsrelevante Updates für noch unterstützte Microsoft Office Versionen und andere Produkte veröffentlicht. In Word wird eine kritische Remote Code Execution-Schwachstelle geschlossen. Nachfolgend finden Sie eine Übersicht über die verfügbaren Updates.
Eine Übersicht über die Updates finden Sie auf dieser Webseite (und hier für diesen Monat). Details sind in den verlinkten KB-Artikeln dokumentiert. Die Updates stehen für die installierbare MSI-Version von Microsoft Office bereit (die Click-to-Run-Pakete beziehen die Updates über andere Kanäle). Office 2019 erscheint nicht in der Liste, da es über Click-to-Run-Pakete verteilt wird und Sicherheitsupdates über die Office Update-Funktion erhält.
Office 2016
Die folgenden Sicherheitsupdates wurden für Office 2016 veröffentlicht.
- Excel 2016: Beschreibung des Sicherheitsupdates für Excel 2016: 14. März 2023 (KB5002351); Behebt eine Spoofing-Schwachstelle CVE-2023-23398 in Microsoft Excel und eine Sicherheitsanfälligkeit CVE-2023-23399 für Remotecodeausführung in Microsoft Excel.
- Office 2016: Beschreibung des Sicherheitsupdates für Office 2016: 14. März 2023 (KB5002197); Dieses Sicherheitsupdate Behebt eine Sicherheitsanfälligkeit CVE-2023-23399 in Microsoft Excel bezüglich Remotecodeausführung.
- Outlook 2016: Beschreibung des Sicherheitsupdates für Outlook 2016: 14. März 2023 (KB5002254); Mit diesem Sicherheitsupdate wird eine kritische Sicherheitslücke CVE-2023-23397, die Rechteerweiterungen in Microsoft Outlook ermöglicht, behoben.
Details zu den Office-Updates sind den verlinkten KB-Artikeln zu entnehmen. Korrigiert ihr /en-us/ in der URL in /de-de/, wird der Supportbeitrag der deutschen Microsoft-Seiten angezeigt.
Ergänzung: Zur Outlook-Schwachstelle gibt es einen separaten Beitrag Outlook wegen kritischer Schwachstelle CVE-2023-23397 patchen.
Office 2013
Für Office 2013 muss das Service Pack 1 für Microsoft Office 2013 installiert sein. Die folgenden Sicherheitsupdates wurden veröffentlicht (sind die gleichen Patches wie für Office 2016).
- Excel 2013: Beschreibung des Sicherheitsupdates für Excel 2013: 14. März 2023 (KB5002348)
- Office 2013: Beschreibung des Sicherheitsupdates für Office 2013: 14. März 2023 (KB5002198)
- Outlook 2013: Beschreibung des Sicherheitsupdates für Outlook 2013: 14. März 2023 (KB5002265)
Details zu den Office-Updates sind den verlinkten KB-Artikeln zu entnehmen.
Weitere Updates für Office/SharePoint Server
Microsoft hat außerdem Sicherheitsupdates für verschiedene Versionen von Microsoft SharePoint Server veröffentlicht.
SharePoint Server Subscription Edition
- SharePoint Server-Abonnementedition; Beschreibung des Sicherheitsupdates für SharePoint Server-Abonnementedition: 14. März 2023 (KB5002355)
SharePoint Server 2019
- SharePoint Server 2019: Beschreibung des Sicherheitsupdates für SharePoint Server 2019: 14. März 2023 (KB5002358)
- SharePoint Server 2019 Sprachpaket: Update vom 14. März 2023 für SharePoint Server 2019 Language Pack (KB5002357)
Microsoft SharePoint Server 2016
- SharePoint Enterprise Server 2016: Beschreibung des Sicherheitsupdates für SharePoint Enterprise Server 2016: 14. März 2023 (KB5002368)
Microsoft SharePoint Server 2013
- Project Server 2013: Kumulatives Update für Project Server 2013 vom 14. März 2023 (KB5002364)
- SharePoint Enterprise Server 2013: Beschreibung des Sicherheitsupdates für SharePoint Enterprise Server 2013: 14. März 2023 (KB5002168)
- SharePoint Enterprise Server 2013: Kumulatives Update vom 14. März 2023 für SharePoint Enterprise Server 2013 (KB5002366)
- SharePoint Foundation 2013: Beschreibung des Sicherheitsupdates für SharePoint Foundation 2013: 14. März 2023 (KB5002367)
- SharePoint Foundation 2013: Kumulatives Update vom 14. März 2023 für SharePoint Foundation 2013 (KB5002363)
Office Online Servers
- Office Online Server: Beschreibung des Sicherheitsupdates für Office Online Server: 14. März 2023 (KB5002356)
- Office Web Apps Server 2013: Beschreibung des Sicherheitsupdates für Office Web-Apps Server 2013: 14. März 2023 (KB5002362)
Ähnliche Artikel:
Microsoft Security Update Summary (14. März 2023)
Patchday: Windows 10-Updates (14. März 2023)
Patchday: Windows 11/Server 2022-Updates (14. März 2023)
Windows 7/Server 2008 R2; Server 2012 R2: Updates (14. März 2023)
Patchday: Microsoft Office Updates (14. März 2023)
Exchange Server Sicherheitsupdates (14. März 2023)
So richtig raus kommt hier nicht, wie kritisch CVE-2023-23397 eigentlich ist. Das bloße Empfangen der Mail reicht schon, der Benutzer muss sie nicht mal ansehen, um den Angriff zu starten. Allerdings braucht der Angreifer auch noch einen unter seiner Kontrolle stehenden Fileserver oder zumindestens etwas was sich so verhält, um die NTLM-Hashes abzugreifen, und der vom Opfer-PC aus erreichbar ist.
Hier fand ich die Erklärung ganz gut: Outlook: kritische Sicherheitslücke CVE-2023-23397
Man versucht einen externen Fileserver über Port 445 zu kontaktieren. Da Outlook dabei wohl automatisch seine Anmeldehashes überträgt, reicht diese Kontaktaufnahme wohl aus.
Sofern der ausgehende Port 445 dicht ist, passiert erst einmal nichts weiter.
Es sei denn der Angreifer konnte sich schon intern einnisten, der brühmte RaspberryPi im Kabelkanal…
Ich verstehe die Artikel so, dass der Angreifer eine Fileserver auch aus dem Internet angeben kann, also braucht er wahrscheinlich keinen internen Fileserver zu kapern
Zur Outlook-Schwachstelle gibt es einen separaten Beitrag Outlook wegen kritischer Schwachstelle CVE-2023-23397 patchen.
Auch wer eine FRITZ!Box nutzt, ist wohl schon mal geschützt:
Datei- und Druckerfreigaben eines Computers sind über das Internet nicht erreichbar