[English]Kleiner Nachtrag zur Schwachstelle CVE-2023-32019 im Windows Kernel. Microsoft hatte zum Patchday (13. Juni 2023) die betreffende Schwachstelle zwar gefixt, aber nicht scharf geschaltet. Über die Schwachstelle CVE-2023-32019 können Informationen abgegriffen werden. Zur Aktivierung des Fixes gegen die Schwachstelle konnten Administratoren bisher einen Registrierungseintrag unter Windows setzen. Nun hat Microsoft diese Absicherung gegen die Schwachstelle mit den Sicherheitsupdates vom 8. August 2023 automatisch für alle Nutzer scharf geschaltet.
Die Schwachstelle CVE-2023-32019
Die Schwachstelle CVE-2023-32019 wurde Microsoft von Mateusz Jurczyk vom Google Project Zero gemeldet und betrifft den Windows-Kernel. Ein Angreifer könnte diese Schwachstelle ausnutzen, um von einem privilegierten Prozess, der auf dem Server läuft, den Heap-Speicher auszulesen. Der Angreifer benötigt dazu keine Admin- oder andere erhöhte Rechte, muss aber authentifiziert sein.
Für die erfolgreiche Ausnutzung dieser Sicherheitsanfälligkeit muss ein Angreifer den Angriff aber mit einem anderen privilegierten Prozess koordinieren, der von einem anderen Benutzer im System ausgeführt wird. Daher stuft Microsoft die Sicherheitslücke zwar als „important“ ein, sieht aber die praktische Ausnutzbarkeit als gering an.
Juni 2023 Patchday (KB5028407)
Die Schwachstelle war im Juni 2023 per Update für Windows 10, Windows 11 und Windows Server 2019-2022 geschlossen worden (siehe auch Patchday: Windows 10-Updates (13. Juni 2023) und Patchday: Windows 11/Server 2022-Updates (13. Juni 2023)). Allerdings wurde der Fix nicht scharf geschaltet, wie man zum Beispiel im betreffenden Support-Artikel KB5028407 (englisch hier) lesen kann. Dort findet sich der Hinweis, dass der Patch wirkungslos ist, weil dieser Fix standardmäßig deaktiviert sei. Um diesen Fix anzuwenden, musste ein Registrierungseintrag gesetzt werden, der aber von der jeweiligen Windows-Version abhing. Ich hatte im Artikel Juni 2023 Patchday (KB5028407): Wichtig, Windows Kernel-Schwachstelle CVE-2023-32019 benötigt Registry-Fix die Einzelheiten aufbereitet.
Fix für CVE-2023-32019 aktiviert
Zum August 2023 Patchday (8.8.2023) hat Microsoft dann den Patch allgemein für betroffene Windows-Versionen scharf geschaltet. Im englischsprachigen Support-Artikel KB5028407 heißt es nun:
IMPORTANT The resolution described in this article has been released enabled by default. To apply the enabled by default resolution, install the Windows update that is dated on or after August 8, 2023. No further user action is required.
Das war an mir vorbei gegangen, aber den Leuten bei neowin.net ist aufgefallen, und sie haben es zum 10. August 2023 in diesem Artikel angesprochen. Nun liefere ich die Information hier im Blog nach.
Ähnliche Artikel:
Patchday: Windows 10-Updates (13. Juni 2023)
Patchday: Windows 11/Server 2022-Updates (13. Juni 2023)
Patchday: Windows 11/Server 2022-Updates (8. August 2023)
Windows 7/Server 2008 R2; Server 2012 R2: Updates (August 8, 2023)
Juni 2023 Patchday (KB5028407): Wichtig, Windows Kernel-Schwachstelle CVE-2023-32019 benötigt Registry-Fix
Kann man den Fix dann also auch abschalten über einen Reg Eintrag?
Meist ist der Prozess in drei Phasen unterteilt.
Phase 1:
Ein Patch liefert die Option, man muss die Härtung aber selber per RegKey aktivieren. Das dient vor allem der IT, um die Funktion zu prüfen und Fehler zu identifizieren. Auch gibt es manchmal Konstellationen bei denen sowohl der Client als auch Server einen Patch benötigen. Hier kann / sollte man den Schalter erst umlegen, wenn alle Geräte auf Stand sind.
Phase 2:
Hier aktiviert Microsoft die Härtung per Patch automatisch. Weil viele Phase 1 nicht zum Testen verwenden, gibt es in der Regel einen RegKey, welcher die Härtung wieder deaktiviert. Das muss man dann aber selber durchführen. Notlösung im Fehlerfall.
Phase 3:
In dieser Erzwingungsphase gibt es keine Möglichkeit mehr die Härtung zu deaktivieren. Ggf. gesetzte RegKeys werden nicht mehr beachtet.