[English]Am 13. August 2024 hat Microsoft Sicherheitsupdates für Windows-Clients und -Server, für Office – sowie für weitere Produkte – veröffentlicht. Die Sicherheitsupdates beseitigen 88 Schwachstellen (CVEs), davon sieben kritische Sicherheitslücken, davon 10 als 0-day klassifiziert (sechs werden bereits ausgenutzt). Nachfolgend findet sich ein kompakter Überblick über diese Updates, die zum Patchday freigegeben wurden.
Hinweise zu den Updates
Eine Liste der Updates finden Sie auf dieser Microsoft-Seite. Details zu den Update-Paketen für Windows, Office etc. sind in separaten Blogbeiträgen verfügbar.
Windows 10/11, Windows Server
Alle Windows 10/11-Updates (sowie die Updates der Server-Pendants) sind kumulativ. Das monatliche Patchday-Update enthält alle Sicherheitsfixes für diese Windows-Versionen – sowie alle nicht sicherheitsbezogenen Fixes bis zum Patchday. Zusätzlich zu den Sicherheitspatches für die Schwachstellen enthalten die Updates auch Fixes zur Behebung von Fehlern oder Neuerungen.
Windows Server 2012 R2
Windows Server 2012 /R2 erhält bis Oktober 2023 regulär Sicherheitsupdates. Ab diesem Zeitpunkt ist eine ESU-Lizenz zum Bezug weiterer Sicherheitsupdates erforderlich (Windows Server 2012/R2 bekommt Extended Sicherheitsupdates (ESU) bis Oktober 2026).
Gefixte Schwachstellen
Bei Tenable gibt es diesen Blog-Beitrag mit einer Übersicht der gefixten Schwachstellen. Hier einige der kritischen Schwachstellen, die beseitigt wurden:
- CVE-2024-38206: Microsoft Copilot Studio Information Disclosure-Schwachstelle, CVEv3 Score 8.5, critical; Eine kritische Sicherheitsanfälligkeit zur Offenlegung von Informationen, die Microsofts Copilot Studio, einen KI-gesteuerten Chatbot, betrifft. Die Schwachstelle könnte von einem authentifizierten Angreifer dazu missbraucht werden, um den Schutz vor serverseitiger Anforderungsfälschung (SSRF) zu umgehen, um potenziell sensible Informationen preiszugeben. Die Sicherheitslücke wurde von Microsoft am 6. August bekannt gegeben, wobei in dem Advisory darauf hingewiesen wird, dass keine Benutzeraktion erforderlich ist, da das Problem von Microsoft gepatcht wurde. Die Sicherheitslücke wurde von Evan Grant, einem Forscher bei Tenable, entdeckt und an Microsoft gemeldet.
- CVE-2024-38109: Azure Health Bot Elevation of Privilege-Schwachstelle, CVEv3 Score 9.1, critical; Es ist eine kritische SSRF EoP-Schwachstelle im Azure Health Bot. Die Schwachstelle wurde von dem Tenable-Forscher Jimi Sebree entdeckt und an Microsoft weitergeleitet. Die Schwachstelle wurde von Microsoft gepatcht und für Benutzer des Health Bot-Dienstes besteht kein Handlungsbedarf. Weitere Informationen zu dieser Sicherheitslücke finden Sie in den Tenable Research Advisories TRA-2024-27 und TRA-2024-2 sowie in diesem Blogbeitrag.
- CVE-2024-38106, CVE-2024-3813, CVE-2024-38153: Windows Kernel Elevation of Privilege-Schwachstelle, CVEv3 Score 7.0 – 7.8, important; Trotz des geringeren Schweregrads und der Ausnutzungsanforderungen, bei denen der Angreifer eine Race Condition für eine erfolgreiche Ausnutzung gewinnen muss, wurde CVE-2024-38106 Berichten zufolge in freier Wildbahn als Zero-Day ausgenutzt. CVE-2024-38133 wurde von Microsoft als „Exploitation More Likely“ eingestuft. Eine erfolgreiche Ausnutzung dieser Sicherheitsanfälligkeiten könnte es dem Angreifer ermöglichen, die Rechte auf SYSTEM zu erhöhen.
- CVE-2024-38107: Windows Power Dependency Coordinator Elevation of Privilege-Schwachstelle, CVEv3 Score 7.8, important; EoP-Schwachstelle, die den Windows Power Dependency Coordinator (pdc.sys) betrifft. Der Treiber ist für die Energieverwaltung auf einem Windows-System zuständig. Diese Schwachstelle wurde in freier Wildbahn als Zero-Day ausgenutzt. Patches sind für alle unterstützten Versionen von Windows und Windows Server verfügbar.
- CVE-2024-38178: Scripting Engine Memory Corruption-Schwachstelle, CVEv3 Score 7.5, important; Diese Sicherheitsanfälligkeit wurde bereits ausgenutzt. Laut Microsoft muss ein authentifiziertes Opfer den Edge Browser im Internet Explorer-Modus betreiben, um die Schwachstelle auszunutzen, bevor ein nicht authentifizierter Angreifer das Opfer dazu bringt, auf eine speziell gestaltete URL zu klicken, um RCE zu erhalten.
- CVE-2024-38189: Microsoft Project Remote Code Execution-Schwachstelle, CVEv3 Score 8.8, important; Eine Ausnutzung in freier Wildbahn wurde beobachtet. Laut dem Advisory muss ein ahnungsloses Opfer eine manipulierte Microsoft Office Project-Datei öffnen, um die Schwachstelle auszunutzen. Außerdem muss das System so konfiguriert sein, dass die Richtlinie „Makros in Office-Dateien aus dem Internet nicht ausführen“ sowie die VBA-Makro-Benachrichtigungseinstellungen deaktiviert sind, um einen erfolgreichen Angriff zu ermöglichen. Der Hinweis von Micsooft stellt klar, dass das Vorschaufenster kein Angriffsvektor für diese Schwachstelle ist, und bietet Optionen zur Abschwächung an, um Systeme zu schützen, wenn ein sofortiges Patching nicht möglich ist.
- CVE-2024-38141, CVE-2024-3819: Windows Ancillary Function Driver for WinSock Elevation of Privilege-Schwachstelle, CVEv3 Score 7.8, important; EoP-Schwachstellen, die den Windows-Zusatzfunktionstreiber für Winsock (afd.sys) betreffen. Beide Sicherheitslücken können es einem Angreifer ermöglichen, seine Rechte auf SYSTEM zu erweitern. CVE-2024-38141 wird als „Exploitation More Likely“ eingestuft, und CVE-2024-38193 wurde Berichten zufolge als Zero-Day-Schwachstelle in freier Wildbahn ausgenutzt.
- CVE-2024-38213: Windows Mark of the Web Security Feature Bypass-Schwachstelle, CVEv3 Score 6.6, moderat; Um diese Sicherheitslücke auszunutzen, muss ein Benutzer eine speziell gestaltete Datei öffnen, die auf einem Dateiserver oder einer Website gehostet oder über eine Phishing-E-Mail versendet werden kann. Wenn es dem Angreifer gelingt, ein Opfer zum Öffnen dieser Datei zu bewegen, kann er den Windows SmartScreen umgehen. Microsoft hat diese Schwachstelle als „Exploitation Detected“ gekennzeichnet, da ihnen ein Fall bekannt ist, in dem diese Schwachstelle ausgenutzt wurde.
- CVE-2024-38163: Windows Update Stack Elevation of Privilege-Schwachstelle, CVEv3 Score7.8, important; CVE-2024-38163 kann bei erfolgreicher Ausnutzung zur Erlangung von SYSTEM-Rechten führen. Microsoft hat darauf hingewiesen, dass die Benutzer für diese Sicherheitslücke keine Maßnahmen ergreifen müssen, da sie nur zur Laufzeit ausgenutzt werden kann und die betroffene Version von WinRE durch eine neue Version ersetzt wurde.
- CVE-2024-38202: Windows Update Stack Elevation of Privilege-Schwachstelle, CVEv3 Score 7.3, important; Die wurde auf der BlackHat USA 2024 und der DEF CON 32 von SafeBreach Labs-Forscher Alon Leviev vor der Veröffentlichung des Patch Tuesday im August 2024 bekannt gegeben (Schwachstelle in Windows Update ermöglicht Downgrade-Angriffe (August 2024)). Die Schwachstelle in Windows Backup ermöglicht es einem Benutzer mit grundlegenden Rechten, „zuvor entschärfte Schwachstellen wieder einzuschleusen oder einige Funktionen von Virtualization Based Security (VBS) zu umgehen“. Leviev hat die Schwachstelle im Windows-Update-Mechanismus identifiziert, die eine unbefugte Erhöhung der Privilegien ermöglichen könnte, indem sie ein Downgrade von Systemkomponenten erzwingt. Diese Schwachstelle macht Systeme anfällig für bereits gepatchte Exploits und damit für Angriffe, die diese alten Schwachstellen ausnutzen könnten. Microsoft weist darauf hin, dass „ein Angreifer, der versucht, diese Sicherheitslücke auszunutzen, zusätzliche Interaktion durch einen privilegierten Benutzer benötigt, um erfolgreich zu sein“.
- CVE-2024-21302, CVE-2024-38142: Windows Secure Kernel Mode Elevation of Privilege-Schwachstelle, CVEv3 Score 7.3, important; Beide Schwachstellen ermöglichen die Erhöhung der Rechte im Windows Secure Kernel, deren Ausnutzbarkeit von Microsoft als „Exploitation Less Likely“ bewertet wird. CVE-2024-21302 hat einen CVSSv3-Score von 6,7 und CVE-2024-38142 einen Score von 7,8. Bei erfolgreicher Ausnutzung einer dieser Schwachstellen kann ein Angreifer SYSTEM-Rechte erlangen. CVE-2024-21302 wurde auf der Black Hat USA 2024 von dem bereits erwähnten Sicherheitsforscher Alon Leviev bekannt gegeben. Leviev demonstrierte, dass CVE-2024-21302 mit CVE-2024-38202 verkettet werden kann, um Softwareversionen herabzustufen oder zurückzusetzen, ohne dass ein Opfer mit erhöhten Rechten eingreifen muss. Das Ergebnis dieses verketteten Angriffs ist, dass das Zielgerät für zuvor gepatchte Schwachstellen anfällig gemacht werden kann, wodurch die Angriffsfläche des Geräts vergrößert wird. CVE-2024-21302 wurde auch in dem bereits erwähnten Microsoft-Hinweis erwähnt, der in Koordination mit der Offenlegung auf der Black Hat veröffentlicht wurde.
- CVE-2024-38199: Windows Line Printer Daemon (LPD) Service Remote Code Execution-Schwachstelle, CVEv3 Score 9.8, important; Die RCE-Schwachstelle im Windows Line Printer Daemon (LPD) Service wird on Microsoft als „Exploitation Less Likely“ eingestuft. Ein entfernter Angreifer könnte diese Schwachstelle über ein Netzwerk ausnutzen, indem er eine speziell gestaltete Druckaufgabe an den Windows LPD Service sendet, was im Erfolgsfall zu einem RCE auf dem Server führen würde. Microsoft hat außerdem darauf hingewiesen, dass die Sicherheitslücke öffentlich bekannt gemacht wurde, bevor ein Patch zur Verfügung stand.
- CVE-2024-38200: Microsoft Office Spoofing-Schwachstelle, CVEv3 Score 6.5, important; Die Spoofing-Schwachstelle in Microsoft Office wurde von Microsoft aös „Exploitation Less Likely“ eingestuft. Ein Angreifer könnte eine speziell gestaltete Datei auf einem Dateiserver oder einer Website hostem oder in einer Phishing-E-Mail verschicken. Klickt das Opfer aif die Datei, könnte does dazu führen, dass das Opfer NTLM-Hashes (New Technology Lan Manager) für einen entfernten Angreifer preisgibt. CVE-2024-38200 wurde am 8. August auf der DEF CON 32 von Jim Rush und Tomais Williamson, von PrivSec Consulting, öffentlich bekannt gegeben.
- CVE-2024-38063: Windows TCP/IP Remote Code Execution-Schwachstelle, CVEv3 Score 9.8, critical; Eine kritische RCE-Schwachstelle in Windows TCP/IP, die als „Exploitation More Likely“ eingestuft wird. Ein Angreifer kann diese Sicherheitslücke remote ausnutzen, indem er speziell gestaltete IPv6-Pakete an einen Host sendet. Microsoft empfiehlt, IPv6 zu deaktivieren, da nur IPv6-Pakete zur Ausnutzung dieser Sicherheitslücke missbraucht werden können. Microsoft hat Patches für alle unterstützten Versionen von Windows und Windows Server, einschließlich Server Core-Installationen, veröffentlicht.
Eine Liste aller abgedeckten CVEs finden Sie auf dieser Microsoft-Seite, Auszüge sind bei Tenable abrufbar. Nachfolgend noch die Liste der gepatchten Produkte:
- .NET and Visual Studio
- Azure Connected Machine Agent
- Azure CycleCloud
- Azure Health Bot
- Azure IoT SDK
- Azure Stack
- Line Printer Daemon Service (LPD)
- Microsoft Bluetooth Driver
- Microsoft Copilot Studio
- Microsoft Dynamics
- Microsoft Edge (Chromium-based)
- Microsoft Local Security Authority Server (lsasrv)
- Microsoft Office
- Microsoft Office Excel
- Microsoft Office Outlook
- Microsoft Office PowerPoint
- Microsoft Office Project
- Microsoft Office Visio
- Microsoft Streaming Service
- Microsoft Teams
- Microsoft WDAC OLE DB provider for SQL
- Microsoft Windows DNS
- Reliable Multicast Transport Driver (RMCAST)
- Windows Ancillary Function Driver for WinSock
- Windows App Installer
- Windows Clipboard Virtual Channel Extension
- Windows Cloud Files Mini Filter Driver
- Windows Common Log File System Driver
- Windows Compressed Folder
- Windows Deployment Services
- Windows DWM Core Library
- Windows Initial Machine Configuration
- Windows IP Routing Management Snapin
- Windows Kerberos
- Windows Kernel
- Windows Kernel-Mode Drivers
- Windows Layer-2 Bridge Network Driver
- Windows Mark of the Web (MOTW)
- Windows Mobile Broadband
- Windows Network Address Translation (NAT)
- Windows Network Virtualization
- Windows NT OS Kernel
- Windows NTFS
- Windows Power Dependency Coordinator
- Windows Print Spooler Components
- Windows Resource Manager
- Windows Routing and Remote Access Service (RRAS)
- Windows Scripting
- Windows Secure Kernel Mode
- Windows Security Center
- Windows SmartScreen
- Windows TCP/IP
- Windows Transport Security Layer (TLS)
- Windows Update Stack
- Windows WLAN Auto Config Service
Ähnliche Artikel:
Office Updates vom 6. August 2024
Microsoft Security Update Summary (9. Juli 2024)
Patchday: Windows 10/Server-Updates (13. August 2024)
Patchday: Windows 11/Server 2022-Updates (13. August 2024)
Windows Server 2012 / R2 und Windows 7 (13. August 2024)
Microsoft Office Updates (13. August 2024)
Windows Server 2019/Windows 10 Enterprise 2019 LTSC: Performance-Probleme mit Update KB5041578
Windows August 2024-Update legt Linux-Boot lahm
Ich habe gerade mittels
„C:\Program Files\Common Files\microsoft shared\ClickToRun\officec2rclient.exe“ /update user updatetoversion=16.0.17830.20166
manuell das Office-Update (2019 Prof., C2R) durchgeführt, da die automatische Suche/Installation ja bekanntlich nicht funktioniert. Daran hat sich nach dem Update auch nichts geändert. Mit der 20166-Version erhalte ich weiterhin den bekannten Fehler (Das hat leider nicht geklappt …. 30088-27).
Ich befürchte, das werden die auch nicht mehr beheben.
Probiere mal bei Dir folgendes:
gehe in die Einstellungen vom Office Kontodatenschutz
– Optionale Diagnosedaten AUS
– Erfahrungen, die Ihren Inhalt analysieren AUS
– Erfahrungen, die Onlineinhalte herunterladen AUS
– Alle verbundenen Erfahrungen EIN
LETZTER Punkt ist WICHTIG -> MUSS auf „EIN“ stehen…
…dann 1x Reboot und dann gehe nochmal auf den Update Button.
Bei mir hat es funktioniert und der Fehler war weg. Wenn ich danach wieder von „EIN“ auf „AUS“ gehe, kommt der Fehler wieder. Also muss ich wohl auf einen gewissen Privatsphären-Schutz verzichten.
THX, genau das wars, zumindest auch hier bei Office 2016Pro+ ( C2R). Der Murks den MS da abliefert wird immer schlimmer, soviel kann man gar nicht um die Ecke denken um eine Lösung für ein ja jetzt schon länger bestehendes Problem zu finden.
Da ich weder mit der „Analyse von Inhalten“ einverstanden bin, noch Online-Inhalte herunterladen möchte und schon gar nicht auf Onlinedateispeicherung scharf bin, werde ich diese Option nicht aktivieren. Zumal in der Erläuterung steht, dass „… das Herunterladen von Updates …“ auch funktioniert, wenn diese Einstellung nicht aktiviert ist.
Wenn Deine Anleitung zu 100% verlässlich funktioniert, dann müsste der Text angepasst werden — was Microsoft sich wahrscheinlich traut, denn das hieße explizit: Vollständig funktionierende Software nur noch bei Überlassung der Daten.
Geht gar nicht, zumal eine einstmals funktionierende Software nachträglich durch Updates in Teilen kaputt gemacht wurde, um diesen Zwang generieren.
Trotzdem Danke für den Tipp.
Auch wenn das so funktionieren würde, kann das nur ein Bug sein. Und wer sagt mir, dass mit diesem einen aktivierten Schalter nicht doch jede Menge Daten abfließen? So lange es da kein fix von MS gibt, mach ich die Updates nur noch manuell.
Bei Office 365 2406 Build 17726.20206 (Klick-und-Los) gibt es ein kleines Problem: das Bild im Konto ist verschwunden und wird nicht mehr angezeigt. Es ist weiter im Office-Konto (in Outlook), in jeder anderen App, in OWA etc. Nur nicht mehr unter Outlook -> Datei -> Kontoinformationen
Cached Mode ausschalten hat ebenso wenig gebracht wie ein neues Bild zu hinterlegen.
Nachdem ich das Bild ersetzt habe, scheint es nun in Office wieder auf – mehr als 24 Stunden später.
Es scheint, dass das Update die Darstellung des Bildes unterdrückt, es wird dann aber seeeeehr langsam doch wieder gesynct.
CVE-2024-38063 dürfte vom Schweregrad wohl seinen eigenen Artikel verdient haben, das dürfte wurmbar sein.
Man stellt sich die Frage, was man „auf die Schnelle“ Machen soll? IPv6 Binding entfernen? Genügt das? IPv6 Stack deaktivieren? Was auch nicht ungefährlich ist. Reicht es das MS Update einzuspielen?
Die Bindings am Interface Entfernen sollte reichen und praktiziere ich so auch seit Jahren ohne erkennbare Einbußen. CVE-2024-38063 ist vor allem für alle am Internet betriebenen bzw. über WLAN erreichbaren Systeme relevant, aber mal ehrlich: Wer betreibt seine Windows Server online am offenen Netz ohne Firewall, Gateways oder Reverse-Proxies dazwischen?
M$ kann einfach nichts, wenn die schon an der Stelle so kranke Probleme haben, ist es 100% wahrscheinlich, dass die noch deutlich schlimmere Probleme haben.
Wie kann eine Behörde wie das BSI oder NIST so ein OS überhaupt für Regierungsaufgaben freigeben? Das ist so hart verkackt, es geht fast nicht mehr schlimmer.
Das nächste absolute Sicherheitsfisko wird die M$ *TPM Erweiterung* „Pluton“ sein, was M$ nicht kann und auch nie können wird: Security. Ich weiss garnicht wie viel Lack man trinken muss um sich als Chip-Hersteller so eine Schei*e ins System bauen lässt, von einem Hersteller, der nicht mal weiß wie man Security auch nur ansatzweise umsetzt.
Aber, was wird passieren: nichts, M$ wird für nicht belangt und alle klatschen Beifall weil die einen Patch geliefert haben für eine Sache die Sie vorher aufgrund von nicht vorhandener Qualitätssicherung überhaupt möglich gemacht haben.
Es gibt jetzt einen separaten Artikel – danke für den Hinweis.