[English]Am 10. September 2024 hat Microsoft Sicherheitsupdates für Windows-Clients und -Server, für Office – sowie für weitere Produkte – veröffentlicht. Die Sicherheitsupdates beseitigen 79 Schwachstellen (CVEs), davon sieben kritische Sicherheitslücken, davon 4 als 0-day klassifiziert (drei werden bereits ausgenutzt). Nachfolgend findet sich ein kompakter Überblick über diese Updates, die zum Patchday freigegeben wurden.
Hinweise zu den Updates
Eine Liste der Updates finden Sie auf dieser Microsoft-Seite. Details zu den Update-Paketen für Windows, Office etc. sind in separaten Blogbeiträgen verfügbar.
Windows 10/11, Windows Server
Alle Windows 10/11-Updates (sowie die Updates der Server-Pendants) sind kumulativ. Das monatliche Patchday-Update enthält alle Sicherheitsfixes für diese Windows-Versionen – sowie alle nicht sicherheitsbezogenen Fixes bis zum Patchday. Zusätzlich zu den Sicherheitspatches für die Schwachstellen enthalten die Updates auch Fixes zur Behebung von Fehlern oder Neuerungen.
Windows Server 2012 R2
Windows Server 2012 /R2 erhält bis Oktober 2023 regulär Sicherheitsupdates. Ab diesem Zeitpunkt ist eine ESU-Lizenz zum Bezug weiterer Sicherheitsupdates erforderlich (Windows Server 2012/R2 bekommt Extended Sicherheitsupdates (ESU) bis Oktober 2026).
Gefixte Schwachstellen
Bei Tenable gibt es diesen Blog-Beitrag mit einer Übersicht der gefixten Schwachstellen. Hier einige der kritischen Schwachstellen, die beseitigt wurden:
- CVE-2024-43491: Microsoft Windows Update Remote Code Execution-Schwachstelle, CVEv3 Score 9.8, critical; Die kritische RCE-Schwachstelle in Microsoft Windows Update betrifft optionale Komponenten in Windows 10, Version 1507 (Windows 10 Enterprise 2015 LTSB und Windows 10 IoT Enterprise 2015 LTSB). Eine erfolgreiche Ausnutzung würde dazu führen, dass zuvor entschärfte Sicherheitslücken in den betroffenen optionalen Komponenten in den oben genannten Windows 10-Versionen wiederhergestellt werden Die Schwachstelle geht auf das Update KB5035858 vom 12. März 2024 zurück und diese wird in freier Wildbahn ausgenutzt. Im Tenable-Beitrag werden betroffene optionale Komponenten gelistet.
- CVE-2024-38217: Windows Mark of the Web Security Feature Bypass-Schwachstelle, CVEv3 Score 5.4, important; Um diese Schwachstelle erfolgreich auszunutzen, muss ein Angreifer einen Benutzer dazu bringen, eine speziell gestaltete Datei zu öffnen, die die Mark of the Web (MOTW)-Schutzmaßnahmen umgehen kann. Microsoft weist darauf hin, dass die Sicherheitslücke in freier Wildbahn ausgenutzt und öffentlich bekannt gemacht wurde, bevor der Patch zur Verfügung stand. Im August 2024 wurde bereits eine MotW-Schwachstelle gepatcht.
- CVE-2024-38014: Windows Installer Elevation of Privilege-Schwachstelle, CVEv3 Score 7.8, important; Die EoP-Schwachstelle im Windows Installer wurde als Zero-Day-Schwachstelle ausgenutzt. Im Advisory wird darauf hingewiesen, dass der Angreifer bei erfolgreicher Ausnutzung der Schwachstelle über SYSTEM-Rechte verfügen würde.
- CVE-2024-38226: Microsoft Publisher Security Features Bypass-Schwachstelle, CVEv3 Score 7.3, important; Um diese Schwachstelle auszunutzen, muss sich ein Angreifer bei einem Zielsystem authentifizieren und einen Benutzer dazu bringen, eine manipulierte Datei herunterzuladen. So könnte ein lokaler Angreifer die Office-Makrorichtlinien umgehen, die nicht vertrauenswürdige und potenziell bösartige Dateien auf dem Zielsystem zu blockieren sollen. Laut den Hinweisen ist das Vorschaufenster kein Angriffsvektor für diese Sicherheitslücke. Die Sicherheitslücke wurde in freier Wildbahn als Zero-Day-Lücke ausgenutzt.
- CVE-2024-26186, CVE-2024-26191, CVE-2024-37335, CVE-2024-37338, CVE-2024-37339, CVE-2024-37340: Microsoft SQL Server Native Scoring Remote Code Execution-Schwachstelle, CVEv3 Score 8.8, important; Um diese Schwachstelle erfolgreich auszunutzen, muss ein authentifizierter Angreifer das SQL Server Native Scoring nutzen, um vorab trainierte Modelle auf seine Daten anzuwenden, ohne sie aus der Datenbank zu entfernen. Während die SQL Server-Schwachstellen in erster Linie eine nicht autorisierte Datenmanipulation ermöglichen, könnten sie hypothetisch zu RCE führen, wenn sie mit zusätzlichen Sicherheitslücken oder Fehlkonfigurationen kombiniert werden, die die Ausführung von SQL-Befehlen ermöglichen. Eine Ausnutzung wird als „Exploitation Less Likely“ angesehen.
- CVE-2024-37337, CVE-2024-37342, CVE-2024-37966: Microsoft SQL Server Native Scoring Information Disclosure-Schwachstelle, CVEv3 Score 7.1, important; Die erfolgreiche Ausnutzung dieser Sicherheitsanfälligkeit durch einen Bedrohungsakteur mit authentifiziertem Zugriff auf Microsoft SQL Server Native Scoring könnte das Lesen kleiner Teile des Heap-Speichers ermöglichen. Der offengelegte Speicher könnte sensible Daten enthalten, einschließlich Benutzeranmeldeinformationen, Sitzungs-Tokens oder Informationen auf Anwendungsebene, was zu weiteren Sicherheitsrisiken führen kann. Eine Ausnutzung wird als „Exploitation Less Likely“ angesehen.
- CVE-2024-38018: Microsoft SharePoint Server Remote Code Execution-Schwachstelle, CVEv3 Score 8.8, critical; Ein Bedrohungsakteur müsste im Allgemeinen authentifiziert sein und über ausreichende Berechtigungen für die Seitenerstellung verfügen, um diesen RCE in Microsoft SharePoint Server auszunutzen. Einstufung als Exploitation More Likely.
Eine Liste aller aufgedeckten CVEs finden Sie auf dieser Microsoft-Seite, Auszüge sind bei Tenable abrufbar. Nachfolgend noch die Liste der gepatchten Produkte:
- Azure CycleCloud
- Azure Network Watcher
- Azure Stack
- Azure Web Apps
- Dynamics Business Central
- Microsoft AutoUpdate (MAU)
- Microsoft Dynamics 365 (on-premises)
- Microsoft Graphics Component
- Microsoft Management Console
- Microsoft Office Excel
- Microsoft Office Publisher
- Microsoft Office SharePoint
- Microsoft Office Visio
- Microsoft Outlook for iOS
- Microsoft Streaming Service
- Power Automate
- Role: Windows Hyper-V
- SQL Server
- Windows Admin Center
- Windows AllJoyn API
- Windows Authentication Methods
- Windows DHCP Server
- Windows Installer
- Windows Kerberos
- Windows Kernel-Mode Drivers
- Windows Libarchive
- Windows MSHTML Platform
- Windows Mark of the Web (MOTW)
- Windows Network Address Translation (NAT)
- Windows Network Virtualization
- Windows PowerShell
- Windows Remote Access Connection Manager
- Windows Remote Desktop Licensing Service
- Windows Security Zone Mapping
- Windows Setup and Deployment
- Windows Standards-Based Storage Management Service
- Windows Storage
- Windows TCP/IP
- Windows Update
- Windows Win32K – GRFX
- Windows Win32K – ICOMP
Inzwischen steht fest, dass die September 2024-Updates den Bug beim Item-Level Targeting in GPP beseitigen (siehe Windows: Sept. 2022 Updates fixen „Item-Level Targeting“-Bug in GPP).
Ähnliche Artikel:
Office Updates vom 3. September 2024
Microsoft Security Update Summary (10. September 2024)
Patchday: Windows 10/Server-Updates (10. September 2024)
Patchday: Windows 11/Server 2022-Updates (10. September 2024)
Windows Server 2012 / R2 und Windows 7 (10. September 2024)
Microsoft Office Updates (10. September 2024)
Guten Morgen,
so wie es aussieht, hat Microsoft das Problem mit dem Item-Level Targetting behoben. Nach dem gestrigen Patchday ist „User in Group“ nicht mehr ausgegraut und wieder auswählbar.
Kann das jemand auch bestätigen?
Server 2022 mit KB5042881 (cumulative update 21H2 2024-09)
Ansonsten sind mir keine Problem in unserer Server-Testgruppe aufgefallen. Gepatcht wurden hier Sever 2019 und 2022.
Guten Start in den Tag!
Ralf
Danke für den Hinweis, kann ich auch bestätigen.
Guten Morgen,
kann ich bestätigen das Problem mit der Zielgruppenadressierung ist mit dem KB5043050 behoben. WinServ2019.
Viel Spaß beim Patchen!
Max
Hallo,
wir haben auf ein paar DCs den Fehler 0x8007000d. Alle anderen Server liefen problemlos durch. Hat den Fehler sonst noch jemand?
Ja, wir haben den Fehler auch auf ein paar Systemen – die sind aber kein DC!
Habt ihr schon eine Lösung?