[English]Am 8. Oktober 2024 hat Microsoft Sicherheitsupdates für Windows-Clients und -Server, für Office – sowie für weitere Produkte – veröffentlicht. Die Sicherheitsupdates beseitigen 117 Schwachstellen (CVEs), davon drei kritische Sicherheitslücken, davon 4 als 0-day klassifiziert (zwei werden bereits ausgenutzt). Nachfolgend findet sich ein kompakter Überblick über diese Updates, die zum Patchday freigegeben wurden.
Hinweise zu den Updates
Eine Liste der Updates finden Sie auf dieser Microsoft-Seite. Details zu den Update-Paketen für Windows, Office etc. sind in separaten Blogbeiträgen verfügbar.
Windows 10/11, Windows Server
Alle Windows 10/11-Updates (sowie die Updates der Server-Pendants) sind kumulativ. Das monatliche Patchday-Update enthält alle Sicherheitsfixes für diese Windows-Versionen – sowie alle nicht sicherheitsbezogenen Fixes bis zum Patchday. Zusätzlich zu den Sicherheitspatches für die Schwachstellen enthalten die Updates auch Fixes zur Behebung von Fehlern oder Neuerungen.
Windows Server 2012 R2
Windows Server 2012 /R2 erhält bis Oktober 2023 regulär Sicherheitsupdates. Ab diesem Zeitpunkt ist eine ESU-Lizenz zum Bezug weiterer Sicherheitsupdates erforderlich (Windows Server 2012/R2 bekommt Extended Sicherheitsupdates (ESU) bis Oktober 2026).
Gefixte Schwachstellen
Bei Tenable gibt es diesen Blog-Beitrag mit einer Übersicht der gefixten Schwachstellen. Hier einige der kritischen Schwachstellen, die beseitigt wurden:
- CVE-2024-43572: Microsoft Management Console Remote Code Execution-Schwachstelle, CVEv3 Score 7.8, important; Die als wichtig eingestufte RCE-Schwachstelle in der Microsoft Management Console (MMC) könnte einem Angreifer ermöglichen, ein verwundbares Ziel durch den Einsatz von Social-Engineering-Taktiken dazu zu bringen, eine speziell gestaltete Datei zu öffnen. Bei erfolgreicher Ausnutzung könnte der Angreifer beliebigen Code ausführen. Nach Angaben von Microsoft wurde CVE-2024-43572 in freier Wildbahn als Zero-Day ausgenutzt (vorigen Monat gab es bereits einen Fix für die RCE-Schwachstelle CVE-2024-38259 in der MMC). Als Teil des Patches für CVE-2024-43572 hat Microsoft das Verhalten für Microsoft Saved Console (MSC)-Dateien geändert und verhindert, dass nicht vertrauenswürdige MSC-Dateien auf einem System geöffnet werden können.
- CVE-2024-43573: Windows MSHTML Platform Spoofing-Schwachstelle, CVEv3 Score 6.5, moderat; Ein nicht authentifizierter Remote-Angreifer könnte diese Sicherheitslücke ausnutzen, indem er ein Opfer dazu bringt, eine bösartige Datei zu öffnen. Laut Microsoft wurde CVE-2024-43573 in freier Wildbahn als Zero-Day ausgenutzt. Die MSHTML Platform ist Dauerbaustelle – in 2024 ist das die vierte 0-Day-Schwachstelle, die gepatcht wird und in freier Wildbahn ausgenutzt wurde.
- CVE-2024-20659: Windows Hyper-V Security Feature Bypass-Schwachstelle, CVEv3 Score 7.1, important; Die Schwachstelle ermöglicht die Umgehung der Sicherheitsfunktion in Windows Hyper-V. Ein erfolgreicher Angriff würde es einem Angreifer ermöglichen, das Unified Extensible Firmware Interface (UEFI) einer virtuellen Maschine auf dem Host-Rechner zu umgehen. Dadurch könnten sowohl der Hypervisor als auch der sichere Kernel kompromittiert werden. Nach Angaben von Microsoft war die Schwachstelle CVE-2024-20659 öffentlich bekannt, bevor ein Patch zur Verfügung gestellt wurde. Microsoft hat die Ausnutzbarkeit als „Exploitation Less Likely” bewertet. Dies ist wahrscheinlich darauf zurückzuführen, dass mehrere Bedingungen wie z. B. ein Neustart des Rechners durch den Benutzer und ein anwendungsspezifisches Verhalten neben anderen erforderlichen Benutzeraktionen, erfüllt sein müssen, damit die Schwachstelle ausgenutzt werden kann.Zusätzlich zu CVE-2024-20659 hat Microsoft auch drei DoS-Schwachstellen (Denial of Service) und eine RCE-Schwachstelle in Windows Hyper-V behoben (Details finden sich bei Tenable).
- CVE-2024-43583: Winlogon Elevation of Privilege-Schwachstelle, CVEv3 Score 7.8, important; Ein lokaler, authentifizierter Angreifer könnte diese Sicherheitslücke ausnutzen, um SYSTEM-Rechte zu erlangen. Laut Microsoft wurde CVE-2024-43583 öffentlich bekannt gemacht, bevor ein Patch zur Verfügung gestellt wurde. Zusätzlich empfiehlt Microsoft die Aktivierung des IMEs (Input Method Editor), um Sicherheitsanfälligkeiten in IMEs von Drittanbietern zu umgehen (siehe KB5046254).
- CVE-2024-38212, CVE-2024-38261, CVE-2024-38265, CVE-2024-43453, CVE-2024-43549, CVE-2024-43564, CVE-2024-43589, CVE-2024-43592, CVE-2024-43593, CVE-2024-43607, CVE-2024-43608 and CVE-2024-43611: Windows Routing and Remote Access Service (RRAS) Remote Code Execution-Schwachstellen, CVEv3 Score 8.8, important; Eine Reihe von RCE-Sicherheitslücken in Windows Routing and Remote Access Service (RRAS), die alle 12 einen gemeinsamen CVSSv3-Wert von 8.8 aufweisen – Ausnahme ist CVE-2024-38261, mit einem Score von 7.8. Jede dieser Sicherheitsanfälligkeiten wird von Microsoft als „Exploitation Less Likely“ eingestuft und weist ähnliche Angriffspfade auf. Ein Angreifer ohne Authentifizierung könnte diese Sicherheitsanfälligkeit ausnutzen, indem er einen anfälligen Server mit einer speziell gestalteten Protokollnachricht angreift oder einen Benutzer dazu bringt, eine Anfrage an einen bösartigen Server zu senden, was dazu führt, dass eine bösartige Nachricht zurückgegeben wird, was zu RCE auf dem anfälligen Computer führen könnte.
- CVE-2024-43533, CVE-2024-43599: Remote Desktop Client Remote Code Execution-Schwachstelle, CVEv3 Score 8.8, important; Der von Microsoft beschriebene Angriffsvektor setzt voraus, dass ein Angreifer zunächst einen Remotedesktop-Server kompromittiert. Sobald dieser kompromittiert ist, kann der Angreifer RCE gegen anfällige Verbindungsgeräte einsetzen. Als abschwächender Faktor und Teil der bewährten Sicherheitspraktiken wird empfohlen, den Remotedesktopdienst zu deaktivieren, wenn er nicht benötigt wird. In der Empfehlung von Microsoft wird weiter erläutert, dass die Deaktivierung nicht genutzter Dienste dazu beitragen kann, die Gefährdung zu verringern. Eine Ausnutzung wird als „Exploitation Less Likely“ angesehen.
- CVE-2024-43468: Microsoft Configuration Manager Remote Code Execution-Schwachstelle, CVEv3 Score 9.8, critical; Ein Angreifer kann diese Schwachstelle ohne vorherige Authentifizierung ausnutzen, indem er eine speziell gestaltete Anfrage an einen anfälligen Computer sendet. Das führt zu RCE auf dem Computer oder der zugrunde liegenden Datenbank.
- CVE-2024-38124: Windows Netlogon Elevation of Privilege-Schwachstelle, CVEv3 Score 9.0, important; Ein Angreifer benötigt einen authentifizierten Zugang zu m selben Netzwerk wie ein anfälliges Gerät und müsste seinen Rechner so umbenennen, dass er mit dem Domänencontroller übereinstimmt, um einen sicheren Kanal aufzubauen. Wenn diese Voraussetzungen erfüllt sind, müsste der Angreifer seinen Rechner wieder in seinen ursprünglichen Namen umbenennen. Sobald der neue Domänencontroller befördert wurde, könnte der Angreifer den sicheren Kanal nutzen, um sich als Domänencontroller auszugeben und möglicherweise die gesamte Domäne zu kompromittieren.
Eine Liste aller aufgedeckten CVEs finden Sie auf dieser Microsoft-Seite, Auszüge sind bei Tenable abrufbar. Nachfolgend noch die Liste der gepatchten Produkte:
- .NET and Visual Studio
- .NET,.NET Framework, Visual Studio
- Azure CLI
- Azure Monitor
- Azure Stack
- BranchCache
- Code Integrity Guard
- DeepSpeed
- Internet Small Computer Systems Interface (iSCSI)
- Microsoft ActiveX
- Microsoft Configuration Manager
- Microsoft Defender for Endpoint
- Microsoft Graphics Component
- Microsoft Management Console
- Microsoft Office
- Microsoft Office Excel
- Microsoft Office SharePoint
- Microsoft Office Visio
- Microsoft Simple Certificate Enrollment Protocol
- Microsoft WDAC OLE DB provider for SQL
- Microsoft Windows Speech
- OpenSSH for Windows
- Outlook for Android
- Power BI
- RPC Endpoint Mapper Service
- Remote Desktop Client
- Role: Windows Hyper-V
- Service Fabric
- Sudo for Windows
- Visual C++ Redistributable Installer
- Visual Studio
- Visual Studio Code
- Windows Ancillary Function Driver for WinSock
- Windows BitLocker
- Windows Common Log File System Driver
- Windows Cryptographic Services
- Windows EFI Partition
- Windows Hyper-V
- Windows Kerberos
- Windows Kernel
- Windows Kernel-Mode Drivers
- Windows Local Security Authority (LSA)
- Windows MSHTML Platform
- Windows Mobile Broadband
- Windows NT OS Kernel
- Windows NTFS
- Windows Netlogon
- Windows Network Address Translation (NAT)
- Windows Online Certificate Status Protocol (OCSP)
- Windows Print Spooler Components
- Windows Remote Desktop
- Windows Remote Desktop Licensing Service
- Windows Remote Desktop Services
- Windows Resilient File System (ReFS)
- Windows Routing and Remote Access Service (RRAS)
- Windows Scripting
- Windows Secure Channel
- Windows Secure Kernel Mode
- Windows Shell
- Windows Standards-Based Storage Management Service
- Windows Storage
- Windows Storage Port Driver
- Windows Telephony Server
- Winlogon
Ähnliche Artikel:
Office Updates vom 1. Oktober 2024
Microsoft Security Update Summary (8. Oktober 2024)
Patchday: Windows 10/Server-Updates (8. Oktober 2024)
Patchday: Windows 11/Server 2022-Updates (8. Oktober 2024)
Patchday: Windows Server 2012 / R2 und Windows 7 (8. Oktober 2024)
Patchday: Microsoft Office Updates (8. Oktober 2024)
MS hat es NICHT geschafft, die WebView2 Komponente unter der neuen 24H2 (eingeführt durch das optionale Update Version 1882) mit den Oktober Updates zu fixen. SFC schmeisst weiterhin Errors:
2024-10-08 19:48:56, Info CSI 000001d0 Hashes for file member [l:31]’Microsoft.Web.WebView2.Core.dll‘ do not match.
Expected: {l:32 ml:33 b:a46788e94463899b6799304178a634643b20949cc7d378938db8abce8f69d17e}.
Actual: {l:32 b:50a5c14fd4da7116a2072d12cb94c258354d0237979d5d5afa979be740d118f5}.
2024-10-08 19:48:56, Info CSI 000001d1 [SR] Repairing file \??\C:\WINDOWS\SystemApps\Microsoft.WindowsAppRuntime.CBS_8wekyb3d8bbwe\\Microsoft.Web.WebView2.Core.dll from store
2024-10-08 19:48:56, Info CSI 000001d2 Hashes for file member [l:33]’Microsoft.Web.WebView2.Core.winmd‘ do not match.
Expected: {l:32 ml:33 b:84c0515b0adf5f0078b2ce28d84912ebc071737c2150d781a2d15a7464390e92}.
Actual: {l:32 b:0491fcbadc7e2e7320f741a9a562612305e515930811f176eab1b00ae5eb9d91}.
2024-10-08 19:48:56, Info CSI 000001d3 [SR] Repairing file \??\C:\WINDOWS\SystemApps\Microsoft.WindowsAppRuntime.CBS_8wekyb3d8bbwe\\Microsoft.Web.WebView2.Core.winmd from store
Zwei Win 11 Kisten machen hier ein bisschen Problem, das Syncen/herunterladen des kummulativen Updates schlägt fehl. Ein PC hängt am WSUS, der andere direkt an den MS-Servern. Ein Schlag auf den Hinterkopf (Reboot) hilft.
Immer noch kein Update für MS Exchange? Oder hab ich was übersehen? Entweder testen die mehr oder es gibt keine Lücken mehr .. kommt mir aber komisch vor!
Ich hatte die Nacht nicht mehr geschaut – sieht mir aber so aus, dass es noch kein Update für Microsoft Exchange 2019 gibt.
Ist schon ein paar Jahre her, dass mir ein noch lebender mit aktuellen Updates gepflegter onPrem Exchange unter die Finger kam, aber war da nicht schon immer, dass man die CUs manuell installieren musste? Ich kann mich nicht erinnern, dass diese jemals über Windows Updates aktualisiert wurden.
Allein das Ansinnen, einen solchen Server online betreiben zu wollen ohne ein vorgeschaltetes Mail-Gateway ist verstörend. Wenn ich Nahtod-Erlebnisse haben will springe ich besser Bungee oder Fallschirm.
Ein CU für einen on-prem Exchange ist ein vollwertiges Installationspaket, welches manuell über die bestehende Installation drüberinstalliert wird.
Über den WSUS werden allerdings sporadisch Hotfixes verteilt, die dann in späteren CU integriert sind.
„Wenn ich Nahtod-Erlebnisse haben will springe ich besser Bungee oder Fallschirm“ –> genau mein Humor. Danke! =)
MS-SQL-Updates https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-37341 aus dem Netzwerk leicht ausnutzbar, Argh. Für Office 365 ist auch schon was da https://learn.microsoft.com/en-us/officeupdates/microsoft365-apps-security-updates
Viel Spaß beim Frickeln! :-)