Der Patch Tuesday von Microsoft ist zwar schon ein Klassiker, aber er wird immer wichtiger. Unternehmen sollten daher immer sofort die Patches für die Systeme ausführen. Zwei aktuelle Zero-Day-Schwachstellen sind mit dem CVSSv3-Score von 6.2 bzw. 7.8 nicht extrem hoch bewertet, sie werden aber aktuell bereits angegriffen, da ihre Verbreitung so hoch ist.
Der Patch Tuesday dieses Monats umfasst Fixes für 61 CVEs, von denen fünf als kritisch, 55 als wichtig und eine als moderat eingestuft wurden. Microsoft hat außerdem zwei Zero-Day-Schwachstellen behoben, die in freier Wildbahn bereits ausgenutzt wurden. Den Patch Tuesday dieses Monats kommentierte Satnam Narang, Senior Staff Research Engineer bei Tenable.
Word ist immer einen Angriff wert
Bei CVE-2023-36761 handelt es sich um eine Sicherheitslücke in Microsoft Word, die mit einem CVSSv3-Score von 6.2 als wichtig eingestuft wurde und Informationen preisgibt. Die Ausnutzung dieser Sicherheitslücke beschränkt sich nicht nur darauf, dass ein Angriffsopfer ein schädliches Word-Dokument öffnet. Bereits die Vorschau der Datei kann die Ausnutzung der Sicherheitslücke auslösen. Eine Ausnutzung würde die Offenlegung von NTLM-Hashes (New Technology LAN Manager) ermöglichen. Dies ist die zweite Zero-Day-Schwachstelle in Microsoft-Produkten im Jahr 2023, die zur Offenlegung von NTLM-Hashes geführt hat. Die erste war CVE-2023-23397, eine Sicherheitslücke in Microsoft Outlook, die im Patch Tuesday Release vom März bekannt gegeben wurde.
CVSS 7.8: Microsoft Streaming Service
CVE-2023-36802 ist eine Sicherheitslücke in Microsoft Streaming Service Proxy, die mit einem CVSSv3-Score von 7.8 bewertet und als wichtig eingestuft wurde. Es handelt sich um die achte Zero-Day-Schwachstelle mit erhöhten Rechten, die im Jahr 2023 in freier Wildbahn ausgenutzt wurde. Angreifer haben unzählige Möglichkeiten, in Unternehmen einzudringen. Sich einfach nur Zugang zu einem System zu verschaffen, ist nicht immer ausreichend. Schwachstellen bei der Erhöhung von Privilegien werden umso wertvoller, insbesondere bei Zero-Day-Angriffen.“
Bei den Fixes für 61 CVEs wurden nur fünf als kritisch eingestuft. Allerdings betreffen die kritischen Lücken eine Menge an Microsoft-Produkten und Modulen. Daher ist ein Blick in die von Microsoft veröffentlichte Liste aller genannten Patches zu empfehlen.
Mehr bei Microsoft.com
Über Microsoft Deutschland Die Microsoft Deutschland GmbH wurde 1983 als deutsche Niederlassung der Microsoft Corporation (Redmond, U.S.A.) gegründet. Microsoft hat es sich zur Aufgabe gemacht, jede Person und jedes Unternehmen auf der Welt zu befähigen, mehr zu erreichen. Diese Herausforderung kann nur gemeinsam gemeistert werden, weshalb Diversität und Inklusion seit den Anfängen fest in der Unternehmenskultur verankert sind. Als weltweit führender Hersteller von produktiven Softwarelösungen und modernen Services im Zeitalter von intelligent Cloud und intelligent Edge, sowie als Entwickler innovativer Hardware, versteht sich Microsoft als Partner seiner Kunden, um diesen zu helfen, von der digitalen Transformation zu profitieren. Sicherheit und Datenschutz haben bei der Entwicklung von Lösungen oberste Priorität. Als weltweit größter Beitragsgeber treibt Microsoft die Open-Source-Technologie über seine führende Entwicklerplattform GitHub voran. Mit LinkedIn, dem größten Karriere-Netzwerk, fördert Microsoft die berufliche Vernetzung weltweit.