Microsoft-Patchday wird immer wichtiger

B2B Cyber Security ShortNews

Beitrag teilen

Der Patch Tuesday von Microsoft ist zwar schon ein Klassiker, aber er wird immer wichtiger. Unternehmen sollten daher immer sofort die Patches für die Systeme ausführen. Zwei aktuelle Zero-Day-Schwachstellen sind mit dem CVSSv3-Score von 6.2 bzw. 7.8 nicht extrem hoch bewertet, sie werden aber aktuell bereits angegriffen, da ihre Verbreitung so hoch ist. 

Der Patch Tuesday dieses Monats umfasst Fixes für 61 CVEs, von denen fünf als kritisch, 55 als wichtig und eine als moderat eingestuft wurden. Microsoft hat außerdem zwei Zero-Day-Schwachstellen behoben, die in freier Wildbahn bereits ausgenutzt wurden. Den Patch Tuesday dieses Monats kommentierte Satnam Narang, Senior Staff Research Engineer bei Tenable.

Anzeige

Word ist immer einen Angriff wert

Bei CVE-2023-36761 handelt es sich um eine Sicherheitslücke in Microsoft Word, die mit einem CVSSv3-Score von 6.2 als wichtig eingestuft wurde und Informationen preisgibt. Die Ausnutzung dieser Sicherheitslücke beschränkt sich nicht nur darauf, dass ein Angriffsopfer ein schädliches Word-Dokument öffnet. Bereits die Vorschau der Datei kann die Ausnutzung der Sicherheitslücke auslösen. Eine Ausnutzung würde die Offenlegung von NTLM-Hashes (New Technology LAN Manager) ermöglichen. Dies ist die zweite Zero-Day-Schwachstelle in Microsoft-Produkten im Jahr 2023, die zur Offenlegung von NTLM-Hashes geführt hat. Die erste war CVE-2023-23397, eine Sicherheitslücke in Microsoft Outlook, die im Patch Tuesday Release vom März bekannt gegeben wurde.

CVSS 7.8: Microsoft Streaming Service

CVE-2023-36802 ist eine Sicherheitslücke in Microsoft Streaming Service Proxy, die mit einem CVSSv3-Score von 7.8 bewertet und als wichtig eingestuft wurde. Es handelt sich um die achte Zero-Day-Schwachstelle mit erhöhten Rechten, die im Jahr 2023 in freier Wildbahn ausgenutzt wurde. Angreifer haben unzählige Möglichkeiten, in Unternehmen einzudringen. Sich einfach nur Zugang zu einem System zu verschaffen, ist nicht immer ausreichend. Schwachstellen bei der Erhöhung von Privilegien werden umso wertvoller, insbesondere bei Zero-Day-Angriffen.“

Bei den Fixes für 61 CVEs wurden nur fünf als kritisch eingestuft. Allerdings betreffen die kritischen Lücken eine Menge an Microsoft-Produkten und Modulen. Daher ist ein Blick in die von Microsoft veröffentlichte Liste aller genannten Patches zu empfehlen.

Mehr bei Microsoft.com

 


Über Microsoft Deutschland

Die Microsoft Deutschland GmbH wurde 1983 als deutsche Niederlassung der Microsoft Corporation (Redmond, U.S.A.) gegründet. Microsoft hat es sich zur Aufgabe gemacht, jede Person und jedes Unternehmen auf der Welt zu befähigen, mehr zu erreichen. Diese Herausforderung kann nur gemeinsam gemeistert werden, weshalb Diversität und Inklusion seit den Anfängen fest in der Unternehmenskultur verankert sind.

Als weltweit führender Hersteller von produktiven Softwarelösungen und modernen Services im Zeitalter von intelligent Cloud und intelligent Edge, sowie als Entwickler innovativer Hardware, versteht sich Microsoft als Partner seiner Kunden, um diesen zu helfen, von der digitalen Transformation zu profitieren. Sicherheit und Datenschutz haben bei der Entwicklung von Lösungen oberste Priorität. Als weltweit größter Beitragsgeber treibt Microsoft die Open-Source-Technologie über seine führende Entwicklerplattform GitHub voran. Mit LinkedIn, dem größten Karriere-Netzwerk, fördert Microsoft die berufliche Vernetzung weltweit.


 

Passende Artikel zum Thema

Security Report deckt Missbrauch von Blockchains für Malware auf

Der neue Internet Security Report von WatchGuard deckt unter anderem die Instrumentalisierung von Blockchains als Hosts für schädliche Inhalte auf. ➡ Weiterlesen

Leitfaden zur KI-Verordnung

Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Zwei Drittel der Unternehmen brauchen Hilfe bei der Umsetzung der KI-Verordnung ➡ Weiterlesen

Bring your own KI

In jedem dritten Unternehmen werden private KI-Zugänge genutzt. Auf der anderen Seite hat bisher nur jedes siebte Unternehmen Regeln zum ➡ Weiterlesen

Mit KI-Technologie Geschäftsanwendungen sicher verwalten

Ein  Anbieter von Cybersicherheitslösungen, launcht die neueste Version seiner Sicherheitsmanagement-Plattform. Mithilfe von moderner KI-Technologie lassen sich Geschäftsanwendungen schnell und präzise ➡ Weiterlesen

Datensicherheit: Backup-Strategie ist das Rückgrat

Als Folge des fehlerhaften CrowdStrike Updates im Sommer diesen Jahres kam es bei fast jedem zweiten betroffenen Unternehmen in Deutschland ➡ Weiterlesen

Studie: Digitale Mitarbeitererfahrung verbessert die Cybersicherheit

Neun von zehn Führungskräften sind überzeugt, dass ihr Unternehmen gewinnt, wenn sie digitale Mitarbeitererfahung priorisieren, so die Ergebnisse einer Umfrage. ➡ Weiterlesen

Patchday bei SAP

SAP hat mehrere Patches veröffentlicht, die insgesamt acht Schwachstellen betreffen. Eine davon ist als schwerwiegend eingestuft. Am schwersten wiegt eine ➡ Weiterlesen

Disaster-Recovery-Ereignisse bei Microsoft 365

Ein globales Softwareunternehmen, das IT-Dienstleister bei der Bereitstellung von Fernüberwachung und -verwaltung, Datenschutz als Service und Sicherheitslösungen unterstützt, hat den ➡ Weiterlesen