Patchday Oktober 2023 - Diese Lücken schließt Microsoft
von Tina Siering
Der zweite Dienstag im Monat ist traditionell der „Patchday“ von Microsoft. Administratoren und Endnutzer erhalten durch diesen Tag eine vorhersehbare Routine, um die eingesetzten Systeme auf dem neuesten Stand zu halten und bekannte Sicherheitslücken zu schließen. Durch die Bündelung der Updates auf einen Tag können die IT-Teams besser planen und so effizient sicherstellen, dass die IT-Infrastruktur zeitnah aktualisiert wird. Am Patchday im Oktober hat Microsoft insgesamt 103 Updates zu bekannten Schwachstellen veröffentlicht, von denen 13 als kritisch eingestuft wurden. Drei Sicherheitslücken sind bereits öffentlich bekannt und werden akut angegriffen. Es wird empfohlen, die Updates schnellstmöglich zu installieren.
Diese Schwachstellen werden bereits aktiv durch Cyberkriminelle ausgenutzt
Schwachstelle 1: CVE-2023-36563
Die Sicherheitslücke CVE-2023-36563 wurde mit einem CVSS von 6.5 als „wichtig“ klassifiziert und ist bereits öffentlich bekannt. Die Schwachstelle in der Anwendung WordPad betrifft alle Windows-Versionen und wird aktuell durch Trojaner ausgenutzt. Um hierbei erfolgreich zu sein, müssen Cyberkriminelle im Vorfeld in einem System angemeldet sein und eine vorbereitete Anwendung ausführen – oder alternativ Anwender dazu bringen, eine präparierte Datei zu öffnen. Gelingt der Angriff, erhalten Cyberkriminelle den Zugriff auf NTML-Hashes und bekommen im schlimmsten Fall Kontrolle über den betroffenen Rechner.
Unser Tipp: Vermeiden Sie das Risiko eines erfolgreichen Cyberangriffs durch die Erstellung von Gruppenrichtlinien!
Schwachstelle 2: CVE-2023-44487
Von der Sicherheitslücke CVE-2023-44847 sind mehrere Windows-Versionen sowie das Microsoft Visual Studio betroffen. Die als „wichtig“ eingestufte Sicherheitslücke eröffnet über das HTTP/2-Protokoll die Möglichkeit, DoS-Zustände auszulösen. Mit einem durch Microsoft veröffentlichten Workaround lässt sich das HTTP/2-Protokoll zwar auf dem Webserver deaktivieren – dennoch ist das Aufspielen des Patches unverzichtbar, da die Sicherheitslücke bereits aktiv ausgenutzt wird!
Schwachstelle 3: CVE-2023-41763
Die Sicherheitslücke CVE-2023-41763 wurde in der Anwendung Skype for Business Server 2015 CU13 / 2019 CU7 ausfindig gemacht. Die als „wichtig“ eingestufte Lücke ermöglicht es Cyberangreifern, über einen Skype-Anruf eine HTTP-Anfrage auszulösen und anschließend umzuleiten. Das kann Angreifer in die Lage versetzen, den Server zu übernehmen, wichtige Informationen auszulesen und in der Folge in das Netzwerk einzudringen.
Weitere Schwachstellen, die durch den Patchday geschlossen wurden
Neben den bereits bekannten und ausgenutzten Schwachstellen hat Microsoft im Oktober weitere Sicherheitslücken geschlossen, unter anderem mit dem mittlerweile 20. Patch für den Microsoft Messaging Queuing Service. Zusätzlich wurden Sicherheitslücken in Azure, Microsoft Exchange Server, Windows Layer 2 Tunneling Protocols und SQL Server geschlossen.
Mit dem Patchday immer auf dem aktuellen Stand
Mit den regelmäßig einmal im Monat erscheinenden Patches versorgt Microsoft seine aktuellen Betriebssysteme und Programme mit wichtigen Updates, die bekannt gewordene Sicherheitslücken schließen. Im Oktober wurden insgesamt 103 Sicherheitslücken geschlossen, 44 mehr als im September 2023. Zusätzlich erhalten auch die Windows-Versionen regelmäßige Updates im Rahmen der Patchdays. Windows 11 21H2 hat mit dem Oktober-Patchday das letzte Update erhalten, ab November werden Systeme mit dieser Windows-Version nicht mehr aktualisiert. Wir empfehlen hier dringend das kostenlose Upgrade auf Windows 22H2.
Bei Windows 10 wird von Microsoft nur noch die Version 22H2 gepflegt - und zwar bis zum 14. Oktober 2025. Danach werden keine Updates mehr für Windows 10 verteilt, der Einsatz dieses Betriebssystems soll also spätestens in zwei Jahren beendet werden.
Sofern Sie Ihr Betriebssystem automatisch aktualisieren lassen, erhalten Sie die Patches und Updates automatisch und ohne weiteres Zutun jeden zweiten Dienstag im Monat. Wir empfehlen Ihnen dringend, die Patches sehr zeitnah einzuspielen, da bekannt gewordene Sicherheitslücken erfahrungsgemäß innerhalb kürzester Zeit von Cyberangreifern ausgenutzt werden.