Patch Day März 2020

Unter den von Microsoft am 10. März geschlossenen 115 Sicherheitslücken sind 26 Schwachstellen, die Microsoft als kritisch einstuft. Diese betreffen Windows, den Internet Explorer, Edge (Edge-HTML), Office und Dynamics Business Central. Die übrigen Lücken stuft Microsoft bis auf eine als hohes Risiko ein. Details zu allen Schwachstellen bietet Microsoft zum Selbstsuchen im unübersichtlichen Security Update Guide . Weniger kleinteilig und dafür übersichtlicher bereiten etwa die Blogger bei Trend Micro ZDI und Bleeping Computer das Thema Patch Day auf.

Das könnte Sie interessieren: Windows 10 legal für 36 Euro kaufen

Internet Explorer (IE)
Das neue kumulative Sicherheits-Update (4540671) für den Internet Explorer 10 bis 11 beseitigt sechs Schwachstellen in dem Uralt-Browser. Microsoft stuft alle Lücken als kritisch ein. Zwei der Schwachstellen betreffen auch Edge (Edge-HTML).

Edge
In der alten Generation des Edge-Browsers (Edge-HTML) hat Microsoft im März 14 Sicherheitslücken beseitigt. Alle dieser Lücken bis auf eine stuft Microsoft als kritisch ein. Die neue Generation Edge (Chromium-basiert) erhält Sicherheits-Updates außerhalb des Update-Dienstags über die im Browser integrierte Aktualisierungsfunktion.

Office
Für seine Office-Familie liefert Microsoft in diesem Monat Updates gegen neun Sicherheitslücken aus. Microsoft stuft eine Word-Schwachstelle (CVE-2020-0852) als kritisch ein. Sie ermöglicht es, mittels präparierter Office-Dokumente Code, namentlich Malware, einzuschleusen und diesen mit Benutzerrechten auszuführen. Dazu genügt es, wenn ein an eine Mail angehängtes Word-Dokument in der Outlook-Vorschau angezeigt wird.

Windows
Der überwiegende Teil der Schwachstellen, 78 Lücken, verteilt sich über die verschiedenen Windows-Versionen (8.1 und neuer), für die Microsoft noch Sicherheits-Updates anbietet. Windows 7 wird zwar in den Sicherheitsberichten noch erwähnt, Updates erhalten jedoch nur noch am kostenpflichtigen ESU-Programm teilnehmende Organisationen. Microsoft stuft sieben dieser Windows-Lücken als kritisch ein.

Auch in diesem Monat gibt es wieder eine neu entdeckte LNK-Lücke (CVE-2020-0684), die alle Windows-Versionen betrifft. Ihre CVE-Nummer ist niedriger als die der im Vormonat gestopften LNK-Lücke. Sie dürfte Microsoft also schon länger bekannt sein als diese. Auch zwei Lücken in GDI+ (CVE-2020-0881 und CVE-2020-0883) stecken in allen Windows-Versionen. Gleich vier kritische Schwachstellen hat Microsoft in der Windows Media Foundation gestopft. Diese betreffen nur neuere Windows-Versionen, also Windows 10 und Server 2016 bis 2019.

Exchange Server
In Exchange Server 2016 und 2019 hat Microsoft mit CVE-2020-0903 eine XSS-Lücke geschlossen (Cross-Site-Scripting). Ein Angreifer könnte die Identität eines Opfers annehmen und ausnutzen, um Daten zu lesen, die ihm nicht zugänglich sein sollten. Er könnte in dessen Namen verschiedene Operationen auf dem Exchange Server ausführen, etwa Berechtigungen ändern oder Inhalte löschen. Die im Februar geschlossene Schwachstelle CVE-2020-0688 in Exchange Server 2010 bis 2019 wird inzwischen für Angriffe ausgenutzt.

Dynamics Business Central
In der Unternehmens-Software Dynamics NAV 2013 bis 2018 sowie Dynamics 365 hat Microsoft eine kritische Schwachstelle (CVE-2020-0905) behoben, die in Dynamics Business Central steckt. Ein Angreifer mit gültiger Benutzeranmeldung müsste einen anderen Benutzer dazu bringen, sich mit einem manipulierten Dynamics Business Central Client zu verbinden. Er könnte dann beliebige Shell-Befehle auf dem Rechner seines Opfers ausführen.

Application Inspector
Der quelloffene Application Inspector könnte dazu missbraucht werden, um Code einzuschleusen und auszuführen. Dazu müsste der Angreifer sein Opfer dazu bringen, die Software auf Code loszulassen, der eine speziell präparierte Fremdkomponente enthält. Offenbar hat Microsoft den Fehler bereits im Januar mit Version 1.0.24 behoben und erst jetzt veröffentlicht.

SMBv3 mit Wurmloch
Das Server Message Block 3.1.1 (SMBv3) Protokoll in Windows 10 und Windows Server ist anfällig für Attacken mit präparierten Paketen. Im Erfolgsfall könnte ein Angreifer eingeschleusten Code ausführen. Die bislang inoffiziell als CVE-2020-0796 bekannte Sicherheitslücke soll wurmtauglich sein. Microsoft hat bisher noch kein Update bereitgestellt, um die Schwachstelle zu beseitigen.

In der gestern Abend veröffentlichten Sicherheitsempfehlung ADV200005 rät Microsoft dazu, die SMBv3-Komprimierung zu deaktivieren und zeigt auch, wie das mittels PowerShell geht. Dies schützt jedoch nur vor Angriffen auf SMB-Server – SMB-Clients bleiben verwundbar. Hier kann es helfen, den TCP-Port 445 für Zugriffe zu sperren. Wann Microsoft die Lücke schließen will, ist bis dato nicht bekannt.

Für die beim Update-Dienstag im März geschlossenen Sicherheitslücken sind laut Microsoft bislang keine Angriffe bekannt, bei denen eine der Lücken ausgenutzt würde.

Flash Player
Adobe hat am 10. März keine Sicherheits-Updates veröffentlicht.

Schließlich gibt es, wie in fast jedem Monat, auch im März wieder das Windows-Tool zum Entfernen bösartiger Software in einer neuen Version. Der nächste turnusmäßige Patch Day ist am 14. April.

Das könnte Sie interessieren: Windows 10 legal für 36 Euro kaufen