Beim Patch Day am 11. Juni hat Microsoft diverse Sicherheits-Updates bereitgestellt, um 49 Schwachstellen zu beseitigen. Verglichen mit dem umfangreichen Update-Dienstag im April sind das recht wenige. Microsoft stuft eine Sicherheitslücke im Message Queuing Dienst als kritisch ein und weist die übrigen Lücken als hohes Risiko aus. Bislang wird laut Microsoft keine der Lücken für Angriffe ausgenutzt.
Spärliche Details zu den Schwachstellen bietet Microsoft zum Selbstsuchen im Leitfaden für Sicherheitsupdates. Deutlich übersichtlicher bereitet Dustin Childs im Blog von Trend Micro ZDI das Thema Update-Dienstag auf – stets auch mit Blick auf Admins, die Unternehmensnetzwerke betreuen. Laut Childs sind unter den gestopften Lücken auch solche, die bereits im März beim Hacker-Wettbewerb Pwn2own in Vancouver aufgedeckt wurden. Welche das sind, lässt Childs offen.
Die wichtigsten Sicherheitslücken beim Patch Day im Juni 2024
CVE | anfällige Software | Schweregrad | Auswirkung | ausgenutzt | vorab bekannt |
---|---|---|---|---|---|
CVE-2024-30078 | Windows WLAN-Treiber | hoch | RCE | nein | nein |
CVE-2024-30080 | Windows Message Queuing | kritisch | RCE | nein | nein |
CVE-2024-30103 | MS Office Outlook | hoch | RCE | nein | nein |
Browser-Updates
Das jüngste Sicherheits-Update für Edge ist die Version 125.0.2535.85 vom 3. Juni. Sie beseitigt mehrere Sicherheitslücken der Chromium-Basis, die Google mit dem Chrome-Update vom 30. Mai geschlossen hatte. Die nachfolgende Aktualisierung auf Edge 125.0.2535.92 vom 6. Juni ist nur ein Wartungs-Update. Google hat inzwischen Chrome 126 freigegeben.
Office-Lücken
In seiner Office-Familie hat Microsoft fünf Schwachstellen (CVE-2024-30100 bis -30104) beseitigt. Alle fünf sind RCE-Lücken (Remote Code Execution) und als hohes Risiko ausgewiesen. Die Outlook-Schwachstelle CVE-2024-30103 kann es einem Angreifer ermöglichen, Schutzmaßnahmen in Outlook zu umgehen und schädliche DLLs (Programmbibliotheken) zu erzeugen. Die können ihnen später nützlich sein. Dazu braucht ein Angreifer zwar Berechtigungen als Exchange-Benutzer, der Angriff klappt dafür aber schon im Vorschaufenster.
Schwachstellen in Windows
Der überwiegende Teil der Schwachstellen, dieses Mal 33, verteilt sich über die verschiedenen Windows-Versionen (10 und neuer, Server), für die Microsoft noch Sicherheits-Updates für alle anbietet. Windows 7 und 8.1 werden zwar in den Sicherheitsberichten nicht mehr erwähnt, könnten jedoch anfällig sein. Soweit die Systemanforderungen das zulassen, sollten Sie auf Windows 10 (22H2) oder Windows 11 (23H2) wechseln, um weiterhin Sicherheits-Updates zu bekommen.
Die neuesten Sicherheits-Updates
Wurmloch in Windows
Die einzige Schwachstelle, die Microsoft im Juni als kritisch ausweist, ist CVE-2024-30080 in MSMQ. Der Microsoft Message Queuing Dienst war schon oft Gegenstand der Berichte über den Patch Day. Diese Lücke hat den sehr hohen CVSS-Score 9.8 und ist laut Dustin Childs Wurm-tauglich. Das bedeutet, Schadcode könnte sich von Server zu Server fortpflanzen, sofern MSMQ aktiv ist. Das sollte nicht so viele betreffen, die übers Internet angreifbar sind. Prüfen Sie dennoch bei dieser Gelegenheit, ob der TCP-Port 1801 von außerhalb Ihres Netzwerks erreichbar ist.
Angriff über die Luftschnittstelle
Die Schwachstelle CVE-2024-30078 steckt im WLAN-Treiber aller Windows-Versionen. Ein Angreifer in Reichweite des WLANs könnte speziell präparierte Wi-Fi-Pakete senden und auf diese Weise Code einschleusen und ausführen. Microsoft hält eine Ausnutzung dieser Lücke zwar für weniger wahrscheinlich, doch für potenzielle Angreifer klingt so etwas interessant genug, um sich damit näher zu befassen.
Auch im Juni gibt es wieder ein neues Windows-Tool zum Entfernen bösartiger Software. Der nächste turnusmäßige Update-Dienstag ist am 9. Juli 2024 (⚽ EM-Halbfinale in München).