Microsoft Patchday: Zwei Zeroday-LĂĽcken werden bereits angegriffen
Zum Microsoft-Patchday im Oktober dichten die Entwickler auch zwei SicherheitslĂĽcken ab, die bereits in freier Wildbahn angegriffen werden.
Updates sind verfĂĽgbar.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Microsoft hat zum Oktober-Patchday Fehlerkorrekturen zu 117 CVE-Schwachstelleneinträgen herausgegeben. Zwei der Lücken werden bereits in freier Wildbahn angegriffen. "Missbrauch entdeckt", fasst Microsoft das zusammen, betroffen sind die Microsoft Management Console und die Windows MSHTML-Plattform.
Die Release-Note zum Oktober-Patchday von Microsoft listet alle SicherheitslĂĽcken auf, die das Unternehmen angegangen ist. Es sind wieder Produkte aus allen Bereichen von Sicherheitslecks betroffen, von der lokalen Windows-Installation bis zur Azure-Cloudsoftware.
Bereits missbrauchte Schwachstellen
In Microsofts Management Console können Angreifer Schadcode einschleusen und ausführen. Aus Microsofts Erläuterung, wie das Update wirkt, lässt sich herleiten, dass manipulierte "nicht vertrauenswürdige Microsoft Saved Console (MSC)-Dateien" den Fehler auslösen konnten. Diese lassen sich nach dem Update nicht mehr laden (CVE-2024-43572, CVSS 7.8, Risiko "hoch"). In der Windows MSHTML Plattform haben Angreifer eine Cross-Site-Scripting-Lücke zum Fälschen von Anzeigen missbraucht (CVE-2024-43573, CVSS 6.5, mittel). Microsoft schreibt in den Sicherheitsmitteilungen nicht, wie Angriffe sich erkennen lassen, das Unternehmen nennt auch keine temporären Gegenmaßnahmen.
Microsoft hat zudem Schwachstellen als kritisches Risiko eingestuft. Einmal eine Codeschmuggel-Lücke in Microsoft Configuration Manager (CVE-2024-43468, CVSS 9.8, kritisch) und dann eine Rechteausweitungslücke in Windows Netlogon (CVE-2024-38124, CVSS 9.0, kritisch). Rund ein Dutzend Meldungen streifen mit einer CVSS-Einstufung von 8.8 an der höchsten Risikostufe nur knapp vorbei.
IT-Verantwortliche sollten die CVE-Liste durchgehen und die verfĂĽgbaren Aktualisierungen fĂĽr die in ihrer Organisation eingesetzten Produkte zĂĽgig herunterladen und installieren.
Das Update fĂĽr Windows 11 24H2 (KB5044284) hievt das Betriebssystem auf den Build 26100.2033. Microsoft hebt hervor, dass insbesondere ein Fehler im Remotedesktopgateway-Dienst behoben wurde, durch den der Dienst nach der Nutzung mittels RPC-Aufrufen ĂĽber HTTP nicht mehr reagierte und Clients die Verbindung gekappt haben. Microsoft erinnert daran, dass dies die letzten Sicherheitsupdates fĂĽr Windows 11 21H2 Edu und Enterprise sowie fĂĽr Windows 11 22H2 Home und Pro sind. Wer diese Windows-Builds noch einsetzt, sollte zĂĽgig auf eine noch unterstĂĽtzte Fassung wie Windows 11 24H2 aktualisieren.
Im September hatte Microsoft ebenfalls bereits angegriffene Schwachstellen am Patchday ausgebessert. Es handelte sich um insgesamt vier LĂĽcken, die Kriminelle in Publisher und Windows zuvor missbraucht haben.
(dmk)