Am März-Patchday hat Microsoft 65 Sicherheitslecks gestopft, von denen 18 als kritisch eingestuft werden. 13 dieser kritischen Lücken befinden sich in den Scripting-Engines und Browser-Komponenten und betreffen damit die Microsoft-Browser sowie Office. Im Windows-DHCP-Client werden drei Schwachstellen behoben, die eine Remotecodeausführung (RCE) ermöglichen. Eine weitere RCE-Lücke wird im TFTP-Server der Windows-Bereitstellungsdienste geschlossen. In Microsoft-Dynamics-365 wird eine Schwachstelle beseitigt, die eine Ausweitung der Benutzerrechte erlaubt. Das Adobe-Update hat bescheidenen Umfang: Es beinhaltet nur Patches für zwei CVEs, die sich in Photosho- CC und Digital-Editions befinden.
Workstation-Patches
Die Patches für die Browser, die Scripting-Engines, ActiveX und MSXML sollten bei Geräten vom Typ Workstation Vorrang haben – das heißt auf jedem System, das für E-Mail oder Internetzugriffe über einen Browser verwendet wird. Dazu zählen auch Multi-User-Server, die als Remote-Desktops für Benutzer eingesetzt werden.
Windows-DHCP-Client
Der Windows-DHCP-Client wird sowohl bei Workstations als auch Servern verwendet. Die Patches für die drei RCE-Anfälligkeiten sollten auf allen Windows-Systemen schnellstmöglich verteilt werden.
TFTP-Server der Windows-Bereitstellungsdienste
Wenn Windows-Bereitstellungsdienste genutzt werden, sollte diesem Patch Priorität eingeräumt werden, da eine Ausnutzung der betreffenden Schwachstelle Angreifer in die Lage versetzen könnte, aus der Ferne Schadcode auf dem betroffenen Host auszuführen.
Microsoft-Dynamics-365
On-Premises-Implementierungen von Microsoft-Dynamics-365 sind anfällig für eine unautorisierte Ausweitung von Benutzerrechten, die Patches für diese Systeme sollten ebenfalls Priorität haben.
Microsoft-Sicherheitsempfehlungen
Darüber hinaus hat Microsoft drei Sicherheitsempfehlungen zu verschiedenen Themen veröffentlicht:
- ADV190009 informiert über die Umstellung auf SHA-2 Codesignierung für Windows 7 SP1 und Windows Server 2008 R2. Alle neuen Patches, die ab Juli 2019 veröffentlicht werden, erfordern dieses Update. Auch ältere Versionen von WSUS sollten aktualisiert werden, damit die neuen SHA-2-signierten Patches verteilt werden können.
- ADV190005 gibt Empfehlungen zur Verwendung gemeinsamer Konten für mehrere Benutzer. Microsoft betrachtet diese Praxis als erhebliches Sicherheitsrisiko und rät deshalb davon ab.
- ADV190005 beschreibt eine Abhilfemaßnahme gegen eine potenzielle Denial-of-Service-Lücke in http.sys, die mithilfe von HTTP/2-Anfragen ausgelöst werden kann. Um das Problem zu beheben, haben die Benutzer jetzt die Möglichkeit, Schwellenwerte für die Anzahl der SETTINGS-Parameter im Rahmen einer Anfrage festzulegen.
Adobe
Adobe hat nicht sicherheitsrelevante Patches für Flash sowie kritische Sicherheitsupdates für Photoshop-CC und Digital-Editions veröffentlicht, die jeweils eine Sicherheitslücke schließen.
Von Jimmy Graham, Senior Director of Product Management bei Qualys
#Netzpalaver #Qualys
