Ende September machte Microsofts E-Mail-System Exchange mit einem akuten Sicherheitsproblem Schlagzeilen. Sicherheitsforscher warnten vor zwei Lecks – und nicht nur das: Diese wurden zu diesem Zeitpunkt auch bereits ausgenutzt. Registriert wurden etwa Einschleusungen der Erpressungssoftware Lockbit.

Die Zero-Day-Lücken betrafen alle Firmen und Organisationen, die eigene Exchange-Server verwalten. Einzig die von Microsoft als Cloudservice betriebene Variante blieb verschont. Die Gefährlichkeit der Lücken wurde mit CVSS-Scores von 6,3 und 8,8 als ziemlich hoch bewertet. Doch bis zu einer wohl finalen Behebung dauerte es dennoch bis zum Patchday am gestrigen Dienstag (8. November).

Im Rahmen der monatlichen Updatelieferung brachte Microsoft nun die passenden Fehlerbereinigungen an den Start. Zuvor mussten sich Admins mit Workarounds behelfen, die zunächst aber unzureichend waren und nachgebessert werden mussten.

Auch schwere Windows-Lecks gepatcht

Mehrere Patches gibt es auch für Lücken in Windows selbst. Mit einer davon ließ sich die automatische Deaktivierung von Makros in heruntergeladenen Word-Dateien umgehen, die immer wieder von Angreifern als Waffe eingesetzt wird. Ebenso konnte damit das Smartscreen-Feature ausgehebelt werden, das den Microsoft Defender heruntergeladene Dateien auf Malware scannen und vor potenziell betrügerischen Webseiten warnen lässt.

Während das Risiko hier seitens von Microsoft nur als "mittel" eingestuft wurde, gelten die nunmehr gepatchten Lecks in Hyper-V, dem Windows Point-to-Point-Tunneling und Kerberos sogar als "kritisch". Sie ermöglichen die Einschleusung von Schadcode als auch DoS-Angriffe auf das System. Zwei weitere Lecks mit "hohem" Risikofaktor betreffen die Druckerbefehlsschleife und den CNG Key Isolation Service. Angreifer können sich bei Ausnutzung dieser Schwachstellen höhere Rechte am System verschaffen.

Wer eine Übersicht aller von Microsoft ausgespielten Sicherheitspatches einsehen möchte, findet diese im "Update Guide" auf der Website des Konzerns. (red, 9.11.2022)