Suchen

Microsoft Patchday Januar 2020 Letzter Patchday für Windows 7 und Windows Server 2008/2008 R2

| Autor / Redakteur: Thomas Joos / Stephan Augsten

Mit dem ersten Patchday des neuen Jahres stellt Microsoft am 14.01.2020 nicht nur Updates für Windows 10 zur Verfügung, sondern gleichzeitig auch die letzten Updates für Windows 7 und Windows Server 2008/2008 R2. Admins sollten jetzt umgehend Schritte einleiten um die Systeme zu ersetzen.

Auch zum ersten Patchday 2020 hat Microsoft wieder wichtige Security-Updates und Bugfixes für Windows und Windows Server veröffentlicht.
Auch zum ersten Patchday 2020 hat Microsoft wieder wichtige Security-Updates und Bugfixes für Windows und Windows Server veröffentlicht.
(Bild: gemeinfrei / Pixabay )

Zum Januar-Patchday hat Microsoft Patches für fast 50 CVEs veröffentlicht. Betroffen sind alle aktuell unterstützten Betriebssysteme und Frameworks wie ASP.NET, .NET Core und .NET Framework. Auch Microsoft Dynamics wird aktualisiert. Im Januar werden acht Updates als kritisch und der Rest als wichtig aufgeführt. Laut Microsoft werden aktuell keine dieser CVEs von Angreifern genutzt.

Wer seine Server und Arbeitsstationen nicht zu einem neuen Betriebssystem aktualisiert hat und derzeit noch Windows 7, Windows Server 2008/2008 R2, Windows Storage Server 2008 oder Hyper-V-Server 2008/2008 R2 einsetzt, erhält am 14.01.2020 die letzten Updates für diese Produkte. Windows 7 weist auf das Support-Ende hin. Die Benachrichtigung wurde durch das Update KB4530734 in Windows 7 integriert. Da der Support ab heute eingestellt wird, zumindest dann, wenn kein spezieller Vertrag mit Microsoft geschlossen, oder die Server zu Microsoft Azure übertragen wurden, sollten sich Verantwortliche mit dem Thema umgehend auseinandersetzen.

Wichtige Sicherheitslücke wird geschlossen - Windows CryptoAPI Spoofing Vulnerability

Mit dem Patchday im Januar 2020 schließt Microsoft auch die extrem kritische Sicherheitslücke „CVE-2020-0601 | Windows CryptoAPI Spoofing Vulnerability“ in allen aktuellen Windows 10-Versionen, auch in Windows Server 2016/2019 Die Lücke stellt eine Spoofing-Schwachstelle für Windows CryptoAPI (Crypt32.dll) und ECC-Zertifikate (Elliptic Curve Cryptography) dar. Ein Angreifer kann die Lücke nutzen, indem er ein gefälschtes Code-Signatur-Zertifikat zum Signieren einer bösartigen ausführbaren Datei verwendet.

So entsteht der Eindruck, die Datei stammt aus einer vertrauenswürdigen, legitimen Quelle. Der Benutzer hat in diesem Fall keine Möglichkeit, die Datei zu erkennen, da die digitale Signatur scheinbar von einem vertrauenswürdigen Anbieter stammt. Ein erfolgreicher Exploit könnte es dem Angreifer auch ermöglichen, Man-in-the-Middle-Angriffe durchzuführen und vertrauliche Informationen über Benutzerverbindungen zu der betroffenen Software zu entschlüsseln. Mehr zur Lücke wird im Blogbeitrag „Cryptic Rumblings Ahead of First 2020 Patch Tuesday“ des bekannten Security-Journalisten Brian Krebs aufgeführt.

Windows 7 und Windows Server 2008 R2 nach dem Ablaufen des Supports

Wer diese Systeme noch einsetzt, kann bei Microsoft Extended Security Update Support (ESU) kostenpflichtig buchen. Dieser steht für die Editionen Professional und Enterprise zur Verfügung. Aktuell setzen nach Statistiken noch bis zu 27 Prozent auf Windows 7.

In diesem Fall erhalten die Betriebssysteme noch einige Zeit Updates. Natürlich können die älteren Betriebssysteme weiterhin eingesetzt werden, neu gefundene Sicherheitslücken werden allerdings nicht mehr geschlossen. Der Weiterbetrieb bedeutet aber auch nicht, dass Windows 7 und Windows Server 2008/2008R2 ab dem 15.01.2020 komplett unsicher sind und vorher sicher waren. Es bedeutet, dass bei neuen Lücken keine Updates mehr erscheinen, vorhandene wurden durch die vorhergehenden Patches bereits geschlossen. Dennoch sollten sich Verantwortliche den Risiken bewusst sein.

Das letzte, offizielle Monthly Rollup „KB4534310“ schließt Lücken in Windows 7 und Windows Server 2008/2008 R2. Eine ausführliche Liste, welche Lücken noch behoben wurden, ist nicht zu erkennen. Anscheinend ist es aber so, dass die Crypto-Lücke, die es in Windows 10 gibt, für Windows 7 nicht vorhanden scheint. Das Update „KB4534314“ schließt ebenfalls eine Sicherheitslücken in Windows 7 und Windows Server 2008 R2 SP1. Auch hier geht Microsoft nicht näher auf die Lücken ein.

WSUS Tipps & Tricks

Bildergalerie mit 6 Bildern

Microsoft Edge erhält Chromium-Engine

Für Windows 10 liefert Microsoft auch ein Zwangsupdate aus, dass die Browser-Engine von EdgeHTML zu Chromium ändert. Dieses Update soll am 15.01.2020 erscheinen. Für die Installation der Aktualisierung ist mindestens Windows 10 Version 1803 notwendig. Wer die Engine seines Browsers nicht ändern will, kann das Update noch eine Zeit lang blockieren. Microsoft unterstützt das mit dem Microsoft Edge Blocker-Toolkit.

33 Security-Tipps für Windows 10

Bildergalerie mit 34 Bildern

Updates für Windows 8.1 und Windows Server 2012 R2

Neben Windows und Windows Server 2008/2008 R2 und Windows 10, sowie Windows Server 2016/2019 werden auch Windows 8.1 und Windows Server 2012 R2 weiterhin mit Updates versorgt. Das Update KB4534309 schließt Lücken der Windows Virtualization, Windows Kernel, Windows Peripherals und Windows-Serverdiensten.

Sicherheitslücken im Remotedesktop

Am Januar-Patchday werden auch Sicherheitslücken des Remote Desktops geschlossen. Hier vor allem die beiden Lücken „CVE-2020-0609“ und „CVE-2020-0611“. Davon sind alle Server-Versionen betroffen, also Windows Server 2012/2012 R2 und Windows Server 2016/2019.

Die Sicherheitslücke besteht bei der Remotecodeausführung, wenn ein Benutzer eine Verbindung zu einem mit Malware befallenen Server herstellt. Ein Angreifer, der die Lücke ausnutzt, kann Code auf dem Computer des Clients ausführen. Es können zum Beispiel Programme installiert, Daten angezeigt und Daten geändert oder gelöscht werden. Außerdem können neue Konten mit vollen Benutzerrechten erstellt werden.

Eine weitere Sicherheitslücke bei der Remotecodeausführung besteht im Windows Remote Desktop Gateway (RD-Gateway). Wenn ein nicht authentifizierter Angreifer eine Verbindung über RDP herstellt und speziell gestaltete Anforderungen sendet, kann die Sicherheitslücke ausgenutzt werden. Die Schwachstelle betrifft die Vorabauthentifizierung und erfordert keine Benutzerinteraktion. Ein Angreifer, der die Schwachstelle ausnutzt, kann auf dem Zielsystem beliebigen Code ausführen. Das Update behebt die Sicherheitslücke.

(ID:46312488)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist