Patchday | PBCS IT-News

Tag an dem Sicherheitsupdates eingespielt werden müssen

Dienstag, 26. Mrz 2024 14:43:01 vor 2 Monaten 01:16 1751719 h91

Windows Server LSASS-Memory-Leak geschlossen
#Erfreulich - mit dem #Patchday März 2024 schließt Microsoft eine kritische Sicherheitslücke in der Kerberos Authentifizierung von Domänen-Controllern. Leider hat man dabei einen Speicherfresser (Memory Leak) kodiert, der dazu führt, dass mancher (nicht alle) Domänencontroller 2016/2019 und 2022 nach einiger Zeit (zwischen 12 und 24 Stunden) so viel Speicher auf den Prozess LSASS.EXE alloziert, dass der DC entweder keine Aufgaben mehr wahrnimmt oder sogar eigenständig neu startet. Update 23.3.2024: Microsoft hat ein Out-of-band Update für Windows Server 2022 (KB5037422), Windows Server 2016 (KB5037423) und Windows Server 2012 R2 (KB5037426) herausgegeben. Windows Server 2019 folgt noch in den nächsten Tagen. #Warnung - diesen Patch bitte zeitnah installieren auf betroffenen Servern. Update 26.03.2024: Nun ist auch das Update für Windows Server 2019 erschienen. Die unterstützten Server sollten dann nach Installation und Neustart wieder frei vom Speicherloch sein und nicht mehr abstürzen. Microsoft Knowledge Base Einige Admins berichten, dass das Problem bei ihnen gar nicht auftritt, andere starten die DC zeitversetzt 1x pro Tag neu als Workaround. Da DCs in Azure aus Kostengründen meist noch andere Aufgaben (1 File, 1 Print/Apps) übernehmen, lässt sich ein Neustart nur außerhalb der normalen Arbeitszeiten realisieren. Generell ist es aber keine gute Idee, das Update wegzulassen, da eine kritische Lücke mit einem Score von 9 von 10 geschlossen wurde. Microsoft hat das Problem bestätigt und arbeitet an einem Hotfix, der kurzfristig ausgerollt werden soll. Aus Sicherheitsgründen kann man hier nur abwarten. Übrigens: Ältere Server wie Server 2012 R2, die On-Premises keine Sicherheitsupdates bekommen, haben zwar nicht das…

Sonntag, 14. Jan 2024 10:43:42 vor 4 Monaten 01:30 12786 h152

Windows Fehler Patchday2 M

Microsoft WinRE Update scheitert
Am Januar #Patchday 2024 lieferte Microsoft ein zusätzliches Security Update KB5034441 aus, das eine Sicherheitslücke in der Windows-Recovery-Partition schließt. Bei zahlreichen Umgebungen scheitert das Update mit #Fehler 0x80070643 (zu wenig Platz auf der Recovery Partition). Betroffen sind auch Azure Virtual Desktops und Windows Server 2022! Scheinbar haben die Entwickler von Microsoft nicht darüber nachgedacht, dass es Windows 10 Systeme gibt, die teilweise von Windows 7 aktualisiert wurden. Auch neue Windows 10 OEM-System der Hersteller haben meist eine 250 MB große Recovery-Partition am Anfang der SSD. Vergrößern scheitert somit mit Bordmitteln. Wiederum viele User haben damals die WinRE-Partition gelöscht oder überhaupt nicht erst mit installiert. Der Patch von Microsoft berücksichtigt ALLE diese Szenarien nicht. Sogar in Azure Virtual Desktops, die aus der Microsoft Vorlage installiert wurden, ist die Partition zu klein. Die Sicherheitslücke selbst lässt sich indes nur ausnutzen, wenn der Bitlocker aktiviert ist. Da die WinRE-Partition unverschlüsselt ist, kann man, wenn man physikalischen Zugriff auf das Endgerät hat. Somit kann die BitLocker-Geräteverschlüsselung umgangen und auf verschlüsselte Informationen auf dem Datenträger zugegriffen werden. Wurde die WinRE-Partition entfernt, existiert auch die Sicherheitslücke nicht. Dennoch versucht Microsoft andauernd, dieses Update zu installieren. Dies lässt sich nur mit dem Microsoft Werkzeug WSUSHIDESHOW.diagcab verhindern, das das Update versteckt. Die von Microsoft vorgeschlagenen Lösungen und Scripte scheitern immer dann, wenn - wie meistens die WinRE-Partition am Anfang liegt. In dem Fall benötigt man Drittanbieter Partitions-Werkzeuge, um sie auf einen freien Bereich zu verschieben oder die Windows-Partition zu verkleinern. Das birgt bei Bitlocker verschlüsselten Systemen auch hohe…

Montag, 22. Mai 2023 15:08:58 vor 12 Monaten 33s620 h2523

Windows Patchday Sicherheitsupdates8 M

Deploy und VM-ISOs neu erstellen erforderlich
Mit dem #Patchday Mai 2023 aktualisiert Microsoft mit #Sicherheitsupdates auch den Secure Boot Loader von Windows 10, 11 und Windows Server 2016-2022. Wer also eine ISO-Datei (mit Rufus auf einen USB-Speicher erstellt) verwendet, muss diese ISO-Datei neu erstellen und dabei das Mai-2023 Update integrieren. Die vorhandenen ISOs mit einem älteren Stand werden nicht mehr starten können, da das UEFI die Zertifikate nicht akzeptiert. Das gilt auch dann, wenn man eine solche ISO als externe Reparatur-Hilfe für verunglückte PCs oder Notebooks - oder auch Server verwendet. Zuletzt sollten auch Hyper-V und vmware Vorlagen-Images auf den aktuellen Patch-Stand gebracht oder neu erstellt werden. Deploy, Boot-ISOs, Installations- und Reparatur-Datenträger und VM Vorlagen für Windows und Windows Server neu erstellen - mit Patchstand von Mai 2023 Microsoft: KB5025885: Secure Boot-Absicherung gegen Schwachstelle CVE-2023-24932 (Black Lotus)

Donnerstag, 13. Apr 2023 09:43:34 vor 1 Jahr 38s 191119 h2774

Windows Patchday wichtig1 M

Patchday April kritische Lücken
#Wichtig - rund die Hälfte der mit dem April #Patchday geschlossenen Lücken werden im CVE-Rating als kritisch eingestuft und ermöglichen "Remote-Code Execution". Ein gefundenes Fressen und ein sehr hohes Risiko, dass Mitarbeitende mit Benutzer-Rechten etwas anklicken und das Angeklickte den Rechner infiziert, Code nachlädt und weitere Systeme im Netzwerk befällt. Hierbei werden Dienste (wie beispielsweise ein lückenhafter DHCP-Serverdienst) genutzt, um ohne Adminrechte Programme auszuführen. Da bei den Updates auch Dienste auf den Servern betroffen sind und nicht nur Windows Clients, sind die zeitnahe Installation der April-Patches enorm wichtig. Microsoft Security Datenbank, Patchday April 2023 Mit dem Funktionsupdate März, das mit dem Patchday April 2023 an alle verteilt wird, wird außerdem LAPS (Local admin Password solution), die Möglichkeit, lokale (Admin-) Konten und Kennwörter per Gruppenrichtlinien zu setzen/ändern in die Windows-Betriebssysteme integriert. Ob LAPS auch für die Server implementiert wird, wird aus dem Artikel nicht klar.

Freitag, 15. Okt 2021 09:32:58 vor 3 Jahren 03:31 51.1K2 T3565

Windows Patchday Print-Nightmare V4-Treiber1 J

Drucken oder nicht – Novemberpatch und Typ4-Treiber
November Patch Nightmare = Oktober Patch Nightmare (Update vom 14.11.2021: In Kürze kommt ein Patch von Microsoft heraus, der auch die RPC-Druckfehler beseitigen soll)Mit dem #Patchday Oktober 2021 werden die unten genannten Registry keys als Gruppenrichtlinie installiert und/oder in der Registry der Wert 1 gesetzt. Das bedeutet, nach Neustart der Druckserver und Terminalserver kann wieder nicht mehr gedruckt werden, wenn man kein Domain Admin ist. Die Forderung von BSI und Versicherungen, Sicherheitsupdates innerhalb von 7 Tagen zu installieren, bleibt bestehen. Wer das Update installiert, wird die untenstehenden Registry-Einstellungen bzw. GPOs wieder auf Wert Null setzen und einen erneuten Restart der Server hinlegen müssen. Vom Oktober Fehler waren auch Typ4-Treiber betroffen. So konnte ein Client zwar drucken, es wurden aber nur rudimentäre Standard Eigenschaften des Point&Print Compatibility Treibers angezeigt (also quasi Notlauf). Mit dem November Patch wurde letztgenannter Typ4-Fehler behoben. Microsoft Patchday Oktober Änderungenhttps://support.microsoft.com/en-us/topic/october-12-2021-kb5006669-os-build-14393-4704-bcc95546-0768-49ae-bec9-240cc59df384 Microsoft Known Issues November – man wird auf einen „Patch vom Patch“ warten müssen, wenn man betroffen isthttps://docs.microsoft.com/en-us/windows/release-health/status-windows-10-21h1#1724msgdesc Sofortmaßnahmen: Registry und Powershell #Print-Nightmare geht mit dem Oktober-Patch in die siebte Runde: Wer seine Systeme bestmöglich absichern möchte, kann das November-Update installieren. Damit weiterhin gedruckt werden kann, müssen vorher zwei Registry Schlüssel gesetzt werden. Außerdem müssen alle beteiligten Server und Endgeräte mindestens den August 2021 Patchlevel haben. Danach die betreffenden Systeme neu starten und dann erst das Update installieren. Laut Meldungen in der Microsoft Community (und empirischen Beweis in eigener Umgebung) kann danach wieder auf Netzwerkdrucker im LAN gedruckt werden. Das Installieren des Patches ist unter Risikoaspekten deshalb…

Pflichtfeld	(Pflichtfeld: kann nicht abgewählt werden. Notwendige Cookies helfen dabei, eine Webseite nutzbar zu machen, indem sie Grundfunktionen wie Seitennavigation und Zugriff auf sichere Bereiche ermöglichen. Die Webseite kann ohne diese Cookies nicht funktionieren. )
Komfort	(Optional: Komfort-Cookies ermöglichen unserer Webseite, sich an Informationen zu erinnern, wie sich die Seite verhält, z. B. dass Sie bereits für eine Umfrage oder einen Termin abgestimmt haben.)