Microsoft Sicherheitslücken

Wir möchten Sie über bekannte Sicherheitslücken in der Microsoft-Software informieren. Diese wurden mit dem Schweregrad „hoch“ klassifiziert, wobei die möglichen Attribute „niedrig”, „mittel”, „hoch” und „kritisch” sind.

Welche Produkte sind betroffen?

Microsoft hat bestätigt, dass die folgenden Produkte anfällig sind: Microsoft Dynamics 365 Business Central (On-Prem), Dynamics NAV (CVE-2022-41127), Microsoft SharePoint (On-Prem) (CVE-2022-44693) und einige Windows-Komponenten (CVE-2022-41076, CVE-2022-44670).

Wie gefährlich ist die Sicherheitslücke?

Die obige Einstufung basiert auf dem Common Vulnerability Scoring System (CVSS) und klassifiziert Sicherheitslücken auf Basis verschiedener Metriken. Nach diesem System werden die Voraussetzungen für einen Angriff (wie Authentifizierung, Komplexität, Privilegien, Benutzerinteraktion) und dessen Konsequenzen klassifiziert. Einzelne Schwachstellen werden als sogenannte CVE-Artikel (Common Vulnerabilities and Exposures, Bekannte Schwachstellen und Anfälligkeiten) veröffentlicht.

Die Ergebnisse dieser Metriken für Business Central (On-Prem) und auch Dynamics NAV im CVE-2022-41127 lauten wie folgt:

1. Die Angriffskomplexität ist hoch. Um diese Sicherheitsanfälligkeit erfolgreich auszunutzen, muss ein Angreifer die Zielumgebung vorbereiten, um die Ausnutzungssicherheit zu verbessern.
2. Der Exploit kann auf das zugrunde liegende Betriebssystem wechseln. Angreifende, die diese Sicherheitsanfälligkeit erfolgreich ausnutzen, können auf dem Hostserver im Kontext des Dienstkontos schädlichen Code ausführen.
3. Die notwendigen Berechtigungen sind „Niedrig“, Angreifende müssen authentifiziert sein, um diese Sicherheitsanfälligkeit ausnutzen zu können.
4. Der Angriff kann über das Netzwerk erfolgen. Über den geöffneten TCP/IP-Port kann eine Verbindung mit dem WCF-TCP-Protokoll hergestellt werden. Als authentifizierter Benutzer kann der Angreifer versuchen, schädlichen Code im Kontext des Serverkontos über einen Netzwerkaufruf auszulösen.

Damit ein potentieller Angreifer die Sicherheitslücken ausnutzen kann, muss er bereits in Ihrem Netzwerk als Benutzer authentifiziert sein. Insbesondere wenn Ihre NAV/BC-Installation ohne VPN aus dem Internet erreichbar ist, empfehlen wir ein zeitnahes Update!

Im Einzelnen bedeutet dies, dass es zwar einmalig aufwendig ist, diese Sicherheitslücke auszunutzen, im Erfolgsfall aber ein hürdenloser Zugriff auf Ihre Systeme und Daten möglich ist. Das kann den Diebstahl von Firmengeheimnissen, Dokumenten, E-Mails, Kundendaten, Bankverbindungen und vieles mehr betreffen.

Oftmals werden auch Angriffe mit Social Engineering kombiniert, um speziell die Punkte 1 und 3 einfacher nutzen zu können.

Welche Maßnahmen sind notwendig?

Generell gilt: Software-Installationen sollten stets aktuell gehalten werden! Das betrifft primär Betriebssysteme, selbstverständlich aber auch Business- und Anwendungssoftware.
Bekannt ist, dass nur die Plattform betroffen ist, also die Dateien des Dienstes und die Komponenten für den Web-Client. 

Von Microsoft wurden im Dezember Korrekturen und Updates für alle Versionen ab NAV 2016 bis BC 21 bereitgestellt. 

Gerne unterstützen wir Sie bei den dafür notwendigen Schritten. Melden Sie sich gerne bei unserem Support. Diese Dienstleistung ist kostenpflichtig und wird Ihnen nach Aufwand in Rechnung gestellt.