Der erste Patchday im Jahr 2022 ist da!

Der letzte Patchday im Dezember 2021 stand ganz im Zeichen der Log4Shell-Schwachstelle. Haben Sie schon gehandelt? Wenn nicht, sollten Sie das schnellstmöglich nachholen. In den Medien ist von möglichen Klagen zu lesen, wenn aufgrund dieser nicht geschlossenen Sicherheitslücken Verbraucherdaten abfließen.

Unser CEO Jona Ridderskamp warnt: "Es handelt sich um eine der umfangreichsten Sicherheitslücken, die wir in der letzten Zeit erlebt haben. Ich glaube, dass wir diesen Namen nicht so schnell wieder vergessen werden. Ich bin sehr überzeugt davon, dass wir mehrere umfangreiche Sicherheitsvorfälle erleben werden, in denen Unternehmen vor dem Ende ihrer Existens stehen, aufgrund dieser Lücke. Und ich glaube es ist nahezu unmöglich diese Lücke schnell, konsequent und durchsetzungsstark überall zu schließen, weil wir teilweise gar nicht wissen, wo diese Lücke entsteht. Weil sie in Applikationen steht, die wir nutzen, von denen wir nicht mal wissen, dass sie auf Java basieren."

Benötigen Sie an dieser Stelle Unterstützung, wenden Sie sich jederzeit an uns. Wir helfen rund um die Uhr!

Microsoft

Microsoft hat im Januar Patches für 96 neue CVEs veröffentlicht für die Microsoft Windows und Windows-Komponenten, Microsoft Edge (Chromium-basiert) Microsoft Office und Office-Komponenten, Exchange Server, SharePoint Server, Microsoft Dynamics, Open-Source-Software, Windows Defender und Windows Remote Desktop, Windows Hyper-V, und Protocol (RDP). Mit den bereits Anfang des Monats veröffentlichten Patches steigt die Gesamtzahl der CVEs auf 122.

Von den heute gepatchten CVEs sind neun als kritisch und 89 als schwerwiegend eingestuft. Sechs dieser Fehler werden als öffentlich bekannt aufgeführt, jedoch keiner als aktiv angegriffen.

• CVE-2022-21907 HTTP Protocol Stack Remote Code Execution Vulnerability -> Dieser wurmfähige Fehler kann es Angreifern ermöglichen, auf einem betroffenen System Codeausführung zu erlangen. Da der HTTP Protocol Stack (http.sys) betroffen ist, testen und patchen Sie schnell!
• CVE-2022-21840 Microsoft Office Remote Code Execution Vulnerability -> Bei diesem als kritisch eingestuften Fehler gibt es scheinbar keine Warnung, wenn eine speziell präparierte Datei geöffnet wird. Für die Behebung diesen Fehlers sind mehrere Patches verfügbar. Achten Sie darauf, alle anzuwenden!
• CVE-2022-21846 Microsoft Exchange Server Remote Code Execution Vulnerability -> Es handelt sich um einen weiteren Exchange-Bug, der von der National Security Agency gemeldet wurde und als kritisch eingestuft wurde. Schaffen es Angreifer sich mit dem Zielnetzwerk zu verbinden und den Fehler auszunutzen, könnten sie den Exchange-Server übernehmen.
• CVE-2022-21857 Active Directory Domain Services Elevation of Privilege Vulnerability -> Dieser als kritisch eingestufte Fehler erfordert ein gewisses Maß a Privilegien. Bekommen Insider oder Angreifer einen Fuß ins Netzwerk, könnten sie dies für laterale Bewegungen und die Aufrechterhaltung einer Präsenz innerhalb eines Unternehmens ausnutzen.

Alle CVEs und weitere Informationen stellen die Zero Day Initiative und das Microsoft Security Response Center (MSRC) zur Verfügung.

Adobe

Adobe veröffentlichte im Januar 5 Patches, die 41 CVEs in den Programmen Acrobat und Reader, Illustrator, Adobe Bridge, InCopy und InDesign beheben. Keiner dieser Fehler war zum Zeitpunkt der Veröffentlichung öffentlich bekannt und wurde aktiv angegriffen.

• APSB22-01 : Security update available for Adobe Acrobat and Reader: Die Sicherheitsupdates für Adobe Acrobat und Reader beheben mehrere kritische, wichtige und moderate Sicherheitslücken. Bei erfolgreicher Ausnutzung kann es zur Ausführung beliebigen Codes, zu Speicherlecks, zur Verweigerung von Diensten durch Anwendungen, zur Umgehung von Sicherheitsfunktionen und zur Ausweitung von Berechtigungen führen.
• APSB22-02 : Security update available for Adobe Illustrator: Das Update für Adobe Illustrator 2021 behebt eine wichtige und eine mittelschwere Sicherheitslücke. Eine erfolgreiche Ausnutzung kann zu einer Ausweitung von Berechtigungen führen.
• APSB22-03 : Security update available for Adobe Bridge: Das Sicherheitsupdate für Adobe Bridge behebt kritische, wichtige und mäßige Sicherheitslücken. Diese können zur Ausführung beliebigen Codes und zur Ausweitung von Berechtigungen führen.
• APSB22-04 : Security update available for Adobe InCopy:Das Update für Adobe InCopy behebt kritische und wichte Sicherheitslücken. Es könnte zur Ausführung beliebigem Codes und zur Ausweitung von Berechtigungen führen.
• APSB22-05 : Security update available for Adobe InDesign: Für Adobe InDesign wurde ein Update veröffentlicht, welches kritische und mäßige Sicherheitslücken behebt. Bei erfolgreicher Ausnutzung kann es zur Ausführung beliebigen Codes und zur Ausweitung von Berechtigungen kommen.

Alle wichtigen Informationen zu den Sicherheitslücken und die nötigen Downloads stellt das Product Security Incident Resonse Team (PSIRT) von Adobe bereit.

SAP

Von SAP wurden im Januar 11 neue Sicherheitshinweise  und 16 out-of-band veröffentlicht. Für 3 zuvor veröffentlichte Sicherheitshinweise gab es Aktualisierungen.

Die Sicherheitshinweise, die mit der Komponente Apache Log4j 2 in Zusammenhang stehen, werden laufend aktualisiert. SAP rät die zentralen Sicherheitshinweise zu beachten, um aktuelle Informationen zu erhalten.

• [CVE-2021-44228] Central Security Note for Remote Code Execution vulnerability associated with Apache Log4j 2 component -> Consolidated Security Note list  (Product: Security Note #)
  SAP Customer Checkout: 3133772
  SAP BTP Cloud Foundry: 3130578
  SAP Landscape Management: 3132198
  SAP Connected Health Platform 2.0 - Fhirserver: 3131824
  SAP HANA XS Advanced Cockpit : 3134531 (includes fix provided in 3131397, 3132822)
  SAP NetWeaver Process Integration (Java Web Service Adapter) : 3135581 (includes fix provided in 3132204, 3130521, 3133005)
  SAP HANA XS Advanced : 3131258
  Internet of Things Edge Platform : 3132922
  SAP BTP Kyma : 3132744
  SAP Enable Now Manager : 3132964
  SAP Cloud for Customer (add-in for Lotus notes client) : 3132074
  SAP Localization Hub, digital compliance service for India : 3132177
  SAP Edge Services On Premise Edition : 3132909
  SAP Edge Services Cloud Edition : 3132515
  SAP BTP API Management (Tenant Cloning Tool) : 3132162
  SAP NetWeaver ABAP Server and ABAP Platform (Adobe LiveCycle Designer 11.0) : 3131691
  SAP Digital Manufacturing Cloud for Edge Computing : 3136094
  SAP Enterprise Continuous Testing by Tricentis :  3134139
  SAP Cloud-to-Cloud Interoperability : 3132058
  Reference Template for enabling ingestion and persistence of time series data in Azure : 3136988
  SAP Business One : 3131740
• [CVE-2022-22531] Multiple vulnerabilities in F0743 Create Single Payment application of SAP S/4HANA
  Additional CVE - CVE-2022-22530
  Product - SAP S/4HANA, Versions - 100, 101, 102, 103, 104, 105, 106
• Update to Security Note released on December 2021 Patch Day:
  [CVE-2021-44235] Code Injection vulnerability in utility class for SAP NetWeaver AS ABAP
  Product - SAP NetWeaver AS ABAP, Versions - 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756

Das SAP Product Security Response Team stellt alle Informationen zu den Sicherheitshinweisen bereit.