Sicherheitsupdates
Patchday.jpg

12/1/2022

Patchday Januar 2022

Der erste Patchday im Jahr 2022 ist da!

Der letzte Patchday im Dezember 2021 stand ganz im Zeichen der Log4Shell-Schwachstelle. Haben Sie schon gehandelt? Wenn nicht, sollten Sie das schnellstmöglich nachholen. In den Medien ist von möglichen Klagen zu lesen, wenn aufgrund dieser nicht geschlossenen Sicherheitslücken Verbraucherdaten abfließen.

Unser CEO Jona Ridderskamp warnt: "Es handelt sich um eine der umfangreichsten Sicherheitslücken, die wir in der letzten Zeit erlebt haben. Ich glaube, dass wir diesen Namen nicht so schnell wieder vergessen werden. Ich bin sehr überzeugt davon, dass wir mehrere umfangreiche Sicherheitsvorfälle erleben werden, in denen Unternehmen vor dem Ende ihrer Existens stehen, aufgrund dieser Lücke. Und ich glaube es ist nahezu unmöglich diese Lücke schnell, konsequent und durchsetzungsstark überall zu schließen, weil wir teilweise gar nicht wissen, wo diese Lücke entsteht. Weil sie in Applikationen steht, die wir nutzen, von denen wir nicht mal wissen, dass sie auf Java basieren."

Benötigen Sie an dieser Stelle Unterstützung, wenden Sie sich jederzeit an uns. Wir helfen rund um die Uhr!

Microsoft

Microsoft hat im Januar Patches für 96 neue CVEs veröffentlicht für die Microsoft Windows und Windows-Komponenten, Microsoft Edge (Chromium-basiert) Microsoft Office und Office-Komponenten, Exchange Server, SharePoint Server, Microsoft Dynamics, Open-Source-Software, Windows Defender und Windows Remote Desktop, Windows Hyper-V, und Protocol (RDP). Mit den bereits Anfang des Monats veröffentlichten Patches steigt die Gesamtzahl der CVEs auf 122.

Von den heute gepatchten CVEs sind neun als kritisch und 89 als schwerwiegend eingestuft. Sechs dieser Fehler werden als öffentlich bekannt aufgeführt, jedoch keiner als aktiv angegriffen.

  • CVE-2022-21907 HTTP Protocol Stack Remote Code Execution Vulnerability -> Dieser wurmfähige Fehler kann es Angreifern ermöglichen, auf einem betroffenen System Codeausführung zu erlangen. Da der HTTP Protocol Stack (http.sys) betroffen ist, testen und patchen Sie schnell!
  • CVE-2022-21840 Microsoft Office Remote Code Execution Vulnerability -> Bei diesem als kritisch eingestuften Fehler gibt es scheinbar keine Warnung, wenn eine speziell präparierte Datei geöffnet wird. Für die Behebung diesen Fehlers sind mehrere Patches verfügbar. Achten Sie darauf, alle anzuwenden!
  • CVE-2022-21846 Microsoft Exchange Server Remote Code Execution Vulnerability -> Es handelt sich um einen weiteren Exchange-Bug, der von der National Security Agency gemeldet wurde und als kritisch eingestuft wurde. Schaffen es Angreifer sich mit dem Zielnetzwerk zu verbinden und den Fehler auszunutzen, könnten sie den Exchange-Server übernehmen.
  • CVE-2022-21857 Active Directory Domain Services Elevation of Privilege Vulnerability -> Dieser als kritisch eingestufte Fehler erfordert ein gewisses Maß a Privilegien. Bekommen Insider oder Angreifer einen Fuß ins Netzwerk, könnten sie dies für laterale Bewegungen und die Aufrechterhaltung einer Präsenz innerhalb eines Unternehmens ausnutzen.

Alle CVEs und weitere Informationen stellen die Zero Day Initiative und das Microsoft Security Response Center (MSRC) zur Verfügung.

Adobe

Adobe veröffentlichte im Januar 5 Patches, die 41 CVEs in den Programmen Acrobat und Reader, Illustrator, Adobe Bridge, InCopy und InDesign beheben. Keiner dieser Fehler war zum Zeitpunkt der Veröffentlichung öffentlich bekannt und wurde aktiv angegriffen.

Alle wichtigen Informationen zu den Sicherheitslücken und die nötigen Downloads stellt das Product Security Incident Resonse Team (PSIRT) von Adobe bereit.

SAP

Von SAP wurden im Januar 11 neue Sicherheitshinweise  und 16 out-of-band veröffentlicht. Für 3 zuvor veröffentlichte Sicherheitshinweise gab es Aktualisierungen.

Die Sicherheitshinweise, die mit der Komponente Apache Log4j 2 in Zusammenhang stehen, werden laufend aktualisiert. SAP rät die zentralen Sicherheitshinweise zu beachten, um aktuelle Informationen zu erhalten.

  • [CVE-2021-44228] Central Security Note for Remote Code Execution vulnerability associated with Apache Log4j 2 component -> Consolidated Security Note list  (Product: Security Note #)
    SAP Customer Checkout: 3133772
    SAP BTP Cloud Foundry: 3130578
    SAP Landscape Management: 3132198
    SAP Connected Health Platform 2.0 - Fhirserver: 3131824
    SAP HANA XS Advanced Cockpit : 3134531 (includes fix provided in 3131397, 3132822)
    SAP NetWeaver Process Integration (Java Web Service Adapter) : 3135581 (includes fix provided in 3132204, 3130521, 3133005)
    SAP HANA XS Advanced : 3131258
    Internet of Things Edge Platform : 3132922
    SAP BTP Kyma : 3132744
    SAP Enable Now Manager : 3132964
    SAP Cloud for Customer (add-in for Lotus notes client) : 3132074
    SAP Localization Hub, digital compliance service for India : 3132177
    SAP Edge Services On Premise Edition : 3132909
    SAP Edge Services Cloud Edition : 3132515
    SAP BTP API Management (Tenant Cloning Tool) : 3132162
    SAP NetWeaver ABAP Server and ABAP Platform (Adobe LiveCycle Designer 11.0) : 3131691
    SAP Digital Manufacturing Cloud for Edge Computing : 3136094
    SAP Enterprise Continuous Testing by Tricentis :  3134139
    SAP Cloud-to-Cloud Interoperability : 3132058
    Reference Template for enabling ingestion and persistence of time series data in Azure : 3136988
    SAP Business One : 3131740
  • [CVE-2022-22531] Multiple vulnerabilities in F0743 Create Single Payment application of SAP S/4HANA
    Additional CVE - CVE-2022-22530
    Product - SAP S/4HANA, Versions - 100, 101, 102, 103, 104, 105, 106
  • Update to Security Note released on December 2021 Patch Day:
    [CVE-2021-44235] Code Injection vulnerability in utility class for SAP NetWeaver AS ABAP
    Product - SAP NetWeaver AS ABAP, Versions - 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756

Das SAP Product Security Response Team stellt alle Informationen zu den Sicherheitshinweisen bereit.

Nächster Patchday ist am 08.02.2022. Bis dahin bleiben Sie sicher und gesund!

Annika_Gamerad.jpeg

By Annika Gamerad
Event Management Specialist