10/3/2021

Patchday März

Es wurde in diesem Monat mal wieder deutlicher denn je: Ein Patch-Konzept ist elementar wichtig!
Von
Michael Döhmen
Manager Marketing | IT-Security Enthusiast
und

Es ist mal wieder so weit: Der zweite Mittwoch im Monat ist der Tag nach dem zweiten Dienstag im Monat und somit steht unser Rückblick auf den Patchday an. Wie immer legen wir den Fokus auf die großen drei: Adobe, Microsoft und SAP. Wir starten in diesem Monat mit den Informationen zu Microsoft, da diese maximale Relevanz besitzen. Insbesondere dann, wenn Sie relevante Exchange Server im Einsatz haben.

Microsoft

Das BSI hatte am 05.03.2021 die Bedrohungslage auf Stufe 4/rot gesetzt. Im Anschluss wurde hierzu viel berichtet und das BSI hat eine Anleitung zum Umgang mit dieser Thematik bereitgestellt. Aus BSI-Kreisen hieß es: 

"Die IT-Bedrohungslage ist extrem kritisch. Ausfall vieler Dienste, der Regelbetrieb kann nicht aufrechterhalten werden"

Das beim BSI angesiedelte CERT-Bund vermutet mehr als 26.000 verwundbare Exchange Server in Deutschland, die direkt aus dem Internet erreichbar sind. Hinzu kommen noch einmal mindestens genauso viele Server, bei denen nicht exakt zu sagen ist, ob sie die schützenden Updates bereits erhalten haben. Deshalb besteht hier dringender Handlungsbedarf! 

Bei etwa der Hälfte der Systeme lässt sich nicht feststellen, ob sie noch anfällig sind. Das CERT-Bund informiert aktuell betroffene Firmen.(Bild: CERT-Bund)

Folgende Schwachstellen gilt es demnach mit höchster Priorität zu schließen: 

  • CVE-2021-26855 ist eine server-side request forgery (SSRF) Schwachstelle in Exchange, welche es einem Angreifer erlaubt, HTTP-Requests zu senden und sich am Exchange-Server zu authentisieren
  • CVE-2021-26857 ist eine insecure deserialization Schwachstelle im Unified Messaging Service. Bei insecure deserialization werden nutzerbestimmte Daten von einem Programm deserialisiert. Hierüber ist es möglich, beliebigen Programmcode als SYSTEM auf dem Exchange-Server auszuführen. Dies erfordert Administrator-rechte oder die Ausnutzung einer entsprechenden weiteren Schwachstelle.
  • CVE-2021-26858 und CVE-2021-27065 sind Schwachstellen, mit denen – nach Authentisierung –beliebige Dateien auf dem Exchange-Server geschrieben werden können. Die Authentisierung kann z.B. über CVE-2021-26855 oder abgeflossene Administrator-Zugangsdaten erfolgen.

Handlungsempfehlung

Sofern Sie relevante Exchange Server im Einsatz haben, prüfen Sie bitte umgehend folgende Fragen für jeden im Einsatz befindlichen Server: 

  1. Wurde der Server bereits kompromittiert? 
  2. Wurde der Server mit den neusten Updates ausgestattet?

Wenn Sie hierbei Hilfe benötigen, kommen Sie gerne auf uns zu (Kontakt). Es ist von großer Bedeutung, dass diese Überprüfung umfassend durchgeführt wird, um eine weiterführende Kompromittierung zu verhindern. Sollten die neusten Patches noch nicht installiert sein, holen Sie das bitte umgehend nach.

Für den gesamten März veröffentlichte Microsoft Patches für 89 einzelne CVEs, die Microsoft Windows-Komponenten, Azure und Azure DevOps, Azure Sphere, Internet Explorer und Edge (EdgeHTML), Exchange Server, Office und Office Services und Web Apps, SharePoint Server, Visual Studio und Windows Hyper-V abdecken. Diese 89 CVEs beinhalten die sieben Exchange CVEs, die letzte Woche veröffentlicht wurden (oben genannt). Von diesen 89 Fehlern sind 14 als kritisch und 75 als wichtig eingestuft.

Werfen wir einen genaueren Blick auf einige der interessanteren Updates für diesen Monat, beginnend mit dem anderen Fehler, der als aktiver Angriff aufgeführt ist:

  • CVE-2021-26411 - Speicherkorruptionsschwachstelle im Internet Explorer.
    Dieser Patch behebt einen Fehler in Internet Explorer (IE) und Edge (EdgeHTML-basiert), der es einem Angreifer ermöglichen könnte, seinen Code auf betroffenen Systemen auszuführen, wenn diese eine speziell gestaltete HTML-Datei anzeigen.
  • CVE-2021-26897 - Windows DNS-Server-Schwachstelle mit Remotecode-Ausführung.
    Das Testen und Einspielen dieser Updates sollte unbedingt priorisiert werden.
  • CVE-2021-26867 - Sicherheitsanfälligkeit in Windows Hyper-V für Remotecodeausführung.
    Dieser Fehler könnte es einem authentifizierten Angreifer ermöglichen, Code auf dem zugrunde liegenden Hyper-V-Server auszuführen. Obwohl die Sicherheitslücke mit einem CVSS-Wert von 9.9 aufgeführt ist, ist sie eigentlich nur für diejenigen relevant, die das Plan-9-Dateisystem verwenden.
  • CVE-2021-27076 - Microsoft SharePoint Server Sicherheitslücke bei Remotecodeausführung.
    Dieser Patch behebt einen Code-Execution-Bug, der ursprünglich über das ZDI-Programm eingereicht wurde. Damit ein Angriff erfolgreich sein kann, muss der Angreifer in der Lage sein, Sites mit dem SharePoint-Server zu erstellen oder zu ändern. Die Standardkonfiguration von SharePoint erlaubt es jedoch authentifizierten Benutzern, Sites zu erstellen. Wenn sie dies tun, ist der Benutzer der Eigentümer dieser Site und verfügt über alle erforderlichen Berechtigungen.

Adobe

Im März veröffentlichte Adobe drei Patches für acht CVEs in Adobe Connect, Creative Cloud Desktop und Framemaker. Zwei dieser CVEs wurden über das ZDI-Programm bereitgestellt. Das Update für Framemaker behebt eine einzelne Out-of-Bounds (OOB)-Leseschwachstelle, die zu Remotecodeausführung führen kann. Das Update für Creative Cloud behebt drei verschiedene als kritisch eingestufte CVEs. Zwei dieser Fehler könnten zur Codeausführung führen, während der dritte eine Privilegienerweiterung ermöglichen könnte. Der letzte Adobe-Patch für März deckt eine als kritisch und drei als wichtig eingestufte Sicherheitslücken in Adobe Connect ab. Der als kritisch eingestufte Fehler könnte zur Ausführung von beliebigem Code führen, während es sich bei den anderen behobenen Fehlern um reflektierende Cross-Site-Scripting-Fehler (XSS) handelt.) Keine der von Adobe behobenen Schwachstellen ist zum Zeitpunkt der Veröffentlichung als öffentlich bekannt oder wird aktiv angegriffen. Übersicht der kritischen CVEs: 

Adobe Connect:

  • CVE-2021-21085 - Improper Input Validation / Arbitrary code execution

Adobe Creative Cloud Desktop Application:

  • CVE-2021-21068 - Arbitrary file overwrite / Arbitrary code Execution
  • CVE-2021-21078 - OS Command Injection / Arbitrary Code Execution       
  • CVE-2021-21069 - Improper Input Validation / Privilege escalation

Adobe Framemaker:

  • CVE-2021-21056 - Out-of-Bounds Read / Arbitrary code execution

SAP

SAP hat für den März im Update Bezug auf 18 Schwachstellen genommen. Der Security-Report weist dabei vier HotNews-Hinweise und einen mit High Priority aus. Diese wollen wir uns etwas genauer anschauen.

  • CVE-2020-6207 - Missing Authentication Check in SAP Solution Manager (User-Experience Monitoring) wurde genau so mit 10.0 bewertet wie auch
  • CVE-2021-21148 - Security updates for the browser control Google Chromium delivered with SAP Business Client.

Beide HotNews beziehen sich auf bereits behobene Update Patches aus dem November 2020 und April 2018, die hier weiterführt wurden. Anders sieht es bei

  • CVE-2021-21480 - Code Injection Vulnerability in SAP MII

    Die SAP Security Note #3022622, gekennzeichnet mit einem CVSS-Score von 9.9, behebt eine sehr kritische Code-Injection-Schwachstelle in SAP Manufacturing Intelligence and Integrations (SAP MII). SAP MII oder xMII (der frühere Name) ist eine auf SAP NetWeaver AS Java basierende Plattform, die Produktionsüberwachung in Echtzeit ermöglicht und umfangreiche Datenanalysewerkzeuge bereitstellt. Sie fungiert als Datendrehscheibe zwischen SAP ERP und operativen Anwendungen wie Manufacturing Execution Systems (MES).

    Ein integraler Bestandteil von SAP MII ist das Self-Service Composition Environment (SSCE), mit dem Dashboards durch einfaches Drag-and-Drop entworfen werden können. Das SSCE ermöglicht es den Benutzern, ein Dashboard als JSP-Datei zu speichern. Ein Angreifer kann eine Anfrage an den Server abfangen, bösartigen JSP-Code in die Anfrage injizieren und diese an den Server weiterleiten. Wenn ein solches infiziertes Dashboard in der Produktion von einem Benutzer geöffnet wird, der nur über ein Minimum an Berechtigungen verfügt, wird der bösartige Inhalt ausgeführt, was zu einer Remotecodeausführung auf dem Server führt. Einige mögliche Aktionen sind:
  • Zugriff auf die SAP-Datenbanken und Lesen/Ändern/Löschen beliebiger Datensätze in beliebigen Tabellen
  • Nutzung dieser Server zum Pivot auf andere Server
  • Malware platzieren, um später Endbenutzer zu infizieren
  • Ändern von Netzwerkkonfigurationen und potenzielle Beeinträchtigung interner Netzwerke

    Der Patch verhindert, dass Dashboards als JSP-Dateien gespeichert werden. Eine flexiblere Lösung gibt es leider nicht. Wenn JSP-Dateien erforderlich sind, sollten Kunden den Zugriff auf das SSCE so weit wie möglich einschränken und alle JSP-Inhalte manuell validieren, bevor sie in die Produktion gehen.

Das sind mal wieder einige To-Dos für die IT-Abteilung oder den Dienstleister. Wir können nur immer wieder darauf hinweisen, dass ein gut funktionierendes Patch-Management essentiell für die Absicherung der Infrastruktur ist. Wenn Sie hierbei Unterstützung benötigen, kommen Sie gerne auf uns zu. Sollten Sie intern keinerlei Ressourcen für solche Themen vorhalten können - nutzen Sie unsere Services und wir übernahmen das für Sie.

Bleiben Sie sicher & gesund. Bis zum nächsten Monat, wenn es wieder heißt: Patchday! 

Ressources: 

Betreiben Sie Patch-Management?

Falls nicht, sollten wir sprechen.
Jetzt Kontakt aufnehmen

Lesen sie Weitere Artikel passend zum thema