14/10/2020

Patchday Oktober 2020

Geben Sie Schwachstellen keine Chance.
Von
Annika Gamerad
Marketing Specialist
und
Koray Yildizel
Manager Security Operations

Patchday Oktober 2020

Microsoft

Microsoft veröffentlicht im Oktober 87 CVEs, von denen 11 als kritisch und 75 als wichtig eingestuft werden, eine als mäßig schwerwiegend. Keine Schwachstelle gilt als aktiv. Jedoch wurden 6 zum Zeitpunkt der Veröffentlichung als öffentlich bekannt aufgeführt.

Die Sicherheitsupdates betreffen folgende Software:

  • Microsoft Windows
  • Microsoft Office and Microsoft Office Services and Web Apps
  • Microsoft JET Database Engine
  • Azure Functions
  • Open Source Software
  • Microsoft Exchange Server
  • Visual Studio
  • PowerShellGet
  • Microsoft .NET Framework
  • Microsoft Dynamics
  • Adobe Flash Player
  • Microsoft Windows Codecs Library
Für die 6 als öffentlich bekannt eingestuften CVEs gilt: So bald wie möglich patchen!

CVE-2020-16937 | .NET Framework Information Disclosure Vulnerability: Angreifer könnten den Inhalt des Speichers eines betroffenen Systems offenlegen.

CVE-2020-16909 | Windows Error Reporting Elevation of Privilege Vulnerability: Angreifer könnten Zugang zu vertraulichen Informationen und Systemfunktionen erhalten. Laut der ZERO DAY INITIATIVE ist diese CVE zwar als nicht öffentlich ausgenutzt aufgeführt, es wurden aber Verbindungen zu Angriffen die "in the wild" stattgefunden haben, gemeldet.

CVE-2020-16901| Windows Kernel Information Disclosure Vulnerability: Angreifer können Informationen erhalten, mit denen sie das System des Opfers weiter kompromittieren können.

CVE-2020-16938 | Windows Kernel Information Disclosure Vulnerability: Angreifer könnten zwar keinen Code ausführen oder Benutzerrechte direkt erhöhen, aber sie könnten auch hier weitere Informationen erhalten, um das System weiter zu kompromittieren.

CVE-2020-16908 | Windows Setup Elevation of Privilege Vulnerability: Angreifer könnten beliebigen Code mit Systemprivilegien ausführen und anschließend Programme installieren, Daten anzeigen, ändern oder löschen und neue Konten mit vollen Benutzerrechten erstellen.

CVE-2020-16885 | Windows Storage VSP Driver Elevation of Privilege Vulnerability: Angreifer könnten erhöhte Privilegien erhalten und eine speziell präparierte Anwendung ausführen.

Alle weiteren Informationen zu den weiteren CVEs sowie Links zu den Downloads der Sicherheitsupdates stellt die ZERO DAY INITIATIVE sowie Microsoft zur Verfügung.

Adobe

Nur einen Patch veröffentlicht Adobe im Oktober. Die Schwachstelle CVE-2020-9746 im Flash Player behebt einen NULL-Pointer Dereference-Fehler. Diese Schwachstelle könnte zu einem ausnutzbaren Absturz führen. Da das Programm Ende diesen Jahren das End-of-Life (EOL) erreicht, könnte dies der letzte Patch für den Player sein.

SAP

15 Sicherheitshinweise veröffentlicht SAP im Oktober. Von diesen wurden 2 mit als "Hot News" eingestuft, 7 als "High", einige als "Medium" und einer als "Low". Die CVE-2020-6364 bekam den höchstmöglichen Score von 10! Sie betrifft den SAP Solution Manager und den SAP Focused Run. Angreifer könnten Befehle injizieren und auch zur Ausführung bringen. SAP stellt registrierten Usern Updates und ausführliche Security Notes zur Verfügung.

Die Auswirkungen nicht gepatchter Sicherheitslücken können dramatische Folgen haben

Zum Patchday im September hatten wir auf die Dringlichkeit hingewiesen, Sicherheitslücken so schnell wie möglich zu schließen. Denn werden die Lücken nicht schnellstmöglich gepatcht, können die Auswirkungen fatal sein!

Kurz danach folgten Medienberichte über einen Cyberangriff auf eine Uni-Klinik in NRW. Mehrere Tage dauerte es, bis das Problem gelöst war. Während dieser Zeit mussten Operationen abgesagt und Notfallpatienten mussten in anderen Krankenhäusern behandelt werden. Durch eine Sicherheitslücke verschafften sie die Angreifer Zugriff auf einen Server. Dort hinterließen sie auch ein Erpresserschreiben, welches jedoch nicht an die Uni-Klinik adressiert war.

Nachdem die Ermittler dies den Erpressern mitgeteilt hatten und auf die Konsequenzen hingewiesen haben, zogen die Hacker die Erpressung zurück. Nicht nur das; Sie schickten auch gleich den Schlüssel zum Entsperren mit. Das Justizministerium in NRW geht von einer Verwechslung aus, was leider die dramatischen Folgen nicht mindert. Dadurch, dass die Rettungswagen während dieser Zeit andere Kliniken anfahren mussten und so mehr Fahrtzeit in Kauf nahmen, konnte eine Patientin nicht rechtzeitig behandelt werden und verstarb nach der Ankunft.

Die ausgenutzte Sicherheitslücke, die ein Programm der Firma Citrix betrifft, ist laut einer Pressemitteilung des BSI schon lange bekannt. So erklärt BSI-Präsident Arne Schönbohm:

„Bereits im Januar haben wir vor der Schwachstelle gewarnt und darauf hingewiesen, welche Folgen eine Ausnutzung haben kann. Angreifer verschaffen sich Zugang zu den internen Netzen und Systemen und können diese auch Monate später noch lahmlegen. Ich kann nur mit Nachdruck appellieren, solche Warnungen nicht zu ignorieren oder aufzuschieben, sondern sofort entsprechende Maßnahmen zu ergreifen. Der Vorfall zeigt zum wiederholten Male, wie ernst man diese Gefahr nehmen muss. Auch deswegen hat die Bundesregierung im Entwurf des Krankenhaus-Zukunftsgesetzes vorgesehen, dass mindestens 15 Prozent der beantragten Fördermittel für Maßnahmen zur Verbesserung der Informationssicherheit eingesetzt werden müssen.“

In einem Update vom 23. September berichtete KOMMUNAL darüber, dass erste Spuren nach Russland führen. Vermutlich handele es sich bei der Schadsoftware "Doppel Paymer" um einen Verschlüsselungstrojaner, der schon in anderen Fällen von russischen Hacker-Truppen eingesetzt wurde.

Schauen Sie bald wieder rein, wenn es heißt: It´s Time for Patchday! Der nächste findet am 10. November statt.

Kennen Sie Ihre Schwachstellen?

Unser Vulnerabilty Management as a Service sorgt für Aufklärung.
Jetzt Kontakt aufnehmen!