9/9/2020

Patchday September 2020

Sorgen Sie für eine lücklenose Infrastruktur.
Von
Annika Gamerad
Sachbearbeiterin Marketing
und
Koray Yildizel
Manager Security Operations

Der Patchday sollte in jedem Kalender von IT-Abteilungen fett markiert sein. Lassen Sie sich an diesem Tag nicht ablenken und sorgen Sie für eine schnelle Beseitigung der aktuellen Sicherheitslücken.

Bevor wir auf die derzeitigen CVEs eingehen; Was bedeutet CVE eigentlich genau? CVE steht für „Common Vulnerabilities an Exposures“, also „häufige Schwachstellen und Gefährdungen“. Die IT-Schwachstellen und Sicherheitsrisiken von Computersystemen werden in einer standardisierten Liste aufgeführt. Die eindeutige Benennung und Beschreibung der einzelnen Schwachstellen erleichtert den Umgang mit den Schwachstellen und den Datenaustausch zwischen den verschiedenen Herstellern. Außerdem ermöglicht die klare Identifikation der Schwachstellen eine automatische Anbindung an Intrusion Prevention Systeme (Lesen Sie bald mehr über IPS in unserem Blog).

Das Verzeichnis unterscheidet zwischen Sicherheitslücken, Schwachstellen und Exposures. Alle drei haben gemeinsam, dass sie durch Fehler in der Codierung oder der Programmierung verursacht werden. Der Unterschied liegt hier in der Art und Weise, wie der jeweilige Fehler ausgenutzt wird. Sicherheitslücken und Schwachstellen ermöglichen einen direkten Zugriff auf ein System. Ein Exposure gestattet einen indirekten Zugang. Nutzen Angreifer diesen aus können beispielsweise Kundendaten kopiert oder unbefugt weitere Rechte erlangt werden.

Die Auswirkungen können fatal sein!

Ein effizient geplantes Patch-Management schützt die Systeme vor Ausnutzung der Schwachstellen.Und jetzt kommen wir zum Patchday September 2020 zurück.    

Kurz und schmerzlos: Im September veröffentlicht Microsoft 129 CVEs zu folgenden Produkten:

  • Microsoft Windows
  • Microsoft Edge (EdgeHTML-based)
  • Microsoft Edge (Chromium-based)
  • Microsoft ChakraCore
  • Internet Explorer
  • SQL Server
  • Microsoft JET Database Engine
  • Microsoft Office and Microsoft Office Services and Web Apps
  • Microsoft Dynamics
  • Visual Studio
  • Microsoft Exchange Server
  • SQL Server
  • ASP.NET
  • Microsoft OneDrive
  • Azure DevOps

23 der Patches wurden als kritisch eingestuft, 105 als wichtig, einer als mäßig schwer und keiner der Fehler ist zum Zeitpunkt der Veröffentlichung als öffentlich bekannt oder aktiv gekennzeichnet. Laut der Zero Day Initiative liegt die Gesamtzahl der CVEs nun sieben Monate in Folge bei über 110. Es kann davon ausgegangen werden, dass dieser Umfang in Zukunft „normal“ sein wird.  

Einer der schwerwiegendsten Fehler dieser Veröffentlichung ist wohl CVE-2020-16875,  ein Speicher-Korruptionsproblem in Microsoft Exchange . Dieser Fehler ermöglicht eine Remote-Code-Ausführung (RCE). Dafür brauchen die Angreifer „nur“ eine manipulierte Mail an einen betroffenen Exchange-Server senden. Hat das Erfolg, könnten sie neue Konten erstellen, auf Daten zugreifen, diese ändern oder entfernen und auch Programme installieren. Dustin Childs, Forscher bei der Zero-Day Initiative (ZDI) von unserem strategischen Parner Trend Micro schrieb dazu: "Das ist ungefähr das Worst-Case-Szenario für Exchange-Server. Wir haben gesehen, dass der zuvor gepatchte Exchange-Bug CVE-2020-0688 "in the wild" verwendet wurde, und das erfordert eine Authentifizierung. Wir werden diesen Fehler wahrscheinlich bald in der freien Wildbahn sehen. Dies sollte Ihre oberste Priorität sein."

Ein weiterer vom ZDI gemeldeter Fehler ist ein RCE-Fehler in der Microsoft Windows Codecs Library CVE-2020-1129. Er wird von mehreren Anwendungen verwendet, sodass eine Vielzahl von Programmen betroffen sein können. Der Code kann vom Angreifer auf dem Rechner ausgeführt werden, wenn er es schafft, dass ein manipuliertes Video angesehen wird.

Auch von dem nächsten Fehler können mehrere Anwendungen betroffen sein, da sich die Remotecodeausführungsschwachstelle CVE-2020-0922 in COM (Component Object Model) befindet. Öffnet ein Benutzer eine speziell präparierte Datei, kann der Angreifer Code auf dem betroffenen System ausführen oder auf eine Website locken, die bösartiges Java Script hostet.

Die Sicherheitsfeature-Bypass-Schwachstelle CVE-2020-0951 ist außergewöhnlich, da für deren Ausnutzung administrativer Zugriff erforderlich ist. Hat ein Angreifer sich diesen Zugriff verschafft, könnte er von einem lokalen Rechner aus eine Verbindung mit einer PowerShell-Sitzung herstellen und Befehle zur Ausführung beliebigem Codes senden.

Ausführliche Informationen zu den Updates und Empfehlungen für Downloads stehen im Microsoft Security Update Guide zur Verfügung.

Adobe Patchday

Zeitgleich mit Microsoft veröffentlichte auch Adobe wieder seine Schwachstellen; drei Patches für 18 CVEs die verschiedene Programme betreffen. Für InDesign korrigiert der Patch fünf Speicherfehler, für Framemaker eine Leseverletzung und einen stapelbasierten Pufferüberlauf. Die beiden als Kritisch eingestuften Patches wurden vom ZDI-Programm gemeldet. Mit dem Patch für Experience Manager können eine Reihe von Fehlern die sich auf Cross-Site-Scripting (XSS) beziehen, behoben werden.

Weitere Informationen stellt Adobe unter Security Bulletins and Advisories zur Verfügung.

SAP Patchday

Und auch SAP reiht sich mit und veröffentlicht im September 10 Sicherheitshinweise und 6 Aktualisierungen von zuvor veröffentlichten Patch-Day-Sicherheitshinweisen. Es gibt kritische Lücken in SAP Solution Manager, Business Client, und NetWeaver. Auf der SAP Community ist eine Liste aller veröffentlichten Schwachstellen, die weitere Programme betreffen, zu finden.

Der nächste Patchday erwartet uns am 13. Oktober 2020!

Sie möchten mehr über Ihre Schwachstellen erfahren?

Unser Vulnerabilty Management as a Service sorgt für Aufklärung.
Kontaktieren Sie uns!