Anbei erhalten Sie einen Überblick über die Sicherheitslücken des Monats Januar 2022 (Base Score größer 8.0):
Log4j
Auch diesen Monat ist die seit Dezember 2021 bekannte Log4j Lücke aktiv vorhanden, wird ausgenutzt und kann je nach Hersteller durch neue Updates oder Fixes geschlossen werden. An dieser Stelle sei gesagt, dass wir nach wie vor dringend empfehlen zu handeln, um die Lücke zu schließen.
SAP
CVE-2021-44228 – Appache Log4j Komponente(n)
Base Score: 8.4 – 10
Betroffene Komponenten:
SAP Enterprise Continuous Testing by Tricentis
Java Web Service Adapter of SAP NetWeaver Process Integration
SAP Cloud-to-Cloud Interoperability
Reference Template for enabling ingestion and persistence of time series data in Azure
SAP Digital Manufacturing Cloud for Edge Computing
Single Payment application of SAP S/4HANA
SAP Edge Services On Premise Edition
SAP Business One
SAP Edge Services Cloud Edition
XSA Cockpit
SAP Enable Now Manager
SAP BTP API Management (Tenant Cloning Tool)
Cloud for Customer Lotus Notes PlugIn
SAP Customer Checkout
Internet of Things Edge Platform
SAP BTP Kyma
SAP BTP Cloud Foundry
SAP Landscape Management
Connected Health Platform 2.0 – Fhirserver
SAP HANA XSA
SAP NetWeaver AS ABAP
Alle genannten Komponenten nutzen Apache, Teile davon oder zumindest Bibliotheken, die anfällig für die Log4j Lücke sind. Daher bitten wir Sie zu prüfen, inwiefern Sie die oben genannten Produkte einsetzen und die entsprechenden Updates einzuspielen.
Diese Lücke ist sehr kritisch und wir empfehlen dringend sie sofort durch aktuelle Updates zu schließen!
Microsoft
CVE-2022-21837 – Vulnerability in Microsoft SharePoint Server related to remote code execution
Base Score: 8.3
Betroffene Komponente:
Microsoft SharePoint Foundation 2013 Service Pack 1
Microsoft SharePoint Server Subscription Edition
Microsoft SharePoint Server 2019
Microsoft SharePoint Enterprise Server 2016
Ein authentifizierter Angreifer mit Zugriff auf die Domäne kann Remotecode auf dem Sharepoint-Server ausführen und sich zum Sharepoint-Administrator erheben.
Wir raten Ihnen bei Nutzung der Komponenten den Patch einzuspielen, um potentiellen Angriffen entgegenzuwirken.
CVE-2022-21840 – Vulnerability in Microsoft Office related to remote code execution
Base Score: 8.8
Betroffene Komponenten: Microsoft SharePoint Foundation 2013 Service Pack 1
Microsoft Office Web Apps Server 2013 Service Pack 1
Microsoft Office 2013 Service Pack 1 (64-bit editions)
Microsoft Office 2013 Service Pack 1 (32-bit editions)
Microsoft Office 2013 RT Service Pack 1
Microsoft Excel 2013 Service Pack 1 (64-bit editions)
Microsoft Excel 2013 Service Pack 1 (32-bit editions)
Microsoft Excel 2013 RT Service Pack 1
Microsoft Office 2016 (64-bit edition)
Microsoft Office 2016 (32-bit edition)
Microsoft Excel 2016 (64-bit edition)
Microsoft Excel 2016 (32-bit edition)
SharePoint Server Subscription Edition Language Pack
Microsoft SharePoint Server Subscription Edition
Microsoft Office LTSC 2021 for 32-bit editions
Microsoft Office LTSC 2021 for 64-bit editions
Microsoft Office LTSC for Mac 2021
Microsoft 365 Apps for Enterprise for 64-bit Systems
Microsoft 365 Apps for Enterprise for 32-bit Systems
In einem E-Mail-Angriffsszenario kann ein Angreifer diese Sicherheitsanfälligkeit ausnutzen, indem er eine speziell gestaltete Datei an einen Benutzer sendet und den Benutzer dazu bringt, die Datei zu öffnen.
In einem webbasierten Angriffsszenario kann ein Angreifer eine Website einrichten (oder eine gefälschte Website verwenden, die vom Benutzer bereitgestellte Inhalte akzeptiert oder hostet), die eine speziell gestaltete Datei enthält, mit der diese Sicherheitslücke ausgenutzt werden kann.
Ein Angreifer kann Benutzer nicht dazu zwingen, eine bestimmte Website zu besuchen. Stattdessen muss ein Angreifer die Benutzer dazu bringen, auf einen Link zu klicken. Zu diesem Zweck werden die Benutzer in der Regel dazu verleitet, auf einen Link in einer E-Mail oder Chat-Nachricht zu klicken, der sie auf die Website des Angreifers führt. Dort werden die Benutzer dazu verleitet, die speziell präparierte Datei zu öffnen.
Bitte schließen Sie diese Lücke schnellstmöglich, sofern Sie die oben genannten Produkte einsetzen.
CVE-2022-21846 / CVE-2022-21855 / CVE-2022-21969 – Vulnerability in Microsoft Exchange Server related to remote code execution
Base Score: 9.0
Betroffene Komponenten: Microsoft Exchange Server 2013 Cumulative Update 23 / Microsoft Exchange Server 2016 Cumulative Update 21 & 22 / Microsoft Exchange Server 2019 Cumulative Update 10 & 11
Der von dieser Schwachstelle ausgehende Angriff ist auf der Protokollebene auf eine logisch benachbarte Topologie beschränkt. Das heißt, der Angriff kann nicht einfach über das Internet erfolgen, sondern benötigt etwas Spezifisches, das mit dem Ziel verbunden ist. Ein gutes Beispiel hierfür wäre die gemeinsame Nutzung eines physischen Netzwerks (z. B. Bluetooth oder IEEE 802.11), eines logischen Netzwerks (lokales IP-Subnetz) oder die Verwendung innerhalb einer sicheren oder anderweitig eingeschränkten Verwaltungsdomäne (MPLS, sicheres VPN zu einer Verwaltungsnetzwerkzone). Dies ist bei vielen Angriffen der Fall, die ein so genanntes „Man-in-the-Middle“-Szenario erfordern oder bei denen es wichtig ist, zunächst in einer anderen Umgebung Fuß zu fassen.
Wir empfehlen Ihnen diese Lücke sehr zeitnah zu schließen, um derartige Angriffe zu vermeiden.
CVE-2022-21849 – Windows IKE Extension Remote Code Execution Vulnerability
Base Score: 9.8
Betroffene Komponenten: Windows Server 2016 – 2022 & Windows 10 – 11
Gibt es irgendwelche Voraussetzungen, die für einen erfolgreichen Angriff erfüllt sein müssen?
Ja, nur Systeme, auf denen der IPSec-Dienst läuft, sind für diese Art von Angriff anfällig.
Wie könnte ein Angreifer vorgehen, um diese Sicherheitslücke auszunutzen?
In einer Umgebung, in der Internet Key Exchange (IKE) Version 2 aktiviert ist, kann ein entfernter Angreifer mehrere Sicherheitslücken auslösen, ohne authentifiziert zu sein.
Diese Lücke sollte insbesondere zeitnah geschlossen werden.
CVE-2022-21850 / CVE-2022-21851 / CVE-2022-21893 – Vulnerability in Windows Remote Desktop Client / Remote Desktop Protocol Regarding Remote Code Execution
Base Score: 8.8
Betroffene Komponenten: Windows Server 2008-2022 & Windows 7-11
Wie könnte ein Angreifer diese Sicherheitslücke ausnutzen?
Im Falle einer Remotedesktopverbindung könnte ein Angreifer, der die Kontrolle über einen Remotedesktopserver hat, eine Remotecodeausführung (RCE) auf dem RDP-Clientcomputer auslösen, wenn sich ein Opfer mit dem anfälligen Remotedesktopclient mit dem angreifenden Server verbindet.
Bitte schließen Sie diese Lücke dringend!
CVE-2022-21922 – Vulnerability in the remote procedure call runtime regarding remote code execution
Base Score: 8.8
Betroffene Komponenten: Windows Server 2008-2022 & Windows 7-11
Dem Ergebnis zufolge sind die erforderlichen Rechte gering. Was bedeutet das in dieser Situation?
Ein Angreifer, der nicht über Administratorrechte verfügt, kann diese Sicherheitslücke möglicherweise ausnutzen.
Wie kann ein Angreifer diese Sicherheitslücke ausnutzen?
Ein authentifizierter Angreifer kann diese Sicherheitslücke ausnutzen, um über die RPC-Laufzeitumgebung bösartigen Code auszuführen.
Bitte aktualisieren Sie die Umgebung mit den aktuellen Windows Updates, um der Lücke vorzubeugen.
CVE-2022-21857 – Active Directory Domain Services Elevation of Privilege Vulnerability
Base Score: 8.8
Betroffene Komponente: Windows Server 2008-2022 & Windows 7-11
Das Update behebt eine Sicherheitsanfälligkeit im Zusammenhang mit der Eskalation von Berechtigungen in Active Directory Domain Services-Umgebungen mit eingehenden Vertrauensstellungen. Vor diesem Update konnte ein Angreifer unter bestimmten Bedingungen seine Berechtigungen über die Vertrauensgrenze hinaus erweitern.
Bitte aktualisieren Sie diese Komponente dringend, wenn Sie sie in Benutzung haben.
CVE-2022-21901 – Vulnerability in Windows Hyper-V regarding privilege escalations
Base Score: 9.0
Betroffene Komponente: Windows Server 2012 R2-2022 & Windows 8-11
Wie könnte ein Angreifer vorgehen, um diese Sicherheitslücke auszunutzen?
Ein authentifizierter Angreifer kann eine speziell gestaltete Anwendung auf einem anfälligen Hyper-V-Gast ausführen, um diese Sicherheitslücke auszunutzen.
Welche Berechtigungen könnte ein Angreifer erlangen?
Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, könnte möglicherweise mit Prozessen eines anderen Hyper-V-Gastes interagieren, der auf demselben Hyper-V-Host gehostet wird.
Bitte aktualisieren Sie Ihre Umgebung.
CVE-2022-21907 – Vulnerability in HTTP protocol stack related to remote code execution
Base Score: 9.8
Betroffene Komponente: Windows Server 2019-2022 & Windows 10-11
Im Windows Server 2019 ist die Funktion, die die Sicherheitslücke enthält, standardmäßig nicht aktiv. Der folgende Registrierungsschlüssel muss konfiguriert werden, um die Sicherheitsanfälligkeit einzuführen:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters\
„EnableTrailerSupport“=dword:00000001
Wie könnte ein Angreifer vorgehen, um diese Sicherheitslücke auszunutzen?
In den meisten Situationen könnte ein nicht authentifizierter Angreifer ein speziell gestaltetes Paket an einen Zielserver senden, der den HTTP-Protokollstapel (http.sys) zur Verarbeitung von Paketen verwendet.
Lässt sich diese Sicherheitsanfälligkeit durch Würmer ausnutzen?
Ja. Microsoft empfiehlt, die betroffenen Server vorrangig zu patchen.
Bitte aktualisieren Sie dringend Ihre Umgebung, um diese Lücke zu schließen!
CVE-2022-21920 – Vulnerability in Windows Kerberos related to privilege escalations
Base Score: 8.8
Betroffene Komponente: Windows Server 2008-2022 & Windows 7-11
Wie kann ein Angreifer seine Berechtigungen erhöhen?
Ein Benutzer der Domäne könnte diese Schwachstelle nutzen, um seine Berechtigungen zum Administrator der Domäne zu erhöhen.
Bitte aktualisieren Sie Ihre Umgebung zeitnah!
Citrix
CVE-2021-44228 / CVE-2021-45046 / CVE-2021-45105 / CVE-2021-44832 – Citrix Security Advisory
Base Score: 10.0
Betroffene Komponente: Citrix Endpoint Management / Citrix VDA Linux
Log4j-Sicherheitslücke und weitere Updates zur Behebung der Log4j-Schwachstelle
Wir empfehlen Ihnen die betroffenen Citrix Produkte dringend zu aktualisieren.
IBM
CVE-2021-44228 / CVE-2021-4104 / CVE-2021-45046 / CVE-2021-29678 – Apache Log4j
Base Score: 8.1 – 10.0
Betroffene Komponente: IBM DB2 und fast alle weiteren Produkte aus der IBM Produktfamilie
Log4j-Sicherheitslücke und weitere Updates zur Behebung der Log4j-Schwachstelle
Wir empfehlen Ihnen die DB2 Umgebungen und alle weiteren Produkte dringend zu aktualisieren.
VMWare
CVE-2021-44228 / CVE-2021-45046 – VMware Response to Apache Log4j Remote Code Execution Vulnerabilities
Base Score: 9.0 – 10.0
Betroffene Komponente: Diverse VMWare Produkte / Komponenten
Ein Angreifer mit Netzwerkzugriff auf ein betroffenes VMware-Produkt kann diese Probleme ausnutzen, um die vollständige Kontrolle über das Zielsystem zu erlangen.
Bitte schließen Sie die Lücke schnellstmöglich!
Palo Alto
CVE-2021-44228 / CVE-2021-45046 / CVE-2021-45105 / CVE-2021-44832 – Impact of Log4j Vulnerabilities
Base Score: 10.0
Betroffene Komponente: PAN-OS für Panorama CLI
Die Log4j Lücke liegt im PAN-OS für Panorama CLI vor.
Bitte schließen Sie die Lücke schnellstmöglich!
Juniper
CVE-2021-44228 / CVE-2021-45046 / CVE-2021-4104 / CVE-2021-42550 – Multiple Products: Apache Log4j2 JNDI features do not protect against attacker-controlled LDAP and other JNDI related endpoints
Base Score: 10.0
Betroffene Komponente: Diverse Juniper Produkte / Komponenten
Die Log4j Lücke liegt in diversen Juniper Produkten / Komponenten vor.
Bitte schließen Sie die Lücke schnellstmöglich!
OpenText
CVE-2021-44228 – OpenText Content Server Log4j vulnerability
Base Score: 10.0
Betroffene Komponente: Content Server 10.5.0 – 21.4
Ein Angreifer könnte diese Schwachstelle ausnutzen, um aus der Ferne nicht autorisierten Code auf Systemen mit Content Server auszuführen.
Bitte schließen Sie die Lücke schnellstmöglich!
Sophos
CVE-2021-44228 / CVE-2021-45046 / CVE-2021-45105 / CVE-2021-44832 – Log4j zero-day vulnerability AKA Log4Shell
Base Score: 10.0
Betroffene Komponente: Diverse Sophos Produkte / Komponenten
Ein Angreifer könnte diese Schwachstelle ausnutzen, um aus der Ferne nicht autorisierten Code auf Systemen mit Content Server auszuführen.
Bitte schließen Sie die Lücke schnellstmöglich!
Wenn Sie Fragen haben oder nicht wissen, wie Sie mit den oben genannten Lücken umgehen sollen, zögern Sie nicht uns zu kontaktieren.
Wir helfen Ihnen dabei sicherer zu werden!