Die Sicherheitslücken des Monats

Autor: Benjamin Heumos
Veröffentlicht: 17.01.2022

Anbei erhalten Sie einen Überblick über die Sicherheitslücken des Monats Januar 2022 (Base Score größer 8.0):

Log4j

Auch diesen Monat ist die seit Dezember 2021 bekannte Log4j Lücke aktiv vorhanden, wird ausgenutzt und kann je nach Hersteller durch neue Updates oder Fixes geschlossen werden. An dieser Stelle sei gesagt, dass wir nach wie vor dringend empfehlen zu handeln, um die Lücke zu schließen.

SAP

CVE-2021-44228 – Appache Log4j Komponente(n)

Base Score: 8.4 – 10

Betroffene Komponenten:

SAP Enterprise Continuous Testing by Tricentis

Java Web Service Adapter of SAP NetWeaver Process Integration

SAP Cloud-to-Cloud Interoperability

Reference Template for enabling ingestion and persistence of time series data in Azure

SAP Digital Manufacturing Cloud for Edge Computing

Single Payment application of SAP S/4HANA

SAP Edge Services On Premise Edition

SAP Business One

SAP Edge Services Cloud Edition

XSA Cockpit

SAP Enable Now Manager

SAP BTP API Management (Tenant Cloning Tool)

Cloud for Customer Lotus Notes PlugIn

SAP Customer Checkout

Internet of Things Edge Platform

SAP BTP Kyma

SAP BTP Cloud Foundry

SAP Landscape Management

Connected Health Platform 2.0 – Fhirserver

SAP HANA XSA

SAP NetWeaver AS ABAP

Alle genannten Komponenten nutzen Apache, Teile davon oder zumindest Bibliotheken, die anfällig für die Log4j Lücke sind. Daher bitten wir Sie zu prüfen, inwiefern Sie die oben genannten Produkte einsetzen und die entsprechenden Updates einzuspielen.

Diese Lücke ist sehr kritisch und wir empfehlen dringend sie sofort durch aktuelle Updates zu schließen!

Microsoft

CVE-2022-21837 – Vulnerability in Microsoft SharePoint Server related to remote code execution

Base Score: 8.3

Betroffene Komponente:

Microsoft SharePoint Foundation 2013 Service Pack 1

Microsoft SharePoint Server Subscription Edition

Microsoft SharePoint Server 2019

Microsoft SharePoint Enterprise Server 2016

Ein authentifizierter Angreifer mit Zugriff auf die Domäne kann Remotecode auf dem Sharepoint-Server ausführen und sich zum Sharepoint-Administrator erheben.

Wir raten Ihnen bei Nutzung der Komponenten den Patch einzuspielen, um potentiellen Angriffen entgegenzuwirken.

CVE-2022-21840 – Vulnerability in Microsoft Office related to remote code execution

Base Score: 8.8

Betroffene Komponenten: Microsoft SharePoint Foundation 2013 Service Pack 1

Microsoft Office Web Apps Server 2013 Service Pack 1

Microsoft Office 2013 Service Pack 1 (64-bit editions)

Microsoft Office 2013 Service Pack 1 (32-bit editions)

Microsoft Office 2013 RT Service Pack 1

Microsoft Excel 2013 Service Pack 1 (64-bit editions)

Microsoft Excel 2013 Service Pack 1 (32-bit editions)

Microsoft Excel 2013 RT Service Pack 1

Microsoft Office 2016 (64-bit edition)

Microsoft Office 2016 (32-bit edition)

Microsoft Excel 2016 (64-bit edition)

Microsoft Excel 2016 (32-bit edition)

SharePoint Server Subscription Edition Language Pack

Microsoft SharePoint Server Subscription Edition

Microsoft Office LTSC 2021 for 32-bit editions

Microsoft Office LTSC 2021 for 64-bit editions

Microsoft Office LTSC for Mac 2021

Microsoft 365 Apps for Enterprise for 64-bit Systems

Microsoft 365 Apps for Enterprise for 32-bit Systems

In einem E-Mail-Angriffsszenario kann ein Angreifer diese Sicherheitsanfälligkeit ausnutzen, indem er eine speziell gestaltete Datei an einen Benutzer sendet und den Benutzer dazu bringt, die Datei zu öffnen.

In einem webbasierten Angriffsszenario kann ein Angreifer eine Website einrichten (oder eine gefälschte Website verwenden, die vom Benutzer bereitgestellte Inhalte akzeptiert oder hostet), die eine speziell gestaltete Datei enthält, mit der diese Sicherheitslücke ausgenutzt werden kann.

Ein Angreifer kann Benutzer nicht dazu zwingen, eine bestimmte Website zu besuchen. Stattdessen muss ein Angreifer die Benutzer dazu bringen, auf einen Link zu klicken. Zu diesem Zweck werden die Benutzer in der Regel dazu verleitet, auf einen Link in einer E-Mail oder Chat-Nachricht zu klicken, der sie auf die Website des Angreifers führt. Dort werden die Benutzer dazu verleitet, die speziell präparierte Datei zu öffnen.

Bitte schließen Sie diese Lücke schnellstmöglich, sofern Sie die oben genannten Produkte einsetzen.

CVE-2022-21846 / CVE-2022-21855 / CVE-2022-21969 – Vulnerability in Microsoft Exchange Server related to remote code execution

Base Score: 9.0

Betroffene Komponenten: Microsoft Exchange Server 2013 Cumulative Update 23 / Microsoft Exchange Server 2016 Cumulative Update 21 & 22 / Microsoft Exchange Server 2019 Cumulative Update 10 & 11

Der von dieser Schwachstelle ausgehende Angriff ist auf der Protokollebene auf eine logisch benachbarte Topologie beschränkt. Das heißt, der Angriff kann nicht einfach über das Internet erfolgen, sondern benötigt etwas Spezifisches, das mit dem Ziel verbunden ist. Ein gutes Beispiel hierfür wäre die gemeinsame Nutzung eines physischen Netzwerks (z. B. Bluetooth oder IEEE 802.11), eines logischen Netzwerks (lokales IP-Subnetz) oder die Verwendung innerhalb einer sicheren oder anderweitig eingeschränkten Verwaltungsdomäne (MPLS, sicheres VPN zu einer Verwaltungsnetzwerkzone). Dies ist bei vielen Angriffen der Fall, die ein so genanntes „Man-in-the-Middle“-Szenario erfordern oder bei denen es wichtig ist, zunächst in einer anderen Umgebung Fuß zu fassen.

Wir empfehlen Ihnen diese Lücke sehr zeitnah zu schließen, um derartige Angriffe zu vermeiden.

CVE-2022-21849 – Windows IKE Extension Remote Code Execution Vulnerability

Base Score: 9.8

Betroffene Komponenten: Windows Server 2016 – 2022 & Windows 10 – 11

Gibt es irgendwelche Voraussetzungen, die für einen erfolgreichen Angriff erfüllt sein müssen?

Ja, nur Systeme, auf denen der IPSec-Dienst läuft, sind für diese Art von Angriff anfällig.

Wie könnte ein Angreifer vorgehen, um diese Sicherheitslücke auszunutzen?

In einer Umgebung, in der Internet Key Exchange (IKE) Version 2 aktiviert ist, kann ein entfernter Angreifer mehrere Sicherheitslücken auslösen, ohne authentifiziert zu sein.

Diese Lücke sollte insbesondere zeitnah geschlossen werden.

CVE-2022-21850 / CVE-2022-21851 / CVE-2022-21893 – Vulnerability in Windows Remote Desktop Client / Remote Desktop Protocol Regarding Remote Code Execution

Base Score: 8.8

Betroffene Komponenten: Windows Server 2008-2022 & Windows 7-11

Wie könnte ein Angreifer diese Sicherheitslücke ausnutzen?

Im Falle einer Remotedesktopverbindung könnte ein Angreifer, der die Kontrolle über einen Remotedesktopserver hat, eine Remotecodeausführung (RCE) auf dem RDP-Clientcomputer auslösen, wenn sich ein Opfer mit dem anfälligen Remotedesktopclient mit dem angreifenden Server verbindet.

Bitte schließen Sie diese Lücke dringend!

CVE-2022-21922 – Vulnerability in the remote procedure call runtime regarding remote code execution

Base Score: 8.8

Betroffene Komponenten: Windows Server 2008-2022 & Windows 7-11

Dem Ergebnis zufolge sind die erforderlichen Rechte gering. Was bedeutet das in dieser Situation?

Ein Angreifer, der nicht über Administratorrechte verfügt, kann diese Sicherheitslücke möglicherweise ausnutzen.

Wie kann ein Angreifer diese Sicherheitslücke ausnutzen?

Ein authentifizierter Angreifer kann diese Sicherheitslücke ausnutzen, um über die RPC-Laufzeitumgebung bösartigen Code auszuführen.

Bitte aktualisieren Sie die Umgebung mit den aktuellen Windows Updates, um der Lücke vorzubeugen.

CVE-2022-21857 – Active Directory Domain Services Elevation of Privilege Vulnerability

Base Score: 8.8

Betroffene Komponente: Windows Server 2008-2022 & Windows 7-11

Das Update behebt eine Sicherheitsanfälligkeit im Zusammenhang mit der Eskalation von Berechtigungen in Active Directory Domain Services-Umgebungen mit eingehenden Vertrauensstellungen. Vor diesem Update konnte ein Angreifer unter bestimmten Bedingungen seine Berechtigungen über die Vertrauensgrenze hinaus erweitern.

Bitte aktualisieren Sie diese Komponente dringend, wenn Sie sie in Benutzung haben.

CVE-2022-21901 – Vulnerability in Windows Hyper-V regarding privilege escalations

Base Score: 9.0

Betroffene Komponente: Windows Server 2012 R2-2022 & Windows 8-11

Wie könnte ein Angreifer vorgehen, um diese Sicherheitslücke auszunutzen?

Ein authentifizierter Angreifer kann eine speziell gestaltete Anwendung auf einem anfälligen Hyper-V-Gast ausführen, um diese Sicherheitslücke auszunutzen.

Welche Berechtigungen könnte ein Angreifer erlangen?

Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, könnte möglicherweise mit Prozessen eines anderen Hyper-V-Gastes interagieren, der auf demselben Hyper-V-Host gehostet wird.

Bitte aktualisieren Sie Ihre Umgebung.

CVE-2022-21907 – Vulnerability in HTTP protocol stack related to remote code execution

Base Score: 9.8

Betroffene Komponente: Windows Server 2019-2022 & Windows 10-11

Im Windows Server 2019 ist die Funktion, die die Sicherheitslücke enthält, standardmäßig nicht aktiv. Der folgende Registrierungsschlüssel muss konfiguriert werden, um die Sicherheitsanfälligkeit einzuführen:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters\

„EnableTrailerSupport“=dword:00000001

Wie könnte ein Angreifer vorgehen, um diese Sicherheitslücke auszunutzen?

In den meisten Situationen könnte ein nicht authentifizierter Angreifer ein speziell gestaltetes Paket an einen Zielserver senden, der den HTTP-Protokollstapel (http.sys) zur Verarbeitung von Paketen verwendet.

Lässt sich diese Sicherheitsanfälligkeit durch Würmer ausnutzen?

Ja. Microsoft empfiehlt, die betroffenen Server vorrangig zu patchen.

Bitte aktualisieren Sie dringend Ihre Umgebung, um diese Lücke zu schließen!

CVE-2022-21920 – Vulnerability in Windows Kerberos related to privilege escalations

Base Score: 8.8

Betroffene Komponente: Windows Server 2008-2022 & Windows 7-11

Wie kann ein Angreifer seine Berechtigungen erhöhen?

Ein Benutzer der Domäne könnte diese Schwachstelle nutzen, um seine Berechtigungen zum Administrator der Domäne zu erhöhen.

Bitte aktualisieren Sie Ihre Umgebung zeitnah!

Citrix

CVE-2021-44228 / CVE-2021-45046 / CVE-2021-45105 / CVE-2021-44832 – Citrix Security Advisory

Base Score: 10.0

Betroffene Komponente: Citrix Endpoint Management / Citrix VDA Linux

Log4j-Sicherheitslücke und weitere Updates zur Behebung der Log4j-Schwachstelle

Wir empfehlen Ihnen die betroffenen Citrix Produkte dringend zu aktualisieren.

IBM

CVE-2021-44228 / CVE-2021-4104 / CVE-2021-45046 / CVE-2021-29678 – Apache Log4j

Base Score: 8.1 – 10.0

Betroffene Komponente: IBM DB2 und fast alle weiteren Produkte aus der IBM Produktfamilie

Log4j-Sicherheitslücke und weitere Updates zur Behebung der Log4j-Schwachstelle

Wir empfehlen Ihnen die DB2 Umgebungen und alle weiteren Produkte dringend zu aktualisieren.

VMWare

CVE-2021-44228 / CVE-2021-45046 – VMware Response to Apache Log4j Remote Code Execution Vulnerabilities

Base Score: 9.0 – 10.0

Betroffene Komponente: Diverse VMWare Produkte / Komponenten

Ein Angreifer mit Netzwerkzugriff auf ein betroffenes VMware-Produkt kann diese Probleme ausnutzen, um die vollständige Kontrolle über das Zielsystem zu erlangen.