Kritische Microsoft-Sicherheitslücken

14. Januar 2020: Microsoft hat heute seine monatlichen Patches veröffentlicht. Darunter befinden sich drei kritische Probleme der Schwere 1, die sofortige Aufmerksamkeit erfordern. Unternehmen sollten den Vulnerability Alert Management Process nutzen, um diese Warnungen zu priorisieren und umgehend Patches zu planen. Bitte betrachten Sie diesen speziellen Blog-Hinweis von CyberHoot als einen sehr ungewöhnlichen Umstand und ergreifen Sie schnellstmöglich entsprechende Maßnahmen. Zum Vergleich: Alle meine Cybersicherheitsquellen deuten dasselbe an. Staatliche Cybersicherheits-Aufsichtsbehörden wie CISA haben erst ihre zweite Notfallrichtlinie jemals für diese Schwachstellen.  Das ist ernst.

Betroffene Systeme:

CryptoAPI-Spoofing-Sicherheitslücke – CVE-2020-0601: Diese Sicherheitsanfälligkeit betrifft alle Computer mit 32- oder 64-Bit-Windows 10-Betriebssystemen, einschließlich der Windows Server-Versionen 2016 und 2019.

Sicherheitslücken in Windows RD Gateway und Windows Remote Desktop Client – CVE-2020-0609, CVE-2020-0610 und CVE-2020-0611: Diese Schwachstellen betreffen Windows Server 2012 und neuer. Darüber hinaus betrifft CVE-2020-0611 Windows 7 und neuer. 

AUSWIRKUNGEN DER VERWUNDBARKEIT:

In diesem Abschnitt der Warnung werden die möglichen Auswirkungen beschrieben, die eine Ausnutzung dieser Schwachstellen hätte.

CryptoAPI-Spoofing-Sicherheitslücke – CVE-2020-0601:

• Diese Sicherheitslücke ermöglicht es unerwünschter oder schädlicher Software, sich als legitime Software auszugeben, die von einer vertrauenswürdigen Organisation signiert wurde. Dies könnte Benutzer dazu verleiten, scheinbar legitime Schadsoftware zu installieren. Schutzsoftware wie Antivirenprogramme könnten solche Installationen dadurch nicht als schädlich erkennen. Darüber hinaus sind Browser, die auf Windows CryptoAPI basieren, blind für Angriffe, sodass Angreifer Daten unbemerkt entschlüsseln, ändern oder in Benutzerverbindungen einschleusen können.

Sicherheitslücken in Windows RD Gateway und Windows Remote Desktop Client – CVE-2020-0609, CVE-2020-0610 und CVE-2020-0611: 

• Diese Schwachstellen ermöglichen die Remotecodeausführung, wodurch beliebiger Code sowohl auf dem RD Web Gateway als auch auf jedem Client, der sich mit einem schädlichen Gateway verbindet, ungehindert ausgeführt werden kann. Die Server-Schwachstellen erfordern keine Authentifizierung [was wirklich schlimm ist] oder Benutzerinteraktion und kann durch eine speziell gestaltete Anfrage ausgenutzt werden. Die Client-Schwachstelle kann ausgenutzt werden, indem ein Benutzer dazu gebracht wird, sich mit einem bösartigen Server zu verbinden. In Kombination kann jedes RD-Web-Gateway zu einem bösartigen Server werden, der dann alle verbundenen Client-Rechner übernimmt.habe ich gesagt, dass das wirklich schlimm ist?]

Gibt es gute Neuigkeiten?

Tatsächlich ja. [Puh!] Diese Schwachstellen wurden erstmals von der NSA entdeckt und direkt an Microsoft gemeldet. Das bedeutet, dass wir nur ein sehr kleines Zeitfenster haben, um diese Patches ohne großes Risiko einer Gefährdung anzuwenden.

Ein sehr kleines Zeitfenster für die Internetnutzung kann jedoch Tage oder Wochen bedeuten. 

Warum ist das so, fragen Sie? 

Durch die Analyse der heute von Microsoft veröffentlichten Patches können Angreifer schnell feststellen, welcher Code geändert wurde. Die Patches sind wie eine Schatzkarte für Hacker, die sie durch Quellcodeänderungen und Reverse Engineering verfolgen, bis sie die Schwachstelle finden. Dann nutzen sie it Sie. Derzeit findet ein Wettlauf zwischen Nationalstaaten und Hackergruppen statt, diese Schwachstellen zu identifizieren und auszunutzen. Es werden noch Tage, vielleicht Wochen vergehen, bis diese Schwachstellen als Waffe ausgenutzt werden und Ihre Systeme ausgenutzt werden.

Was sollte ich für mein Unternehmen tun?

1. Wenn Sie über einen Vulnerability Alert Management Process verfügen, befolgen Sie dessen Richtlinien für einen Satz von Schwachstellen der Schwere 1.
2. Bis Sie alle Ihre Systeme gepatcht haben, überwachen Sie die Cybersicherheits-Newsblogs auf Anzeichen dafür, dass Exploit-Code in die freie Wildbahn gelangt.
3. Wenn Sie keinen VAMP haben, stellen Sie Ihr(e) technische(n) Team(s) zusammen und entwickeln Sie einen Plan, um alle Ihre kritischen Systeme innerhalb von 10 Tagen (wenn möglich früher) zu patchen.
4. Für diejenigen unter Ihnen, die keinen definierten Patch-Management-Prozess haben, sollten Sie nach Abschluss dieser Feuerübung Melden Sie sich für CyberHoot an, laden Sie unser VAMP herunter und passen Sie es an Ihre Organisation an.

Was sollte ich persönlich für mich tun?

Ihre Windows-Versionsnummer kann abweichen, aber dies ist das gewünschte Update – gehen Sie zu Einstellungen  > Update & Sicherheit > Windows Update:

Referenzartikel:

https://cyber.dhs.gov/ed/20-02/ 

https://www.us-cert.gov/ncas/alerts/aa20-014a

Brian Krebs Cybersecurity News Blog

Sophos Cybersecurity Blog – Kritische Sicherheitslücken bei Microsoft = Jetzt patchen

Tun Sie genug, um Ihr Unternehmen zu schützen?

Melden Sie sich noch heute bei CyberHoot an und schlafen Sie besser, da Sie wissen,

Mitarbeiter sind im Cyberspace geschult und auf der Hut!

Jetzt anmelden!