Risiko-Beurteilung Office Kaufversionen

Dass Microsoft die Strategie „Cloud only“ forciert, weiß man seit längerem. Da die Entwicklung und Absicherung primär für die Onlinedienste und Miet-Anwendungen stattfindet, sind Kaufversionen in der #Risiko Einstufung mit einem deutlich höheren Risiko behaftet:

• Microsoft #Office365 erhält alle 14 Tage ein Sicherheitsupdate, alle 14 Tage ein kombiniertes Funktions- und Sicherheitsupdates UND Notfall – Patches außer der Reihe. Wenn Admins die Updates für Office auf den monthly channel gesetzt haben, verteilen sich diese Updates bei Verbindung zum Internet oder zur Installationsquelle im Netzwerk sehr zeitnah
• Es gibt nur hierfür Gruppenrichtlinien, die den Betrieb und die Funktionalität zentral steuerbar machen. So lassen sich Makros und die generelle Ausführung von unsignierten Quellen und Codes abschalten
• Die Kaufversionen 2013, 2016, 2019, 2022 erhalten Sicherheitsupdates nur noch für 5 Jahre, danach müssen diese Versionen neu erworben werden (Ausnahme: Volumenlizenzen mit Software-Assurance)

Aktuell gibt es in allen #Windows Versionen eine Sicherheitslücke im Microsoft Windows Support Diagnostic Tool (MSDT) (CVE-2022-30190, CVSS 7.8, Risiko hoch). Öffnen Mitarbeitende eine Word-Datei mit einer der Kauf-Versionen, lässt sich diese Schwachstelle nutzen, um im schlimmsten Fall Bereiche des Firmennetzwerks, die im Schreibzugriff liegen, zu verschlüsseln.

Wie auch schon bei #Hafnium sind die aktuellen Miet-Versionen von Microsoft 365, aka. Office 365 durch die Richtlinie geschützt. Verschärft man die Richtlinie und entzieht den Benutzenden die Möglichkeit, die Warnung zu deaktivieren (in dem Fall ist die Meldungszeile rot hinterlegt), hat der Angriff mit dem „Trittbrett“ Word keine Chance.

Fazit

Im Rahmen einer Risiko-Einschätzung sind die Miet-Versionen von Office bzw. die Onlinedienste von Microsoft signifikant sicherer, da die Kaufversionen weder über wirksame Gruppenrichtlinien verfügen, noch zeitnah aktualisiert werden können. Auch wenn ein Office 2021 Home & Business auf den ersten Blick sehr günstig erscheint, zahlt man mit hohem Risiko einer Schadprogramm-Infektion. Verbunden mit all den enthaltenen (Online-Diensten) und Sicherheits- und Compliance Funktionen ist die Mietvariante immer zukunftsweisender. Dabei hebt sich insbesondere vom Preis-Leistungsverhältnis der Microsoft 365 Business Premium Plan hervor:
https://m365maps.com/Microsoft%20365%20Business%20Premium.htm

.net Update: Programme starten nicht mehr

Mit den #Microsoft Sicherheitsupdates für das .net-Framework schaltet Microsoft im Rahmen von #Sicherheitslücken einige ältere Funktionen ab. ‎Nach der Installation von KB5012643 starten einige .NET Framework 3.5 Anwendungen nicht mehr. Ursache sind die von den Anwendungs-Herstellern genutzte Funktionen: Windows Communication Foundation (WCF) und Windows Workflow (WWF).‎

Workaround

Wenn Sie von dem Fehler betroffen sind, melden Sie sich mit administrativen Rechten an den betroffenen Rechnern oder Terminalservern an und führen in der administrativen Befehlszeile oder Powershell die folgenden Kommandos aus:

dism /online /enable-feature /featurename:netfx3 /all
dism /online /enable-feature /featurename:WCF-HTTP-Activation
dism /online /enable-feature /featurename:WCF-NonHTTP-Activation

Mit etwas Glück starten dann die Programme wieder. Wenden Sie sich an den Hersteller/Programmierer der Software zwecks Update zu einer Version, die diese Komponenten nicht mehr nutzt. Es ist zu befürchten, dass Microsoft die Funktionen mit dem nächsten .net monatlichen Update erneut entfernt.

Exchange online: Basic Auth wird eingestellt

Ab 01. Oktober 2022 beginnt Microsoft damit, die sogenannte Basic Authentication – Authentifizierung an #Exchange online abzuschalten. Damit ist der Zugang zu dem Online-Dienst mit alten, nicht mehr unterstützten Outlook Programmen nicht mehr möglich. Neuere Outlook Versionen bzw. Outlook aus dem #Microsoft365 Plan sollten durch den Administrator umgestellt werden, dass sie nur noch das neue Verfahren zulassen (Gruppenrichtlinie).

Im Zuge der Analyse stellen wir immer wieder fest, dass mit zu trivialen und nicht geheimen Kennwörtern der Zugang zu den Mailboxen ermöglicht wird. Ist Ihr Unternehmen (aka. Microsoft Tenant) mit Microsoft 365 Business Premium oder E3-Plänen ausgestattet und Ihr Exchange online verfügt über das Sicherheitspaket, können Sie die sogenannte Zweifaktor-Authentifizierung (2FA) einrichten (lassen) und für mobile Mitarbeitende zur Pflicht machen. Auf dem Smartphone des Mitarbeitenden ist dann die Microsoft Authenticator-App installiert, die eine sichere Anmeldung am Microsoft Arbeitskonto ermöglicht. Für administrative Accounts sehe ich die Nutzung von 2FA als unbedingt notwendig, für die Benutzer ist sie zumutbar und bringt ein deutlich höheres Level an Sicherheit.

Zusätzlich sollte (obwohl keine regelmäßige Änderung von Kennworten vorgeschrieben noch sinnvoll ist), EINMAL eine Grundsicherheit der Kennwörter hergestellt werden, um Datenverlust, Hackbarkeit, Verstöße gegen die DSGVO und sogar strafrechtliche Konsequenzen zu vermeiden.

Microsoft wird die Basic Authentication mit einem Sicherheitsupdate auch für die On-Premises Exchange Server entfernen. Wenn Sie den Exchange-Server noch im Hause betreiben, ist der Umstieg in die Online-Variante bereits jetzt umso sinnvoller.

Artikel zur Abkündigung der Basic Authentication (englisch)

Microsoft

Antivirus: Wechsel auf Microsoft Defender

Nachdem #Microsoft sein Lizenzmodell vereinfacht hat und nun auch Lösung für Kunden kleiner 50 Mitarbeiter anbietet, ist es insbesondere in Azure Cloud (IaaS) Szenarien naheliegend, auch einen verwaltbaren #Virenschutz, der in die Plattform integriert ist, zu nutzen. Diese Erweiterung der Sicherheit, die auf dem kostenlosen Virenschutz von Windows 10 und ab Server 2016 aufsetzt, ist in vielen Tests von Fachpublikationen sehr gut beurteilt worden und liefert wenig Nebenwirkungen zu den Serverdiensten und ausgeführter Standardsoftware.

Microsoft 365 Pläne für Clients / AVD

Hinzu kommt der Fakt, dass im „Microsoft 365 Business Premium“ Plan der Endpoint #Defender erweiterte und verwaltbare Virenschutz bereits enthalten ist.

Theken- und Kassen-Mitarbeiter im Azure Virtual Desktop benötigen dann nur einen Windows E3-Plan und den Windows Defender für Business Plan.

Soll dazu nur ein Exchange Postfach im Webbrowser genutzt werden (kein Office, kein Outlook): E3-Plan, Exchange Online Plan 1, Windows Defender für Business

Pläne für Azure Server

Zur Absicherung der Server: Microsoft Defender für Server-Plan 1 (wenn Sie den Virenschutz selbst verwalten, aber die erweiterten Reporting Funktionen nicht nutzen können)

Microsoft Defender für Server-Plan 2 setzen wir nur voraus, wenn Sie uns mit dem Verwalten der Antivirus-Lösung beauftragen oder selbst in der Lage sind, die erweiterten Reportings und Verfahren zu nutzen.

Voraussetzungen

Absichern lassen sich alle Client-Betriebssysteme mit Windows 10 (Pro), Azure Virtual Desktop Pools, Windows Server mit Version 2016, 2019 und 2021.

Sind ältere Betriebssyteme wie Windows 8.1 oder Windows Server 2012 R2 im Einsatz, lässt sich der Virenschutz nicht verwenden. Da aber letztgenannte bald keine Sicherheits-Updates mehr bekommen, ist es ohnehin sinnvoll, auf Windows 10 / Server 2022 zu gehen.

Für Windows 11 und Azure Virtual Desktop auf Windows 11 Basis ist zwar der Virenschutz buchbar und nutzbar, derzeit raten aber alle uns bekannten Software- vom Einsatz ab und Hardware-Hersteller bieten an, wie Windows 11 Pro Lizenz, die mit dem Gerät erworben wurde, mit Windows 10 Pro zu nutzen. Im Azure Virtual Desktop gibt es Sicherheitsupdates für Windows 10 ohnehin bis 2030!

Zusätzliche Literatur

https://aka.ms/switchtomde
Switch to Microsoft Defender for Endpoint – Setup

https://m365maps.com
Microsoft 365 Licensing

DHCP Server herausfinden

Wenn man an einem Endgerät mit fest eingestellter IP-Adresse sitzt oder mit einem Server per RDP-Konsole verbunden ist, wird es schwierig, herauszufinden, welcher der DHCP-Server im Netzwerk verantwortlich ist. In #OpenAudit Classic, speziell in der NMAP-Software gibt es ein Script, das ein vorgegebenes Netzwerk nach DHCP-Servern absucht. Öffnen Sie dazu die Open-Audit-Konsole und wechseln in dem Pfad, in dem #NMAP installiert ist. Führen Sie dann den folgenden Befehl aus (dabei das eigene Netzwerk, das Sie mit IPCONFIG herausfinden können, angeben:

"C:\Program Files (x86)\xampplite\nmap\nmap.exe" -sU -p 67 --script=dhcp-discover 10.10.10.1-254
oder gefiltert: "C:\Program Files (x86)\xampplite\nmap\nmap.exe" -sU -p 67 --script=dhcp-discover 10.10.10.1-254 |find "Identifier"

NMap durchsucht das ganze Netzwerk, ob DHCP-Server vorhanden sind. Steht unter einer IP: dhcps:open, haben Sie den Server in Ihrem Netzwerk gefunden.

Mit echo %logonserver% bekommt man dann noch den Domain Controller heraus, über den man sich angemeldet hat, das gefilterte Domain Controller Suchkommando für NMAP lautet:

nmap -p389 -sV 10.10.10.1-254 |find "Service Info"
nmap -p389 -sV 10.10.10.1-254 |find "389/tcp open"

Elon Musk kauft Twitter

man könnte auch sagen: das war ein „MUSK HAVE“ für ihn. 🙂 Gestern kam allerdings ein Leitartikel in der Tageszeitung: „Was wird aus Musks Twitter?“. Da unser Gehirn automatisch korrigiert, liest es in den meisten Fällen „Was wird aus Murks Twitter?“.

E-Mail Nachricht bei neuen Beiträgen

Eine weitere Möglichkeit neben den RSS-Kanälen, über neue Aktivitäten in diesem Blog informiert zu werden, ist die E-Mail-Benachrichtigung:

Immer, wenn ein neuer Beitrag erscheint, können Sie eine E-Mail-Benachrichtigung erhalten. Geben Sie dazu Ihre E-Mail-Adresse unten ein. Danach erhalten Sie eine Antwort-E-Mail an die angegebene Adresse. Erst nach Bestätigen der Mailantwort (double opt-in) bekommen Sie die Benachrichtigungen. Die E-Mail-Benachrichtigung ist kostenlos und jederzeit wieder abbestellbar. Details siehe Datenschutzerklärung unter „Newsletter“.

Abonnieren Sie E-Mail-Benachrichtigungen, wenn dieser Blog neue Inhalte veröffentlicht.

Leave This Blank:Leave This Blank Too:Do Not Change This:

Ihre E-Mail-Adresse bitte:

  Ich stimme hiermit zu, dass die von mir hier bereitgestellten Informationen für den Erhalt von E-Mail-Postbenachrichtigungen verwendet werden dürfen. Einzelheiten siehe  Datenschutzerklärung

 

Windows Versionen Zeitleiste

die folgende Zeitachse zeigt die Historie der verschiedenen #Windows Client- und #Server – Versionen und von Office Kaufversionen, deren Erscheinungsdatum, Codenamen und das #endoflife Support-Ende. Rot hinterlegt die unbeliebten Windows-Versionen:

Ansicht wechseln
• Sortierung

Lenovo UEFI-Sicherheitslücken

Im Security Advisory Report „Lenovo Notebook BIOS Vulnerabilities“ führt lenovo drei kritische Sicherheitslücken CVE-2021-3970, CVE-2021-3971 und CVE-2021-3972 auf und empfiehlt betroffenen Anwendern, die UEFI-Firmware ihres Notebooks umgehend zu aktualisieren.

Gute Nachricht: sieht man die Liste durch, tauchen dort keine „Thinkpad“ Modelle auf. Bei den uns bekannten Modellen findet die App „Lenovo vantage“ auch kein Update. Sollten Sie dennoch die Consumer-Serie von Lenovo im Einsatz haben und Ihre Geräte auf der Liste wiederfinden, aktualisieren Sie zeitnah das BIOS/UEFI.

Wenn Sie Thinkpads wie das Thinkpad Yoga X13 oder Thinkcentre Modelle wie das Tiny M70Q einsetzen, ist es dennoch empfehlenswert, über die Vantage App die jeweils aktuellste UEFI-Version und Intel IME Firmware Updates installiert zu haben. Eine „Aktualisierungen-Suche“ in der App schafft Ihnen Klarheit.

Sicherheitslücke in 7-ZIP

wie mit CVE-2022-29072 bekannt wurde, enthält auch die aktuelle 7-ZIP Version 21.07 kritische #Sicherheitslücken in der Hilfedatei (7-zip.chm). Der Hauptentwickler des Projekts hat sich noch nicht dazu geäußert, der Workaround ist aber recht einfach zu bewerkstelligen:

Löschen Sie die Hilfe-Datei 7-zip.chm. Für die 64-Bit-Version liegt diese im angezeigten Pfad. Wenn Sie 7-zip über eine Stapeldatei installieren, lautet demnach die Unattended-Befehlskette:

echo 7-Zip...
7z2107-x64.exe /S
rem *** Sicherheitslücke von 2022 - Helpdatei löschen
del "C:\Program Files\7-Zip\7-zip.chm" /Q

Da Version 21.07 andere bekannte Sicherheitslücken geschlossen hat, ist die Kombination aus 7-ZIP 21.07 (64-Bit) und dem Löschen der Hilfedatei derzeit die sicherste Möglichkeit, mit gepackten Dateien umzugehen. Das liegt auch daran, dass die im Windows Dateiexplorer integrierte ZIP-Entpackfunktion eine Vorschaufunktion hat, die immer mal wieder Sicherheitsrisiken enthielt. 7-ZIP erkennt auch mehr Formate und ist Open-Source, während WINRAR und WINZIP kostenpflichtig sind. Da die Software ein Open-Source-Projekt ist, dürfte das Risiko, dass der Chef-Entwickler ein Russe ist, gering ausfallen, zumal die Software keinen automatischen Updater hat, der „nach Hause telefoniert“, und schädliche Programmzeilen den anderen Entwicklern und der Community wegen Quellcode-Einsicht sofort auffallen würden.

Entfernen Sie alte Versionen von 7-ZIP, installieren Version 21.07 (64-Bit) und löschen danach die 7-zip.chm Hilfedatei

7-Zip 21.07

DAS Ultrabook für den Außendienst

Wer im Außendienst arbeitet, braucht ein robustes und zuverlässiges Gerät, das gleichzeitig handlich und leicht ist. Außerdem gibt es mittlerweile viele Funktionen, bei denen ein Stift und ein mit den Fingern bedienbarer Bildschirm hilfreich ist. Diese Funktionen in Verbindung mit moderaten Preisen (gegenüber den Topmodellen der Thinkpad Yoga X1-Serie) verbindet #lenovo mit den X13 Modellen.

Ganz neu ist das Yoga X13 der zweiten Generation. Gegenüber Generation 1 sind marginale Unterschiede vorhanden. So ist statt des 10G ein Prozessor der 11. Generation eingebaut.

Mein Vorgänger-Ultrabook, das Thinkpad Yoga 460 hatte zwar mit 14 Zoll ein 0,7 Zoll größeres Display, war aber auch rund 300g schwerer und in den Grundmaßen und der Bauhöhe deutlich größer. Statt des Magnesium Titan Composit-Gehäuses des 460 kommt beim X13 ein Carbongehäuse zum Einsatz. Außerdem ist die Tastatur in einer Mulde und wird nicht mehr mechanisch beim Zuklappen versenkt. Diese Mechanik kann also schon mal nicht mehr zu Tastaturausfällen führen. Leider sind die Tasten flacher als beim Vorgänger und der bekannt gute Druckpunkt geht damit verloren. Das LED-Touch-Display hat eine höhere candela-Zahl, ist also kontrastreicher. Leider hat man auf die Entspiegelung verzichtet, die das 460 noch hatte. Mit gleichzeitig brillianterem Bild sieht man leider nun jeden Fingerabdruck und ein Bildschirmputztuch sollte mitgeführt werden.

Beim Kauf der Geräts muss man sich bereits für den gewünschten Arbeitsspeicher entscheiden, da der Arbeitsspeicher fest auf das Mainbord gelötet ist. 8/16 und 32 GB RAM sind möglich. Power-User sollten 16 oder 32 GB RAM nehmen. Bei der Auswahl der NVMe-SSD-Speicher kann man nachträglich noch umrüsten, da das SSD-Modul gesteckt ist.

SSD und Akku lassen sich also mit etwas Fachverstand nach Lösen der 8 Schrauben und entfernen des Deckels tauschen. Glücklicherweise ist der Akku nicht verklebt. Einen Schnell-Wechselakku indes gibt es nicht.

Homeoffice: Für die Erweiterung gibt es Zubehör von lenovo, aber auch Targus Dockinglösungen mit Thunderbolt USB-C Stecker und supplied Power lassen sich anbinden. Ich habe recht gute Erfahrungen mit der „Raidsonic Icy Box IB-DK2245AC“ Dockinglösung gemacht. Neben den zwei Bildschirmen der Dockinglösung lässt sich dann zusätzlich über den integrierten HDMI-Anschluss im Ultrabook ein dritter Bildschirm anschließen. Klappt man das 13,3 Zoll Display mit auf, sind also vier! Bildschirme in Betrieb.

Braucht man unterwegs einen VGA- oder DVI-Anschluss (z. B. um alte Projektoren anzuschließen), ist ein optionaler Adapter sinnvoll: HDMI-auf-VGA oder HDMI auf DVI-I. Eine Adaption auf einen Displayport-Adapter funktioniert hingegen nicht (benötigt einen teuren Adapter mit Elektronik). Der Mini-Display-Port-Adapter der Vorgänger wurde leider entfernt.

Das X13 hat 2x USB 3.1 Typ-A Buchse, 1x Typ-C-Buchse für das Netzteil oder die Docking Lösung, 1x Thunderbolt-lenovo-Stecker. Letztgenannter ist ein normaler Typ-C-Anschluss. Im gleichen Stecker liegt aber der LAN-Anschluss zum Anbinden von verkabelten Netzwerken mit optionalem lenovo Network adapter. Das bedeutet, eine Intel-Netzwerkkarte ist auf dem Mainboard integriert, der RJ45-Adapter ist aber optional. Hat man ihn eingesteckt, blockiert er gleichzeitig den zweiten Typ C-Anschluss, obwohl dieser nicht genutzt wird dafür.

• Sortierung

Mehr in unserem Shop: Link zum GWS Technik-Shop

Kaspersky bei der NASA

während das FBI seit 2018 die US-Behörden anweist, keine Antivirus-Software des mittlerweile mit Firmensitz in Großbritannien operierenden Unternehmens Kaspersky Labs, Ltd. einzusetzen, kommt im neuen „Werbefilm von Kaspersky und Lexus“ die Software quasi überall zum Einsatz.

Gemeint ist der aktuelle „Blockbuster“ von Roland Emmerich „Moonfall“. In den letzten Jahren finanzieren viele Filmstudios ihre Produktionen durch „Produktplatzierungen“. Offensichtlich sind die #Kaspersky Labs, Ltd. neben Lexus die Hauptsponsoren des Film. Automarken und Chronographen-Hersteller waren bisher die am meisten genutzten Marken in Kinofilmen. Bekannt für diese Art von „Schleichwerbung“ sind „Aston Martin“, zeitweise auch „BMW“ und die Uhrenmarke „Omega“ in James Bond Filmen und Mercedes-Benz in „Men in Black“. Dass in Moonfall beide Marken aber große Teile der Kinoleinwand einnehmen, ist neu.

Aus Marketing-Sicht für Kaspersky ein schöner Effekt, denn im Film schaffen sie es nicht nur auf großformatige LED-Werbetafeln, sondern auch die Gerätschaften (hier: Space Shuttle Endeavour) sind mit Kaspersky Software abgesichert. Und das trotz Verbot des FBI, denn die #NASA ist schließlich eine amerikanische Behörde. Im Rest der Welt und für alles, was keine US-Behörde ist, darf Kaspersky weiterhin vermarktet werden. Die aktuelle Empfehlung des Bundesamts für Sicherheit in der Informationstechnik ist kein Verbot.

Java: Spring4Shell Sicherheitslücke

vor einigen Tagen wurde im #Java Basierten Spring Framework eine kritische #Sicherheitslücke #Spring4Shell entdeckt und mittlerweile auch geschlossen. Nach intensiver Recherche konnten wir keine Software entdecken, die das Framework im uns bekannten Umfeld einsetzt. Außerdem erfordert das Ausnutzen der Lücke eine recht exotische Installationsanordnung. Das bedeutet nicht, dass Sie im eigenen Umfeld diese Konstellation einsetzen könnten.

Diese Lücke zeigt jedoch wieder, dass der Einsatz von Java-basierter Software grundsätzlich ein Risiko darstellt. Da es keine zentrale Liste gibt, die beschreibt, welche JAVA-Bibliotheken eine Software-Anwendung einsetzt und jede Java-Version spätestens nach drei Monaten ohne Updates Sicherheitslücken enthält, bleibt der Einsatz von JAVA kritisch.

Umgang mit Java

• Vorhandene JAVA-Installationen sollten darauf geprüft werden, ob sie noch von Programmen genutzt werden – wenn nicht: entfernen!
• Ist die Java-Installation von Oracle, sollte sie grundsätzlich sofort entfernt und durch Adoptium Temurin ersetzt werden. Möchte man aktuelle Oracle Java Versionen einsetzen, ist ein Abonnement mit der Oracle Corporation pro Gerät erforderlich.
• Im Optimalfall ist keine Software auf JAVA-Basis mehr erforderlich. Damit lassen sich dann auch keine Schwachstellen wie LOG4J oder SPRING4SHELL ausnutzen und die Sicherheitslücken der Java-Runtime entfallen.
• Bleibt noch JAVA-basierte Software im Einsatz, nehmen Sie mit dem Hersteller Kontakt auf und fragen nach Alternativen – oder stellen die Produkte ein. „Ein Leben ohne JAVA ist möglich und nicht sinnlos“.

Spring4Shell has been catalogued as CVE-2022-22965 and fixed in Spring Framework 5.3.18 and 5.2.20, and Spring Boot (which depends on the Spring Framework) 2.5.12 and 2.6.6.“The vulnerability impacts Spring MVC and Spring WebFlux applications running on JDK 9+. The specific exploit requires the application to run on Tomcat as a WAR deployment,” Spring Framework developers have explained.“If the application is deployed as a Spring Boot executable jar, i.e. the default, it is not vulnerable to the exploit. However, the nature of the vulnerability is more general, and there may be other ways to exploit it.”

https://www.helpnetsecurity.com/2022/04/01/cve-2022-22965/

Sicherheitslücke in d.3 Server geschlossen

DV-SEC-2022-02: Schwachstelle in der d.velop documents Komponente d.3 server

Unser Partner d.velop hat außerplanmäßig sein Software-Portfolio einer vollständigen Sicherheitsprüfung unterzogen und dabei eine Schwachstelle identifiziert, über welche wir hier informieren wollen. Der d.3 Server ist beim #s.dok Archiv im Einsatz.

Betroffen von der Schwachstelle sind die Versionen “ d.3 Server 8.1.0.67 und älter“ (also auch die Versionen 6.x, 7.x oder 8.0.x), sowie die Versionen „Current 2022.Q1 Patch 02“ und älter.

Details zur Schwachstelle:

Ein Angreifer mit einer gültigen Benutzersitzung kann…

– über eine „Remote-Code-Execution“-Schwachstelle der API das System potenziell unter seine Kontrolle zu bringen. Bewertung: 9.9 (Critical)
– über eine „SQL-Injection“-Schwachstelle der API Zugriff auf die d.velop documents-Datenbank erhalten. Bewertung: 9.9 (Critical)
– durch eine nicht ausreichende Rechte-Prüfung der API Zugriff auf Dokumenteigenschaften aller Dokumente erhalten. Bewertung: 6.5 (Medium)
– durch eine nicht ausreichende Rechte-Prüfung über mehrere miteinander kombinierte API-Aufrufe Zugriff auf alle Dokumente im System erhalten. Bewertung: 5.3 (Medium)

Die technische Hürde, diese Sicherheitslücke auszunutzen, bewertet d.velop allerdings als sehr hoch: Zum einen sind sehr detaillierte, technische Kenntnisse des d.velop-Systems erforderlich und zum anderen sind die Systeme standardmäßig nicht über Ihr internes Netzwerk hinaus erreichbar: D.h. nur ein Angreifer aus Ihrem Netz wäre in der Lage diese Sicherheitslücke auszunutzen.

Die Sicherheitslücke wurde im Rahmen einer internen Überprüfung entdeckt und nicht von Dritten an d.velop gemeldet. D.velop hat bisher auch keine Ausnutzung der Schwachstellen bei Kunden beobachtet.

Da diese Lücke aber grundsätzlich einen un-autorisierten Zugriff auf die Daten im d.3-System ermöglichen könnte, empfehlen auch wir dieses Fehlverhalten abzustellen.
Für Fragen und Rückmeldungen zu diesem Sachverhalt oder einer Update Beratung wenden Sie sich bitte über das Extranet an den Support. Bitte geben Sie in der Betreffzeile die Kennung „s.dok: DV-SEC-2022-02“ an.

Wichtig: Bitte stellen Sie grundsätzlich immer sicher, Ihre Installation immer auf dem aktuellen Stand zu halten.

Windows Clients und Dynamics Serverplattformen

Der aktuelle Stand ist immer in den „GWS System Requirements“ dokumentiert.

Client-Betriebssysteme

Update vom 04.11.2024 – BC25 Änderungen: Für die Übergabe von Daten an Office wird von den Kaufversionen nur noch Office 2021 (LTSC) unterstützt. Microsoft 365 ist dank Abo-Modell immer unterstützt. Windows Server 2019 wird auch nicht mehr unterstützt, nur noch Windows Server 2022, SQL-Server ab 2019, Office: 2021, Exchange Server: 2019.

https://learn.microsoft.com/en-us/dynamics365/business-central/dev-itpro/deployment/system-requirements-business-central-v25

In den „Business Central Requirements“ ab Version 23 erwähnt Microsoft Windows 11 als Client-Plattform. Dies ist weder eine Empfehlung noch Freigabe.

Für Business Central der Versionen 15-25 (Client = Google Chrome für Enterprise) gelten die Betriebssystem-Anforderungen des Browsers – Microsoft erwähnt Windows 11 nicht.

Für die älteren Versionen von Dynamics NAV Classic und RTC bis BC 140 (alle Versionen mit Client-Anwendung) wird Microsoft keine Windows 11 Kompatibilität mehr ausweisen.

Seit Juni 2024 wird mit neuer PC-Hardware Windows 11 Pro Version 24H2 ausgeliefert. PCs, die die Hardware-Voraussetzungen erfüllen (mindestens Intel Core-I Prozessor der 8. Generation, TPM 2.0 Chip, Secure Boot und weitere…) sollten zum Erhalt weiterer Sicherheitsupdates nach dem 15. Oktober 2025 vorher neu installiert (mit Windows 11 Pro 24H2) oder ersetzt werden.

Fazit: Windows 11 ab 24H2 neu installieren, wenn die Hardware das zulässt und keine gevis Client Anwendung installiert ist, ansonsten bis zum Support-Ende bei Windows 10 Pro – #Win10 bleiben. #endoflife

Wie Sie das kostenlose Upgrade-Angebot von Microsoft auf Windows 11 unterdrücken, erfahren Sie hier.

Browser

Gleichermaßen gilt weiterhin unsere Empfehlung für Google #Chrome für Enterprise als Standard-Browser und zur Nutzung für #gevis ERP | BC und gevis ERP | SaaS und gevis VEO. Den Microsoft Edge für Enterprise installieren Sie bitte NICHT als Standardbrowser, aber zur Absicherung der Betriebssysteme.

Hintergrund: Das Arbeitsspeichermanagement in Google Chrome ist entscheidend besser als beim Edge. Chrome verbraucht bis zu 50% weniger Arbeitsspeicher für gleiche Tätigkeiten. Dennoch sollte mit der Anzahl der gleichzeitig geöffneten Tabs sparsam umgegangen werden.

Azure Virtual Desktops

In den Azure Virtual Desktops besteht bis Oktober 2028 keine Notwendigkeit, auf Windows 11 Business umzustellen.

Microsoft erwähnt keine Betriebssystemvoraussetzungen in ihrem Artikel, in der Praxis sind derzeit aber mehr AVD auf Windows 10 Basis im Einsatz als mit Windows 11.

Da die Unterstützung für Sicherheits-Patches für Windows 10 bis 25. Oktober 2025 gewährt wird, in Azure Virtual Desktop-Umgebungen und im Erweiterten Support sogar bis Oktober 2028 und viele Hersteller das Downgrade bei neuen Systemen auf Windows 10 Pro erlauben, kann für Azure Virtual Desktop Umgebungen weiterhin Windows 10 Pro eingesetzt werden.

Server und Terminalserver (On-Prem)

Die in der Praxis eingesetzten Server-Betriebssysteme ergeben sich aus den System Requirements.

gevis classic Versionen (NAV2009R2)

Für den Classic Client gibt es und wird es keine „Freigabe“ von Microsoft geben. Für den Einsatz auf Endgeräten im lokalen Netzwerkbetrieb empfehlen wir Windows 10 Pro. Unter Windows 11 Pro gibt es Einschränkungen und Funktionsstörungen.

Im Terminalbetrieb ist die empfohlene Server-Version Windows Server 2016, es sind aber auch Fälle von 2019 bekannt in Kundenumgebungen. Für Azure Virtual Desktops (Nachfolger der Terminalserver in Azure) sollte der Pool mit Windows 10 eingerichtet werden.

SQL-Server (Runtime mit Maintenance) für Classic On-Premises ist maximal Version 2019, die Minimum-Version sollte aus Update-Gründen 2014 sein im Umlauf, für den Einsatz in Azure Cloud Migrations-Szenarien wird ebenfalls ein Azure Server 2019 eingesetzt und die Lizenzen gemietet.

Microsoft Office 201x (On-Prem) oder Microsoft 365

Es sind Fälle im Kundenkreis bekannt, wo Microsoft 365 Business Premium in Verbindung mit gevis Classic eingesetzt wird. Dabei ist entscheidend, NICHT das neue Outlook, sondern Outlook classic zu verwenden. Bei den Office Kaufversionen sind lokale Installationen von Office 2016 und 2019 bekannt. Generell gilt – in Verbindung mit gevis Classic und RTC gelten alle Szenarien auf eigenes Risiko – eine Aktualisierung von gevis auf „One Version“ (ab BC21 oder SaaS) ist ratsam.

Skeye.allegro MDE Geräte dürfen aus Sicherheitsgründen nur noch offline betrieben werden, da diese nur mit einem 32-Bit -Terminalserver funktionieren.

Nav 2009 R2 Windows compatibility sheet bis Windows Server 2012 R2

NAV 2009 R2 Windows no compatibility für neuere Windows Server

Microsoft Blog

Rechtshinweis: aus Haftungsgründen werden wir keine Empfehlung für diese Plattform aussprechen, sondern nur Best-Practice Erfahrungen abbilden. Der Einsatz erfolgt grundsätzlich auf eigenes Risiko.

Sicherheitslücke in Bibliothek ZLIB

Eine weitere, in vielen weit verbreiteten Programmen und Werkzeugen eingesetzte Bibliothek hat eine jahrzehntelang unbekannte #Sicherheitslücke. Mit der aktuellen Version 1.2.12 von #ZLIB wurde sie am 27.3.2022 geschlossen. Da im Projekt aber nur der Quellcode bereit gestellt wurde, sind die Hersteller und Open-Source-Projekte gefordert, neue Versionen zu liefern. Sobald diese Updates zur Verfügung stehen, sollten Sie Ihre Programme und „Tools“ auf den aktuellen Stand bringen oder nicht mehr genutzte, alte Produkte entfernen.

Betroffene Produkte sind (die Liste erhebt keinen Anspruch auf Vollständigkeit):

• 7-Zip, Versionen älter 21.07 (Version 21.07 hat keine zlib.dll mehr)
• Internet Explorer (wird ab 15. Juni entfernt aus Windows 10, kann aber bereits jetzt deinstalliert werden, sollte ab Server 2019 auch an Servern deinstalliert werden)
• Microsoft (Office) 365 (zlibwapi.dll 1.2.11) (auch im M365 Apps Update 2103 enthalten – Microsoft prüft)
• Apache Webserver 2.x (1.2.11)
• NMap Netzwerkscanner (zlibwapi.dll wie beim Office 1.2.11)
• Microsoft .net Framework 4.5 (1.2.11) > Neuere Versionen verfügbar
• Filezilla FTP Client (1.2.11)
• OBS Studio (1.2.11) – Videobearbeitung > Update 27.2.4 schließt die Lücke
• CISCO Anyconnect VPN Client (1.2.2.0) > Lücke laut CVS Artikel erst ab Version 1.2.2.2)
• PDF24 PDF (keine Version erkennbar) > Version 10.0.7.1 oder neuer einsetzen, alte Versionen deinstallieren
• Audacity (1.2.11)

Fazit

Ungenutzte, alte Softwareprodukte von Ihren Systemen entfernen. Warten, bis Hersteller neue Versionen (mit Stand ab 27.03.2022) herausbringen. Betroffene Softwarepakete aktualisieren.

CVS-Sicherheitseinstufung

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-25032