RVTools wurden kompromittiert

Am 13 März 2025 wurde von Sicherheitsexperten entdeckt, dass die beliebten RVTools 4.7.1 mit Malware verseucht wurden. Hacker hatten vermutlich am 12. Mai 2025 die Methode Supply Chain Attack“ angewendet und die version.dll im Installationspaket kompromittiert.

RVTools ist eine Software, um vmware zu dokumentieren und die Auswertungen in Excel auszugeben.

Was ist zu tun? (Insbesondere wenn Sie in den letzten Wochen die RVTools heruntergeladen haben): Prüfen Sie bitte die Installationsdatei rvtools4.7.1.msi, ob diese den korrekten Hashwert hat. Idealerweise ist dafür 7-Zip installiert. Klicken Sie dann mit der Rechten Maustaste auf die .msi, dann 7-ZIP, CRC-SHA, SHA-256:

Name: RVTools4.7.1-vmwaredoku.msi
Größe: 8377856 Bytes : 8181 KiB
SHA256: 0506126bcbc4641d41c138e88d9ea9f10fb65f1eeab3bff90ad25330108b324c

Erscheint dieser Hashwert und die hier genannten Eckdaten, ist alles ok.

Wenn nicht, entfernen Sie bitte alle installierten Versionen und lassen mit Defender und anderen Online-Virenscannern die Systemumgebung überprüfen. Insbesondere sollte dort Augenmerk auf Ausführungen der „version.dll“ in Installations- und Benutzerverzeichnissen gelegt werden.

Grundsätzlich gilt: Wenn bei einem Software-Download ein SHA-256 Hashwert angegeben wird, Downloads damit gegenzuprüfen. Das ist keine 100%ige Sicherheit, aber ein Stück weit sicherer. Achten Sie bei den RVTools darauf, dass diese immer von https://robware.net heruntergeladen werden und nicht über andere Portale.

Schwachstellen in Microsoft Onlinediensten

Immer wieder erreichen uns Anfragen zu möglichen Schwachstellen oder #Sicherheitslücken in Microsoft Azure, Exchange online oder Microsoft 365.

Da es sich hierbei um eine Plattform von Microsoft handelt, liegt die Analyse (und bei den reinen SaaS Diensten wie M365, CRM, Dynamics, auch die Behebung) potenzieller Sicherheitslücken in der Verantwortung von Microsoft. Wir empfehlen Ihnen, die offiziellen Sicherheitsmitteilungen und Empfehlungen von Microsoft zu konsultieren. Diese finden Sie im Microsoft Security Response Center (MSRC) oder im Azure Service Health Dashboard.

Für eine detaillierte Überprüfung und Unterstützung wenden Sie sich bitte direkt an den Microsoft Support, da wir in diesem Fall weder unterstützen, noch potentielle Schwachstellen schließen können.

HP Color Laserjet Pro kritische Lücken

Mit einem CVS-Score 9.2 von 10 sind einige Modelle der HP Color Laserjet Pro Serie von #Sicherheitslücken betroffen, die Codeschmuggel ermöglicht. Es existiert eine aktuelle Firmware, die diese Lücken schließt.

Da viele der Drucker potentiell mit dem Internet verbunden sind, um Updates herunterzuladen, sind Geräte, die diese herunterladen und automatisch installieren also nicht mehr gefährdet. Wer vermeiden möchte, dass der Drucker nach einem Firmware-Update streikt (bei HP schon mal passiert), sorge bitte händisch dafür, dass die aktuelle Firmware installiert wird.

#Wichtig – Ob Sie Geräte einsetzen, die betroffen sind, erfahren Sie auf dieser HP-Security Seite.

veeam Sicherheitslücke nur Service Provider Console

Derzeit kursieren zahlreiche Meldungen über kritische #Sicherheitslücken in der „veeam Service Provider Console“. In manchen IT-Blogs steht fälschlicherweise „kritische Sicherheitslücke in veeam“. Gemeint ist aber nicht „veeam Backup & Recovery“, sondern ein Monitoring-Werkzeug für Admins im Enterprise Bereich.

Von uns wurde bisher ausschließlich die „veeam Backup & Recovery“ Software vertrieben. Sie kommt bei On-Premises Umgebungen (Server in Ihren Räumlichkeiten) zum Einsatz. Auch für die veeam Backup-Software gilt: Im Rahmen der Wartung immer die aktuelle Version einsetzen, denn auch in diesem Produkt werden Sicherheitslücken geschlossen. Die Wartung während der Produktlaufzeit immer verlängern.

Prüfen Sie, ob Sie andere Produkte des Unternehmens veeam, Inc. einsetzen (beispielsweise veeam One oder doch besagte Service Provider Console).

• #veeam one –> deinstallieren, die kostenlose Variante bringt mittlerweile keinen nennenswerten Nutzen mehr.
• veeam Backup & Recovery –> Prüfen, ob Sie die aktuelle Version (derzeit: 12.3.x) einsetzen, wenn nicht, bitte aktualisieren (lassen).
• veeam Service Provider Console –> Auf die aktuelle Version bringen (CVE-2024-42449 „hoch“, erforderlich mindestens Version: 8.1.0.21999)

Teamviewer kritische Sicherheitslücken

Wir setzen zwar das Produkt nicht selbst oder bei unseren Kunden ein, viele Dritt-Dienstleister aber doch. So finden sich bei OpenAudit Classic Scans häufig alte bis uralte Teamviewer Installationen. Zum Einen darf der Teamviewer Host im geschäftlichen Umfeld nur mit nötiger Lizenzierung eingesetzt werden, zum Anderen bietet auch ein installierter Teamviewer Client Angriffspotential für Menschen, die nichts Gutes im Sinne haben.

Konkret kann man mit installiertem Teamviewer älter als Version 15.58.4 Benutzer-Rechte zu Adminrechten ausweiten und (bösartige) Software installieren.

Die #Sicherheitslücken sind (CVE-2024-7479, CVE-2024-7481; beide CVSS 8.8, Risiko „hoch„) und auf der Seite von Teamviewer beschrieben.

Teamviewer deinstallieren, wenn nicht verwendet, oder aktualisieren, wenn Lizenzen vorhanden. Wird nur der Viewer benutzt, ist die „Ausführen, nicht installieren“ Variante empfehlenswert, immer wenn Ihr Dienstleister Zugriff für Remote Assistenz benötigt.

vmware vcenter Server Sicherheitslücken

Einige von Ihnen setzen #vmware vsphere als Virtualisierungssoftware (On-Premises) ein. Dazu wird zur Administration eine virtueller Server „vcenter“ genutzt. Anfang Juni werden zwei #Sicherheitslücken bekannt, die er ermöglichen, dass jemand, der schon im Netzwerk angemeldet ist erhöhte Berechtigungen im VCenter erlangt und ggf. Schadcode auf der VM ausführen kann. Details im Support-Artikel von Broadcom (dem neuen Besitzer von vmware).

https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24453

Auch wenn das Risiko vergleichsweise gering ist, weil es nur angemeldet und im lokalen Netzwerk funktioniert, sollten Sie, sofern Sie die vmware noch in Wartung haben, die verfügbaren Updates zeitnah installieren.

• vCenter Server 7.0 U3r
• vCenter Server 8.0 U1e
• vCenter Server 8.0 U2D

Ist Ihre vmware nicht mehr in Wartung, müssen Sie mit den Sicherheitslücken leben – oder in die Azure-Cloud migrieren. Kunden mit IaaS (Azure Servern in der Microsoft Cloud) sind nicht betroffen.

Exchange Server unbedingt patchen

#Wichtig – die zuletzt für #Exchange Server 2016 und 2019 geschlossenen, kritischen #Sicherheitslücken aus CVE-2024-21410, mit denen Angreifer leichtes Spiel haben, Exchange Server unter ihre Kontrolle zu bringen und Schadsoftware einzuschleusen, werden derzeit aktiv ausgenutzt.

Sollten Sie noch Exchange Server 2016 oder 2019 im Einsatz haben, ist das Installieren der Patches überlebenswichtig, da es sonst nur eine Frage der Zeit ist, wann Ihr Server übernommen wird.

Mehr Details und welcher Patch für welche Exchange Version installiert sein muss, finden Sie im unten verknüpften Artikel.

Kunden mit Microsoft 365 / Exchange online sind wieder einmal nicht betroffen, da Microsoft dort die Sicherheitslücken selbst und vor Veröffentlichung geschlossen hat.

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21410

Exchange Server On-Prem Risiko hoch

Wenn in Programmen Sicherheitslücken entdeckt werden, leisten viele Hersteller im Rahmen der Lebenszyklen von Software Sicherheitsupdates. Aber: Syskos bzw. Admins sind verpflichtet, diese zeitnah zu installieren. Sonst nehmen Versicherungen Kürzungen der Leistungen vor.

Aus Sicht der Geschäftsführenden oder Entscheider hat das potentielle Risiko eine höhere Bedeutung als die für den Einsatz der Software aufgewendeten Kosten. Schließlich müssen auch die administrativen Tätigkeiten bezahlt werden, da das Fachpersonal während des Patchens keine anderen Aufgaben wahrnehmen kann.

Durch Umstellung auf Exchange online verlagern Sie das operative Risiko auf die Microsoft Deutschland GmbH. Diese müssen erkannte Sicherheitslücken sofort schließen, im Schadenfall sind sie normalerweise regresspflichtig.

Microsoft hat derzeit Exchange Server 2019 (Nutzungsrechte per Kauf (mit oder ohne Wartung) auf der Produktliste. Dabei kostet der Server rund 1.000 € und pro Nutzer jeweils eine Zugriffslizenz von etwa 150 €. Hinzu kommen die Kosten für Einrichtung und die Wartungs- und Betriebskosten, sowie Hardware-Ressourcen (128++ GB RAM, 4 vCPUs, schnelle SSDs mit rund 1TB Speicher oder mehr).

#Wichtig – die Gefahr dabei: Wie aktuell (November 2023) sind vier #Sicherheitslücken mit unterschiedlichem Wirkungsgrad entdeckt worden. Eine davon wurde von Microsoft geschlossen, sie bleibt aber solange gefährlich, bis der Admin den Patch auf dem Exchange Server installiert hat.

Lösung: Lassen Sie zeitnah Ihren Microsoft #Exchange Server 201x, egal, ob er in Ihren Räumlichkeiten oder in einem Rechenzentrum (Housing) für Sie bereitgestellt wird, auf Exchange online umstellen.

Nebeneffekt. Alle derzeit verfügbaren Office 201X Versionen bekommen ab Herbst 2026 oder bereits ab Oktober 2025 keine Sicherheitsupdates mehr. Mit dem Microsoft 365 Business Premium Plan erhalten Sie neben dem vorgeschriebenen E-Mail-Archiv Viren- und Spamschutz für E-Mails, Virenschutz für das Endgerät, Exchange Online-Postfach, 1 TB Cloudspeicher (EU-Datenschutz-Grenze) pro (User-)Lizenz, alle Office-Anwendungen als installierbares Programm mit Remote-Nutzungsrechten für On-Prem und die Cloud, Sharepoint für gemeinsames Arbeiten an Dateien, die Teams-Lizenz.

Zusätzlich ist Microsoft EntraID Plan 1 enthalten, der es Ihnen ermöglicht, die bald erzwungene 2-Faktor-Authentifizierung (2FA) auch mit anderen Mitteln als der Authenticator-App auf einem Dienst-Handy durchzuführen. Details haben wir in einem separaten Artikel hier im Blog für Sie zusammengefasst.

Eine Übersicht der Funktionen hier:

https://m365maps.com/files/Microsoft-365-Business-Premium.htm

veeam neue kritische Sicherheitslücken

Werden diese #Sicherheitslücken (CVE-2023-27532 „hoch“) ausgenutzt, können Angreifende Kontrolle über den Backup-Server erlangen. Veeam Software hat Anfang März 2023 Sicherheitsupdates zur Verfügung gestellt, mit denen die Lücken geschlossen werden können.

#Wichtig – Wie aus dem Security-Bulletin des Herstellers hervorgeht, müssen alle veeam-Versionen (9,10 und auch Version 11) auf Version 12.0 aktualisieren.

Hierzu ist ein aktiver Wartungsvertrag erforderlich (Anmerkung: Eine Backup-Software ohne Wartung bzw. mit Sicherheitslücken zu betreiben, führt bei vielen Versicherungen zur Kürzung von Leistungen im Schadenfall. Vielfach ist die Datensicherung auch der einzige Rettungsanker, wenn ein Verschlüsselungstrojaner gewütet hat). Die Vertrags-Rest-Laufzeit wird im Startbild von veeam oder im „Info über“ Dialog unter „Support expiration date“ im Hamburger-Menü angezeigt. Ist der Support nicht „expired“, dürfen Sie upgraden. Zum Herunterladen der aktuellen Patches melden Sie sich mit Ihrem veeam Konto auf veeam.com an, laden das Update herunter und installieren es. Dabei müssen auch die Agents auf den physikalischen Maschinen aktualisiert werden. Nach einem Neustart des Backup-Servers ist die Sicherheitslücke geschlossen und Sie haben die aktuelle 12er Version von veeam im Einsatz.

auch veeam Version 11.01 Versionen müssen aktualisiert werden

Sie wissen nicht, wie Sie das Update ausführen? Erstellen Sie bitte einen technischen Support-Vorgang im Extranet der GWS.

veeam Knowledgebase

Kritische Lücke in Microsoft Office

#Wichtig – Microsoft hat mit den Februar-Updates kritische #Sicherheitslücken geschlossen, mit der es möglich ist, durch eine manipulierte .RTF Datei in Systeme einzubrechen. Das Kritische daran: Die E-Mail-Vorschau in Outlook reicht aus, um den enthaltenen Schadcode auszuführen. Dazu muss man die E-Mail bzw. den Anhang nicht einmal öffnen. Auch im Windows-Explorer kann die Lücke in der Dateivorschau genutzt werden.

Betroffen sind alle Office-Versionen ab 2007, gepatcht werden aktuell nur noch Versionen ab 2016.

Wer ein Microsoft 365 Abonnement einsetzt, ist einigermaßen fein raus – aber nur dann, wenn er die Office-Updates auch automatisch und zeitnah ausrollt. Das kann man leicht im Datei/Office-Konto Menü der Office-Programme prüfen. Dort muss z. B. „Microsoft® Outlook® für Microsoft 365 MSO (Version 2302 Build 16.0.16130.20186) 32 Bit“ stehen. Entscheidend ist die 2302, die für Februar 2023 steht.

Stellen Sie sicher, dass Sie keine Office-Versionen einsetzen, die nicht das Februar-Sicherheitsupdate verfügen. Bei älteren Office-Versionen müssten Sie verhindern, dass diese in Verbindung mit .RTF-Dateien kommen – was allein bei Outlook schwierig ist, aber alle Office Apps und Programme betrifft, die als Vorschau .rtf anzeigen können.

Wenn Sie unterstützte Office Versionen oder Microsoft 365 einsetzen, stellen Sie sicher, dass das Februar 2023 – Update installiert ist.

Sie wissen nicht, wie Sie das Update ausführen? Erstellen Sie bitte einen technischen Support-Vorgang im Extranet der GWS.

Microsoft, (CVE-2023-21716, CVSS 9.8, Risiko „kritisch„)

Visual C++ Runtimes ohne Updates

Erst seit den #Microsoft Visual C++ Runtimes Versionen (2015-2022) sind die Bibliotheken abwärtskompatibel, d.h. wenn man die aktuellen Runtimes (diese enthalten aktuelle Sicherheitsupdates) herunterlädt und auf den PCs und Terminalservern installiert, ist das Zielsystem – was diese Runtimes betrifft, frei von bekannten #Sicherheitslücken – Es ist dann auch nur die eine Version (32 und 64-Bit) installiert.

Für alle älteren Versionen (2005/2008/2012/2013) sind im schlimmsten Fall von gleichen Versionen (gleich Jahreszahl) zig Builds installiert. Für diese Versionen galt bisher: Die alten Builds konnten deinstalliert werden, nur das aktuelle Build (letzte 5 Ziffern der Version zu der Jahreszahl) musste auf dem Windows System, um Anwendungsprogramme, die darauf setzten zu betreiben. Installiert sein muss immer die 64-Bit Version UND die 32-Bit-Version der Runtime.

Keine der oben angegebenen Versionen, einschließlich 2013 bekommt aktuell noch Sicherheitsupdates. Diese Versionen können für Angriffe genutzt werden, wenn sie solche haben und installiert sind.

Ende der Sicherheitsupdates für Visual Studio 2013 war im Januar 2023

Ein aktueller Selbstversuch hat nun gezeigt, dass ich in meinem Umfeld keine Software mehr auf Server und Endgeräten habe, die eine der oben genannten, alten Runtimes braucht. Im Selbstversuch habe ich alle alten Runtimes deinstalliert (das funktioniert ohne Neustart) und danach die komplette, verwendete Software auf Lauffähigkeit überprüft. Ergebnis: Lief noch alles 😎.

Fazit: Zumindest für lokale Rechner mag jeder für sich selbst entscheiden, ob er auch den Feldversuch macht. Sicher ist, das ein so bereinigtes System deutlich sicherer vor Angriffen ist. Wenn im Test eine Software nicht startet, muss man die angezeigte Runtime-Meldung zum Anlass nehmen, doch wieder die 64 und 32-Bit-Version dieser Runtime zu installieren – und bestenfalls den Hersteller nach einer neueren Version fragen.

ODBC: Fehler im Windows-Treiber

Viele von Ihnen nutzen Microsoft Query oder Microsoft Access, um eigene Auswertungen über die ODBC-Schnittstelle zu ziehen. Wer nicht den „ODBC Treiber 17.x“ verwendet, sondern den Treiber, der bei Windows 10 bzw. Server 2016-22 mitgeliefert wird, hat mit dem November kumulativen Update das Problem, dass keine ODBC-Verbindungen mehr aufgebaut werden können.

Ob Sie den Betriebssystemtreiber verwenden, können Sie bei aufgetretener Fehlermeldung in einer administrativen Eingabeaufforderung mit dem Befehl: tasklist /m sqlsrv32.dll feststellen.

Wenn ja, gibt es derzeit von Microsoft keine Lösung für das Problem. Mit dem #ODBC Treiber 17 ist es mir bisher nicht aufgetreten. Damit könnte ein Workaround (der Treiber ist ohnehin der empfohlene Weg – auch nicht die Version 18 des Treibers, sondern die aktuelle Version 17.10.2.1) die Installation und Einrichtung der Datenquellen mit dem 17er Treiber sein. Dieser verwendet die Bibliothek: mssqlodbc17.dll.

Nutzer des 17er Treibers sollten ebenfalls diesen auf die aktuelle Version von Ende November 2022 bringen, um potentielle #Sicherheitslücken zu schließen.

https://go.microsoft.com/fwlink/?linkid=2217421&clcid=0x407

Microsoft Download-Link deutscher Treiber 17

Fortinet Firewalls

Kein Produkt, das wir unterstützen – dennoch kommen Fortinet #Drittanbieter Firewalls häufiger im beobachteten Umfeld (auch als Azure vpn Gateway) vor. Aktuell haben die Fortigate Firewalls und Proxies von Fortinet einige kritische Sicherheitslücken, die es Angreifern ermöglicht, aus der Ferne Zugriff auf die Admin-Oberfläche der Firewalls zu erlangen. Fortinet stuft die Sicherheitslücke als kritisch ein und vergibt einen CVSS-Score von 9.6/10.

Wer ein Fortinet-Produkt administriert, sollte den Fortinet Oktober-Patchday nicht abwarten. Die #Sicherheitslücken sind in FortiOS 7.0.7, 7.2.2, in FortiProxy 7.0.7 und 7.2.1 und in allen neueren Versionen behoben. Ist ein Update kurzfristig nicht möglich, so können Admins einen Workaround einspielen, den Fortinet seinen zahlenden Kunden im Support-Dokument CSB-221006-1 beschreibt.

Da in modernen Azure Umgebungen mit Azure Virtual Desktop statt RDS- oder Citrix-Terminalservern eine On-Premises Firewall nicht ausreicht und erst eine CloudGen-Firewall mindestens der zweiten Generation zu einer guten Absicherung führt, empfehlen wir die Barracuda-Produkte. Diese sind Cloud-zertifiziert und praxiserprobt und bieten einen gemanagten, umfassenden Schutz mit hohem Wirkungsgrad.

Die von unserem Partner NetGo vermarkteten und betreuten Firewalls setzen zudem das sog. TINA Protokoll ein, dass bei Einsatz von Backup-Geräten (z. B. einem LTE-Router) automatisches Fallback und automatisches Fall-Forward auf die Hauptleitung bietet. Fragen Sie gern die Kollegen aus unserem Vertriebsteam Cloud&Technologies für Details. Im Rahmen unseres Cloud-Readiness-Checks erhalten Sie zudem ein Firewall-Konzept.

Unser Firewall-Partner, die NetGo berät Sie hier gern

Erneut Zero-Day Lücken in Exchange - Update

Update vom 12.10.2022: Laut Microsoft wurden die untenstehenden Lücken mit einem aktuellen Patch für Exchange Server zum Oktober-Patchday bereitgestellt. sie sollten umgehend installiert werden. Leider wurde zeitgleich eine weitere Sicherheitslücke bekannt. Für diese 0-Day-Lücke gibt es noch keinen Patch und sie ist ebenfalls kritisch. Der Exchange Server im eigenen Serverraum bleibt damit (vermutlich von Microsoft so gewollt, denn die Cloud-Lösung ist wieder einmal nicht betroffen) ein unsicheres Fahrwasser.

#Hafnium 3.1: Wieder wurden #Sicherheitslücken in #Exchange Servern 2013,2016 und 2019 entdeckt. Betroffen sind mit Sicherheit auch ältere Versionen – dafür werden aber keine Patches mehr bereitgestellt. Microsoft hat die Sicherheitslücken (CVE-2022-41040, CVE-2022-41082) bestätigt.

Hinweis: Die Online-Version im Rahmen von Microsoft 365 / Exchange online ist laut Microsoft nicht betroffen.

Da es aber für die Exchange Server Versionen 2013-19 noch keinen Patch gibt und die Lücken bereits von Kriminellen ausgenutzt werden, stellt Microsoft einen Notfall-Patch bereit, der unbedingt von Administratoren auf betroffenen Servern installiert werden sollten.

https://microsoft.github.io/CSS-Exchange/Security/EOMTv2/

Microsoft Workaround gegen Sicherheitslücke und Anleitung

https://www.microsoft.com/security/blog/2022/09/30/analyzing-attacks-using-the-exchange-vulnerabilities-cve-2022-41040-and-cve-2022-41082/

Erweiterte Anleitung, die Sicherheitslücke zu schließen, da der erste Fix nicht ausreicht

August-Patchday schließt 0-Day-Lücken

Der diesjährige August #Patchday von Microsoft verdient besondere Aufmerksamkeit. So wurden am Dienstagabend unter anderem zwei kritische #Sicherheitslücken geschlossen, die als 0-Day-Lücken bezeichnet werden.

Zero-Day-Lücken sind Sicherheitslücken, die schon im Internet von Kriminellen genutzt werden, um Kontrolle über angegriffene Systeme zu bekommen oder Datendiebstahl zu begehen. Dazu müssen sie nicht einmal die Firewall überwinden. Vielfach reicht es aus, auf einer (gehackten) Website Schadcode zu hinterlegen, die der ahnungslose IT-User „ansurft“.

Nur Firewalls der aktuellen Generation mit Advanced Thread protection und SSL-Interception schützen weitgehend davor – aber nur, wenn Sie die Methoden kennen – was bei 0-Day-Lücken nicht immer der Fall ist.

Kontrollieren Sie bitte, dass zeitnah auf Windows 10 (Windows 11 ist auch betroffen, sollte aber, wenn Sie unserer Empfehlung folgen, nicht im Einsatz sein) und den Windows Servern installiert sein. Die Toleranzzeit für Versicherungen beträgt normalerweise 7 Tage (ab Patchday, 2. Dienstag im Monat, 19:00 ME(S)T).

Sicherheitslücken in PHP 7 – 8.1

Update: Nach meinen Recherchen haben die führenden Hosting-Provider (all-inkl.com, Strato, ionos…) das PHP-Punktrelease 8.0.20 installiert, so dass diese Plattformen derzeit vor Angriffen gegen diese Lücken abgesichert sind .

In den aktuell von der Community unterstützten Versionen von PHP wurden einige kritische #Sicherheitslücken geschlossen (CVE-2022-31625, CVE-2022-31626). Wer Webserver im Internet betreibt oder wie üblich bei einem Provider hosten lässt, sollte prüfen, ob er die derzeit empfohlene Version 8.0.20 im Einsatz hat, ansonsten auf die Version aktualisieren.

Viele Webseiten basieren auf #Wordpress, dem quelloffenen Content-Management System. Aber auch Joomla oder Typo3 setzen PHP und eine MySQL/MariaDB als Datenbank ein. Durch die Lücken werden diese Webserver angreifbar und könnten unter fremde Kontrolle gebracht werden.

Das quelloffene #OpenAudit Classic setzt ebenfalls PHP und die MariaDB ein. Das Risiko ist hier zwar deutlich geringer, da die Webserver nicht im Internet erreichbar sind, eine Aktualisierung ist aber empfohlen. Auf unseren Downloadquellen ist ab Version 2022-06-xx die aktuelle PHP Version 8.0.20 enthalten. Apache und MariaDB sind ebenfalls auf dem jeweils aktuellen Stand.

Wer noch alte PHP Versionen wie Version 5.x einsetzt, sollte das nicht im Internet tun. In einem Intranet oder Extranet ist das Risiko aufgrund der eingeschränkten Teilnehmerzahl zwar geringer, aber grundsätzlich vorhanden. Angreifer müssten sich dazu zunächst im Intranet/Extranet anmelden.

.net Update: Programme starten nicht mehr

Mit den #Microsoft Sicherheitsupdates für das .net-Framework schaltet Microsoft im Rahmen von #Sicherheitslücken einige ältere Funktionen ab. ‎Nach der Installation von KB5012643 starten einige .NET Framework 3.5 Anwendungen nicht mehr. Ursache sind die von den Anwendungs-Herstellern genutzte Funktionen: Windows Communication Foundation (WCF) und Windows Workflow (WWF).‎

Workaround

Wenn Sie von dem Fehler betroffen sind, melden Sie sich mit administrativen Rechten an den betroffenen Rechnern oder Terminalservern an und führen in der administrativen Befehlszeile oder Powershell die folgenden Kommandos aus:

dism /online /enable-feature /featurename:netfx3 /all
dism /online /enable-feature /featurename:WCF-HTTP-Activation
dism /online /enable-feature /featurename:WCF-NonHTTP-Activation

Mit etwas Glück starten dann die Programme wieder. Wenden Sie sich an den Hersteller/Programmierer der Software zwecks Update zu einer Version, die diese Komponenten nicht mehr nutzt. Es ist zu befürchten, dass Microsoft die Funktionen mit dem nächsten .net monatlichen Update erneut entfernt.

Sicherheitslücke in 7-ZIP

wie mit CVE-2022-29072 bekannt wurde, enthält auch die aktuelle 7-ZIP Version 21.07 kritische #Sicherheitslücken in der Hilfedatei (7-zip.chm). Der Hauptentwickler des Projekts hat sich noch nicht dazu geäußert, der Workaround ist aber recht einfach zu bewerkstelligen:

Löschen Sie die Hilfe-Datei 7-zip.chm. Für die 64-Bit-Version liegt diese im angezeigten Pfad. Wenn Sie 7-zip über eine Stapeldatei installieren, lautet demnach die Unattended-Befehlskette:

echo 7-Zip...
7z2107-x64.exe /S
rem *** Sicherheitslücke von 2022 - Helpdatei löschen
del "C:\Program Files\7-Zip\7-zip.chm" /Q

Da Version 21.07 andere bekannte Sicherheitslücken geschlossen hat, ist die Kombination aus 7-ZIP 21.07 (64-Bit) und dem Löschen der Hilfedatei derzeit die sicherste Möglichkeit, mit gepackten Dateien umzugehen. Das liegt auch daran, dass die im Windows Dateiexplorer integrierte ZIP-Entpackfunktion eine Vorschaufunktion hat, die immer mal wieder Sicherheitsrisiken enthielt. 7-ZIP erkennt auch mehr Formate und ist Open-Source, während WINRAR und WINZIP kostenpflichtig sind. Da die Software ein Open-Source-Projekt ist, dürfte das Risiko, dass der Chef-Entwickler ein Russe ist, gering ausfallen, zumal die Software keinen automatischen Updater hat, der „nach Hause telefoniert“, und schädliche Programmzeilen den anderen Entwicklern und der Community wegen Quellcode-Einsicht sofort auffallen würden.

Entfernen Sie alte Versionen von 7-ZIP, installieren Version 21.07 (64-Bit) und löschen danach die 7-zip.chm Hilfedatei

7-Zip 21.07

HP-Drucker – kritische Sicherheitslücken

#HP (Hewlett-Packard) warnt vor kritischen #Sicherheitslücken in über 200 seiner Drucker der Marken #HP und Samsung. Angreifer können mit diesen Lücken Schadprogramme auf den Druckern installieren. Das funktioniert normalerweise nur im lokalen Netzwerk. Da aber dies der Haupt Angriffsvektor ist, sollte umgehen die aktuelle Firmware auf den Druckern installiert werden.

Ein typischer Angriff funktioniert so: Ein Mitarbeiter wird in E-Mails unter einem Vorwand dazu aufgefordert, einen Link auszuführen. Dieser lädt mit Benutzerrechten die erste Software herunter. Diese wiederum durchsucht das lokale Netzwerk nach „Opfergeräten“ mit Sicherheitslücken und installiert dort einen weiteren Download (das Schadprogramm). Auf dem Drucker wird dann das Schadprogramm ausgeführt und verschlüsselt beispielsweise andere Geräte im Netzwerk.

Alternativ schalten Sie bitte in der Druckeroberfläche unter Netzwerk / Erweitert das LLMNR Protokoll aus.

Steht kein Firmwareupdate für Ihr Modell zur Verfügung, empfiehlt es sich, ebenfalls die Cloudprint Funktionen des Druckers über die HP Smart App abzuschalten. Damit kann der Drucker über das Internet erreicht werden und Ausdrucke über eine e-Mail an den Drucker initiiert werden.

https://support.hp.com/us-en/document/ish_5948778-5949142-16/hpsbpi03780

https://support.hp.com/de-de/drivers

HP Supportseiten: (CVE-2022-3942, CVSS 8.4, Risiko kritisch)

HP Supportseiten: (CVE-2022-3942, CVSS 8.4, Risiko kritisch)

SQL-Server 2012 Supportende Mitte 2022

Viele von Ihnen setzen in Verbindung mit gevis ERP | BC, gevis ERP | NAV und gevis Classic die sogenannte ISV-Runtime des Microsoft SQL-Servers ein. Mit einer jährlich zu verlängernden „Maintenance“ (Wartung) wird Ihnen das Recht gewährt, auf eine neuere Version vom SQL-Server zu aktualisieren. Darüber ist, solange Sie nur unsere Produkte (gevis, s.dok, BI1, NAV Lohn) auf diesen SQL-Servern einsetzen) die Lizenz deutlich günstiger als ein vollwertiger SQL-Server Standard.

Ab Mitte Juli 2022 gibt es keine Sicherheits-Updates mehr für #SQL Server 2012. #Sicherheitslücken sind damit vorprogrammiert.

3Jahre 1Monat 3Wochen 1Tag
seit Di. 12. Juli 2022 1.149 Tage 

Die Notwendigkeit, ein SQL-Versions-Upgrade auszuführen, tritt immer dann ein, wenn das Supportende des installierten Produkts abläuft oder eine neue gevis Version/Architektur eingesetzt wird (wie im Rahmen einer gevis ERP | BC Migration). Das Upgrade ist immer genau auf die Version mit dem kumulative Upgrade möglich, die von der verwendeten NAV-Version unterstützt wird.

So kann man mit Dynamics NAV 2017 maximal auf SQL-Server 2017 mit einem der ersten kumulativen Updates (CU) aktualisieren, nicht auf SQL-Server 2019. Zusätzlich gibt es eine Abhängigkeit zum verwendeten Server-Windows-Betriebssystem. Alte SQL-Server Versionen können nicht auf Windows Servern der Version 2019 oder 2022 installiert werden.

Handlungsbedarf

• Stellen Sie Ihre gevis Version fest und die darunterliegende Version von Microsoft Dynamics NAV bzw. Microsoft Dynamics 365 Business Central.
• Ermitteln Sie im SQL-Server Management Studio die Version Ihres SQL-Servers (z.B. 12.0.2034.21234)
• Dokumentieren Sie die Windows-Version Ihres SQL-Servers (und der NSTs/Batchserver)
• Prüfen Sie, ob Sie die SQL-Server Maintenance immer verlängert haben und aktuell ein Wartungsvertrag vorliegt.

Wenn eine aktive SQL-Server-Maintenance und die Umgebungsbedingungen dies erlauben, können Sie die Durchführung des Upgrades unter Einlieferung der oben genannten Ergebnisse bei uns beauftragen. Wir berechnen dann nur die Dienstleistung-Stunden, die wir per Fernwartung für das Durchführen der Aktualisierung benötigen, zum jeweils gültigen Stundensatz.

Liegt keine aktive Maintenance vor, müssen Sie zusätzlich die SQL-Server Lizenzen leider neu lizensieren (oder im Rahmen einer Cloud-Migration in Microsoft Azure anmieten). Auch hier bieten wir Ihnen die SQL-ISV-Runtime Lizenzen gern an.

Ihr Ansprechpartner für die Angebote ist Andreas Lübke.

Drucker - die Dritte (HP/Samsung)

viele von Ihnen setzen Drucker von #HP im Unternehmen ein. Für eine größere Anzahl von Modellen wurden nun auch kritische #Sicherheitslücken geschlossen. Schauen Sie bitte im folgenden Artikel („affected Products“ aufklappen) nach, ob ein Drucker aus der Liste bei Ihnen in Betrieb ist. Weil HP die Druckersparte von #Samsung aufgekauft hat, sind auch Geräte dieser Marke betroffen.

HP Security Bulletin zur kritischen Lücke

https://support.hp.com/us-en/document/ish_3900395-3833905-16

In der Druckverwaltung auf Ihrem Printserver können Sie sehen, mit welchem Treiber der Drucker betrieben wird. Steht dort NICHT „Universal Printer Driver“ – PCL5 oder PCL6, sind Sie von der Sicherheitslücke betroffen und sollten die auf der HP-Seite angebotenen Treiber ersetzen.

Die verwendeten HP Universal-Druckertreiber (PCL5 nur für ältere Modelle, sonst PCL6) sollten bei der Gelegenheit ebenfalls überprüft werden, ob sie aktuell sind:

• PCL6: 61.250.1.24832
• PCL5: 61.180.1.20062 (wird nicht mehr weiter entwickelt, sollte aber die letzte unterstützte Version sein

Sicherheitslücke in HP-Druckertreibern

viele von Ihnen setzen #Drucker von #HP im Unternehmen ein. Für eine größere Anzahl von Modellen wurden nun auch kritische #Sicherheitslücken geschlossen. Schauen Sie bitte im folgenden Artikel („affected Products“ aufklappen) nach, ob ein Drucker aus der Liste bei Ihnen in Betrieb ist. Weil HP die Druckersparte von #Samsung aufgekauft hat, sind auch Geräte dieser Marke betroffen.

HP Security Bulletin zur kritischen Lücke

https://support.hp.com/us-en/document/ish_3900395-3833905-16

In der Druckverwaltung auf Ihrem Printserver können Sie sehen, mit welchem Treiber der Drucker betrieben wird. Steht dort NICHT „Universal Printer Driver“ – PCL5 oder PCL6, sind Sie von der Sicherheitslücke betroffen und sollten die auf der HP-Seite angebotenen Treiber ersetzen.

Die verwendeten HP Universal-Druckertreiber (PCL5 nur für ältere Modelle, sonst PCL6) sollten bei der Gelegenheit ebenfalls überprüft werden, ob sie aktuell sind:

• PCL6: 61.250.1.24832
• PCL5: 61.180.1.20062 (wird nicht mehr weiter entwickelt, sollte aber die letzte unterstützte Version sein

Jetzt auch noch HIVE Nightmare

Elm Street lässt grüßen: Beim Schließen der kritischen #Sicherheitslücken in #Windows hat Microsoft die Print Nightmare Lücke nicht vollständig gepatcht. Deshalb kann ein Angreifer, nur wenn er sich bereits im selben IP-Netzwerk befindet, immer noch im System-Kontext Schadprogramme installieren. Die Lücke ist damit nicht mehr ganz so kritisch, aber immer noch vorhanden. Eine andere Lösung, als gänzlich auf das Drucken zu verzichten, gibt es nicht.

Zusätzlich wurde vor wenigen Tagen eine weitere Lücke entdeckt: Der so benannte HIVE #Nightmare. Damit kann ein Angreifer Sicherheitsinformationen und Kennwort-Hashes der lokalen Benutzer auslesen und somit sich leichter Adminrechte über das Gerät verschaffen.

Betroffen sind die SAM, SYSTEM, and SECURITY registry #hive files, aber auch nur, wenn man die Volumen-Schattenkopien (VSS) nutzt. Ohne diese Schattenkopien bedeutet eine defekte Registry Neuaufsetzen des ganzen Systems.

Für die untere Lücke beschreibt Microsoft eine Art Workaround, die zwar die Sicherheitslücke schließt, die Nebenwirkung hat, dass das System nach einem Fehler neu aufgesetzt werden muss. Registry-Fehler lassen sich so nicht mehr über eine Datensicherung restaurieren.

Systemkoordinatoren sollten selbst entscheiden, zumal die Lücke auch nur dann genutzt werden kann, wenn man sich im selben Netzwerk befindet, ob sie eine Registry ohne Datensicherung (VSS) oder das Restrisiko eines internen Angriffs in Kauf nehmen.

Da die Passwort-Hashes der lokalen Benutzer nicht sonderlich gut verschlüsselt sind, ist es insbesondere bei unsicheren Passwörtern eine Fragen von wenigen Minuten, bis der Angreifer dann lokale Adminrechte über diesen Rechner hat.

Domänencontroller und das Active Directory sind von der Lücke nicht betroffen. Laut Microsoft Artikel sind zwar auch Server 2019 betroffen, sowie Windows 10 (ab Version 1809) und Windows 11, es geht aber nur um die lokalen Benutzer und nciht die Active Directory Datenbank. Ein Angreifer kann damit nicht die Domain admin Rechte hacken.

Quelle: Microsoft Security Bulletin

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934

Print- und HIVE-Nightmare Sicherheitslücken

Die Elm Street und Freddy lassen grüßen: Beim Schließen der kritischen #Sicherheitslücken in #Windows hat Microsoft etwas nicht gepatcht. Deshalb kann ein Angreifer, nur wenn er sich bereits im selben IP-Netzwerk befindet, immer noch im System-Kontext Schadprogramme installieren. Die Lücke ist damit nicht mehr ganz so kritisch, aber immer noch vorhanden. Eine andere Lösung, als gänzlich auf das Drucken zu verzichten, gibt es nicht.

Zusätzlich zum #Print-Nightmare wurde vor wenigen Tagen eine weitere Lücke entdeckt: Der so benannte HIVE Nightmare. Damit kann ein Angreifer Sicherheitsinformationen und Kennwort-Hashes der lokalen Benutzer auslesen und somit sich leichter Adminrechte über das Gerät verschaffen.

Betroffen sind die SAM, SYSTEM, and SECURITY registry hive files, aber auch nur, wenn man die Volumen-Schattenkopien (VSS) nutzt. Ohne diese Schattenkopien bedeutet eine defekte Registry Neuaufsetzen des ganzen Systems.

Für die untere Lücke beschreibt Microsoft eine Art Workaround, die zwar die Sicherheitslücke schließt, die Nebenwirkung hat, dass das System nach einem Fehler neu aufgesetzt werden muss. Registry-Fehler lassen sich so nicht mehr über eine Datensicherung restaurieren.

Systemkoordinatoren sollten selbst entscheiden, zumal die Lücke auch nur dann genutzt werden kann, wenn man sich im selben Netzwerk befindet, ob sie eine Registry ohne Datensicherung (VSS) oder das Restrisiko eines internen Angriffs in Kauf nehmen.

Da die Passwort-Hashes der lokalen Benutzer nicht sonderlich gut verschlüsselt sind, ist es insbesondere bei unsicheren Passwörtern eine Fragen von wenigen Minuten, bis der Angreifer dann lokale Adminrechte über diesen Rechner hat.

Domänencontroller und das Active Directory sind von der Lücke nicht betroffen. Laut Microsoft Artikel sind zwar auch Server 2019 betroffen, sowie Windows 10 (ab Version 1809) und Windows 11, es geht aber nur um die lokalen Benutzer und nciht die Active Directory Datenbank. Ein Angreifer kann damit nicht die Domain admin Rechte hacken.

Quelle: Microsoft Security Bulletin

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934

Warum Exchange Server nicht mehr zeitgemäß sind

Bereits im März und im April wurden in den #Exchange Server Produkten kritische #Sicherheitslücken geschlossen. Die als #Hafnium betitelten Angriffe auf Server weltweit machten Schlagzeilen und sorgten für zahlreiche Schäden und Ausfälle.

Exchange 201x versus Exchange online

Bei Einsatz und Betrieb eines Exchange Servers im eigenen Hause ist der IT-Administrator für das manuelle Installieren der Sicherheitsupdates auf den Servern verantwortlich. Im Gegensatz zu den halbautomatisch (nur installieren und neu starten) durchführbaren Windows Updates erfordert die Installation von Exchange Patches größere Wartungsfenster und sie müssen komplett von Hand heruntergeladen und installiert werden. Vielfach sind mehrere Updates und Neustarts des Exchange Servers erforderlich.

Mit dem Online Dienst „Exchange online“ kümmert sich Microsoft um alle Updates der Plattform. Die Erfahrung hat gezeigt, dass erkannte Sicherheitslücken dort 2-3 Wochen eher geschlossen sind, bevor sie in den Medien publik werden.

Mit Skykick Backup lassen sich auch Langzeit-Sicherungs- und Aufbewahrungs-Szenarien abbilden, so dass auch die Datenmengen in der Bandsicherung von veeam signifikant reduziert werden und die Nachtsicherung schneller fertig ist.

Kritische Sicherheitslücken auch im Mai 2021 geschlossen

Am Dienstag (gestern) um 1900 Uhr war wieder Patchday. Wieder wurden kritische Lücken geschlossen. Wie auch im April gab es KEINE Updates mehr für den Exchange Server 2010. Wer ein solch altes Produkt noch im Einsatz hat, handelt vorsätzlich und Versicherungen kürzen die Leistungen im Schadenfall rigoros.

Die aktuellen Mai-Updates setzen wieder voraus, dass der Exchange Server den Update-Stand von April bereits hat, ansonsten müssen auch die Updates von April zuvor installiert werden. Das sind:

Exchange Server 2013 CU23
Exchange Server 2016 CU19 and CU20
Exchange Server 2019 CU8 and CU9

Quelle: Microsoft Security Blog

Fazit

Das Risiko, Opfer eines Angriffs mit einem Exchange Server im Hause zu werden ist, mit allen Konsequenzen auch im Datenschutz- und strafrechtlichen Bereichs kritisch. Unternehmen sollten umgehend auf Exchange online in Verbindung mit Skykick Langzeitsicherung umstellen. Auch im Mai gilt wieder: Alle Exchange online Kunden sind nicht betroffen. Stellen Sie auf Exchange online um, um die Sicherheit zu erhöhen.

Monatliche Updates lebenswichtig

Hafnium – die kritischen #Sicherheitslücken in #Exchange Servern im eigenen Hause – waren erst vor einem Monat. Wie wichtig es ist, möglichst zeitnah zum monatlichen #Patchday (2. Dienstag im Monat, 19:00 Uhr) die Sicherheitsupdates zu installieren, zeigt die aktuelle Statistik:

So hat Microsoft laut eigenen Angaben am gestrigen April #Patchday 2021 rund 2.700 Sicherheitslücken geschlossen. Darunter sind auch einige für Exchange Server 2013, 2016 und 2019. Exchange 2010 ist bereits seit Anfang 2020 aus dem Support heraus. Für Hafnium gab es nur den Notfallpatch im März (außerhalb der Reihe).

Es wurden, wie immer auch Lücken in Windows 10 und Office 2013/16/19 und den Office 365 apps geschlossen.

Erneut Exchange Server 2013 16 19

Die folgenden kumulativen Updates sollten ebenfalls (Stand: 13. April) installiert werden:

Microsoft Exchange Server 2019 Cumulative Update 8
Microsoft Exchange Server 2019 Cumulative Update 9
Microsoft Exchange Server 2016 Cumulative Update 19
Microsoft Exchange Server 2016 Cumulative Update 20
Microsoft Exchange Server 2013 Cumulative Update 23

Handlungsbedarf kontinuierlich

Wer nicht innerhalb von einer Woche nach dem Patchday alle Sicherheitspatches installiert hat, erfüllt nicht einmal den BSI Grundschutz-Standard und relevante Versicherungen können im Schadenfall die Leistung empfindlich kürzen, bei Überschreiten von 10 Tagen sogar verweigern.

Geschützt werden müssen alle Endgeräte, alle Server On-Premises (in Ihren Räumlichkeiten) und Cloud-Server – egal ob Housing oder IaaS. Nur bei Online-Diensten wie Exchange online und Microsoft Teams und den Webkomponenten von Microsoft 365 werden die Updates automatisch bereitgestellt.

Um sich zu schützen sollten Sie:

• 1x pro Monat am Patchday, spätestens 1 Woche danach wichtige und kritische Sicherheitsupdates auf den oben genannten Servern und Endgeräten installieren und in einem Wartungsfenster die Geräte neu starten
• alternativ können Sie Managed | Server bei uns buchen und wir übernehmen die Aufgabe für Sie. So müssen Sie sich nur noch um die Client-Endgeräte kümmern
• Dienste wie ein Exchange Server sollten zugunsten von Microsoft Onlinediensten (Exchange Online oder/und Microsoft 365 Abo) migriert werden (Die Updates für die Office 365 Apps auf den Clients führen Sie aber dennoch aus. Dieser Prozess lässt sich aber weitgehend automatisieren)

Für Fragen nehmen Sie gern mit unserem Cloud-Vertriebs-Team Kontakt auf. Andreas Lübke und Sein Team bieten Ihnen gern die sicheren Produkte an.

Exchange Server betreiben? Nicht mehr!

Bereits im März und im April wurden in den #Exchange Server Produkten kritische #Sicherheitslücken geschlossen. Die als #Hafnium betitelten Angriffe auf Server weltweit machten Schlagzeilen und sorgten für zahlreiche Schäden und Ausfälle.

Exchange 201x versus Exchange online

Bei Einsatz und Betrieb eines Exchange Servers im eigenen Hause ist der Systemkoordinator für das manuelle Installieren der Sicherheitsupdates auf den Servern verantwortlich. Im Gegensatz zu den halbautomatisch (nur installieren und neu starten) durchführbaren Windows Updates erfordert die Installation von Exchange Patches größere Wartungsfenster und sie müssen komplett von Hand heruntergeladen und installiert werden. Vielfach sind mehrere Updates und Neustarts des Exchange Servers erforderlich.

Mit dem Online Dienst „Exchange online“ kümmert sich Microsoft um alle Updates der Plattform. Die Erfahrung hat gezeigt, dass erkannte Sicherheitslücken dort 2-3 Wochen eher geschlossen sind, bevor sie in den Medien publik werden.

Mit Skykick Backup lassen sich auch Langzeit-Sicherungs- und Aufbewahrungs-Szenarien abbilden, so dass auch die Datenmengen in der Bandsicherung von veeam signifikant reduziert werden und die Nachtsicherung schneller fertig ist.

Kritische Sicherheitslücken auch im Mai 2021 geschlossen

Am Dienstag (gestern) um 1900 Uhr war wieder Patchday. Wieder wurden kritische Lücken geschlossen. Wie auch im April gab es KEINE Updates mehr für den Exchange Server 2010. Wer ein solch altes Produkt noch im Einsatz hat, handelt vorsätzlich und Versicherungen kürzen die Leistungen im Schadenfall rigoros.

Die aktuellen Mai-Updates setzen wieder voraus, dass der Exchange Server den Update-Stand von April bereits hat, ansonsten müssen auch die Updates von April zuvor installiert werden. Das sind:

Exchange Server 2013 CU23
Exchange Server 2016 CU19 and CU20
Exchange Server 2019 CU8 and CU9

Quelle: Microsoft Security Blog

Fazit

Das Risiko, Opfer eines Angriffs mit einem Exchange Server im Hause zu werden ist, mit allen Konsequenzen auch im Datenschutz- und strafrechtlichen Bereichs kritisch. Unternehmen sollten umgehend auf Exchange online in Verbindung mit Skykick Langzeitsicherung umstellen. Auch im Mai gilt wieder: Alle Exchange online Kunden sind nicht betroffen.
Wenden Sie sich gern an unser Team Cloud Vertrieb unter Leitung von Andreas Lübke für ein Angebot für eine Exchange online Migration.

Kritische Lücke in Logitech Funkmäusen/Tastaturen

Sicherheitslücken und Risiko

Zahlreiche Wireless Geräte von Logitech (Funkmäuse, Tastaturen, Presenter) haben ein kritische und bereits ausgenutzte Sicherheitslücken in ihrer Firmware.
Ein potenzieller Angreifer kann damit in Funkreichweite des Empfängers (10-20 m) Tastatureingaben belauschen und damit E-Mails, Kennwörter aufzeichnen. Kritischer ist die Möglichkeit, dass er eigene Eingaben an den angegriffenen Rechner schickt. Damit kann er Schadprogramme auf dem Zielsystem installieren und Programme ausführen.
Einen Rechner mit einem Trojaner oder Downloader zu infizieren ist dadurch möglich.

Betroffen sind alle Geräte, die über den Logitech Unifying Funkempfänger mit dem Rechner verbunden sind (siehe Abbildung):

Maßnahmen zweistufig

Bekannt sind sechs #Sicherheitslücken, von denen Logitech bereits vier geschlossen hat. Wer also jetzt über die Logitech Software nach Firmware-Updates sucht, kann vier von den sechs Sicherheitslücken schließen, indem er die Unifying Firmware aktualisiert. Gut unterrichtete Quellen berichten, dass die Logitech Setpoint-Software in vielen Fällen nicht die vier Lücken schließt. Das Logitech Firmware-Tool: „SecureDFU“ schon.
Da Logitech die anderen zwei Lücken frühestens im August 2019 schließen wird, bleiben die genannten Geräte so lange unsicher und angreifbar und man muss im August oder September nochmal Firmware-Updates machen.

Will man sich effektiv schützen, bleibt aktuell nur, entweder die Geräte durch kabelgebundene Lösungen zu ersetzen oder aber dafür zu sorgen, dass ein potentieller Angreifer nicht näher als 20m an den Unifying Empfänger heran kommt.

Fazit

Grundsätzlich besteht auch bei anderen Herstellern das Risiko, dass Funktastaturen, -Mäuse und -Presenter Sicherheitslücken haben. Das Risiko, abgehört oder angegriffen zu werden ist damit deutlich höher.
Das gilt grundsätzlich nicht nur für Gerätschaften, die im 2.4 GHz Funkbereich funken, sondern auch für Bluetooth-Geräte. Da der Bluetooth-Standard ab Version 4 Daten verschlüsselt überträgt und hierzu derzeit keine Sicherheitslücken bekannt sind, können beispielsweise mobile Bluetooth-Notebookmäuse und -Presenter zunächst weiter eingesetzt werden.

Wer sicherer sein möchte, setzt kabelgebundene USB-Lösungen an seinen Rechnern ein.

Letztes Java Sicherheitsupdate

Oracle hat heute das letzte kostenlose Java-Sicherheitsupdates für die #Java Runtime 8 veröffentlicht. Die Versionsangabe steigt damit auf Version 8.0.202. Ab Februar sind dann weitere Updates der Runtime nur mit einem kostenpflichtigen Abo zu beziehen. Wer noch Anwendungen auf Java-Basis (lokale Anwendungen und auch Browser-Web-Anwendungen) einsetzt, sollte schnell handeln, damit keine größeren #Sicherheitslücken genutzt werden ab Februar.

Alternativen zur kostenpflichtigen Java wie das #Adoptium Temurin habe ich in dem anderen Artikel genannt. Das Prüfprogramm für elektronische Rechnungen „Secsigner“ erfordert bereits jetzt keine Oracle Java Runtime mehr, sondern enthält eine eigene OpenJDK im Installationspaket.