Es ist die Woche der CVEs. Nach den gravierenden Schwachstellen aus dem Hause Citrix hat nun auch Microsoft Details zu den Schwachstellen CVE-2023-21706 und CVE-2023-21707 in Exchange Server veröffentlicht und Fixes bereitgestellt, welche die betroffene Lücke schließen. Der Hersteller empfiehlt dringend, das entsprechende Update zu installieren und kommentiert folgendermaßen:
The February 2023 SUs address vulnerabilities responsibly reported to Microsoft by security partners and found through Microsoft’s internal processes. Although we are not aware of any active exploits in the wild, our recommendation is to immediately install these updates to protect your environment.
These vulnerabilities affect Exchange Server. Exchange Online customers are already protected from the vulnerabilities addressed in these SUs and do not need to take any action other than updating Exchange servers in their environment.
Details zur Schwachstelle
Betroffene Produkte
Ältere Patchstände sind ebenfalls betroffen, vorbereitend muss hier das jeweils genannte CU vorinstalliert werden. Betroffen sind auch Exchange Management Server. Das aktuelle SU muss auch installiert werden, wenn sich alle Postfächer in einer hybriden Umgebung in Azure befinden!
Download beim Hersteller
Exchange Server 2013 CU23 | https://www.microsoft.com/en-us/download/details.aspx?id=105000 |
Exchange Server 2016 CU23 | https://www.microsoft.com/en-us/download/details.aspx?id=104999 |
Exchange Server 2019 CU11 | https://www.microsoft.com/en-us/download/details.aspx?id=104998 |
Exchange Server 2019 CU12 | https://www.microsoft.com/en-us/download/details.aspx?id=104997 |
Gerne unterstützen wir dabei, die Systeme auf den vom Hersteller empfohlenen Releasestand zu bringen.
Bitte beachten Sie, dass wir keinerlei forensische Untersuchungen durchführen.
Citrix hat Details zu Schwachstellen (CVE-2023-24483 bis 24486) in Citrix Virtual Apps and Desktops (CVAD) und der Citrix Workspace App (CWA) veröffentlicht und Fixes bereitgestellt, welche die betroffene Lücke schließen. Der Hersteller bewertet die Schwachstellen als HOHES Risiko und empfiehlt dringend, die entsprechenden Systeme (VDAs, also Sever und Clients) so schnell wie möglich und ausnahmslos zu aktualisieren. Das bedeutet in der Praxis bspw. einen Notfall-RfC (emergency request for change) zur außerplanmäßigen Aktualisierung aller vDisks für Ihre Provisioning Services (PVS) Installation.
Ferner ist das Update aller Windows Workspace Apps auf allen Desktops bzw. Laptops erforderlich, selbst wenn diese derzeit nicht aktiv für den Zugriff auf Citrix Remoting Produkte genutzt werden.
Citrix kommentiert folgendermaßen:
A vulnerability has been identified that, if exploited, could result in a local user elevating their privilege level to NT AUTHORITY\SYSTEM on a Citrix Virtual Apps and Desktops Windows VDA.
Citrix strongly recommends that customers upgrade to a version of Virtual Apps and Desktops that contains the fixes as soon as possible. In addition, customers using Citrix Virtual Apps and Desktops Service using any of the vulnerable versions of Citrix Virtual Apps and Desktops Windows VDA are affected and need to take action.Vulnerabilities have been identified that, collectively, allow a standard Windows user to perform operations as SYSTEM on the computer running Citrix Workspace app.
These vulnerabilities have the following identifiers:
CVE ID | Description | Vulnerability Type | Pre-conditions |
CVE-2023-24483 | Privilege Escalation to NT AUTHORITY\SYSTEM on the vulnerable VDA | CWE-269: Improper Privilege Management | Local access to a Windows VDA as a standard Windows user |
CVE-2023-24484 | A malicious user can cause log files to be written to a directory that they do not have permission to write to. | CWE-284: Improper Access Control | Local user access to a system where a vulnerable version of Citrix Workspace App for Windows is later installed or uninstalled by a SYSTEM process (e.g. SCCM). |
CVE-2023-24485 | Privilege Escalation on the system running a vulnerable version of Citrix Workspace app for Windows | CWE-284: Improper Access Control | Local user access to a system at the time a vulnerable version of Citrix Workspace App for Windows is being installed or uninstalled by an Administrator or SYSTEM process (e.g. SCCM). |
CVE-2023-24486 | Session takeover | CWE-284: Improper Access Control | Local user access to a system where another user is utilizing a vulnerable version of Citrix Workspace App for Linux to launch published desktops and applications |
Details zu den Schwachstellen
Betroffene Produkte
Download beim Hersteller
Gerne unterstützen wir dabei, die Systeme auf den vom Hersteller empfohlenen Firmwarestand zu bringen. Bitte beachten Sie, dass wir keinerlei forensische Untersuchungen durchführen.
Citrix hat Details zu einer Schwachstelle (CVE-2022-27518) in Citrix NetScaler veröffentlicht und Fixes bereitgestellt, welche die betroffene Lücke schließen.
Der Hersteller empfiehlt dringend, die entsprechende Firmware zu installieren und kommentiert folgendermaßen:
“A vulnerability has been discovered in Citrix Gateway and Citrix ADC, listed below, that, if exploited, could allow an unauthenticated remote attacker to perform arbitrary code execution on the appliance.”
Ein nicht-authentifizierter Angreifer kann auf einem betroffenen System Schadcode ausführen.
Details zur Schwachstelle
https://support.citrix.com/article/CTX474995/citrix-adc-and-citrix-gateway-security-bulletin-for-cve202227518
Betroffene Produkte
Nach derzeitiger Informationslage seitens Citrix sind Citrix ADC oder Citrix Gateway Systeme betroffen, welche als SAML SP oder SAML IdP konfiguriert sind,
und zwar in den folgenden Versionen:
Download beim Hersteller
https://www.citrix.com/downloads/citrix-adc/firmware/release-12-1-build-65-15.html
https://www.citrix.com/downloads/citrix-adc/firmware/release-13-0-build-88-12.html
https://www.citrix.com/downloads/citrix-adc/firmware/release-13-1-build-37-38.html
Gerne unterstützen wir dabei, die Systeme auf den vom Hersteller empfohlenen Firmwarestand zu bringen. Bitte beachten Sie, dass wir keinerlei forensische Untersuchungen durchführen.
Citrix hat Details zu mehreren Schwachstellen (CVE-2022-27510, CVE-2022-27513 und CVE-2022-27516) in Citrix NetScaler (ADC) veröffentlicht und Fixes bereitgestellt, welche die betroffene Lücke schließen.
Der Hersteller empfiehlt dringend, die entsprechende Firmware zu installieren und kommentiert folgendermaßen:
“Note that only appliances that are operating as a Gateway (appliances using the SSL VPN functionality and deployed as a forward proxy) are affected by the first issue, which is rated as a Critical severity vulnerability.”
“Affected customers of Citrix ADC and Citrix Gateway are recommended to install the relevant updated versions of Citrix ADC or Citrix Gateway as soon as possible.”
Es sind Appliances betroffen, welche als Citrix Gateway konfiguriert sind. Die Schwachstelle “CVE-2022-27510” ermöglicht es, die Authentifizierung zu umgehen und Zugriff auf Funktionen zu erhalten, welche sonst nur einem angemeldeten Gateway Benutzer zur Verfügung stehen. Nach aktueller Informationslage würde dies einen VPN-Tunnel miteinschließen.
Details zu den Schwachstellen
Citrix Gateway and Citrix ADC Security Bulletin for CVE-2022-27510 CVE-2022-27513 and CVE-2022-27516
Betroffene Produkte
Download beim Hersteller
Herunterladen Citrix ADC - Citrix Germany
Besteht ein entsprechender bcSupport oder bcManaged Vertrag für Citrix NetScaler, kümmern wir uns natürlich proaktiv um die Aktualisierung der Geräte.
Microsoft hat Details zu den Schwachstellen (CVE-2022-41040 & CVE-2022-41082) in Microsoft Exchange Servern veröffentlicht. Der Hersteller empfiehlt, entsprechende Anfragen durch eine manuelle Konfigurationsänderung (IIS Rewrite) zu blockieren.
Details zur Schwachstelle
Über die Schwachstelle CVE-2022-41040 ist es einem authentifizierten Angreifer möglich, die Schwachstelle CVE-2022-41082 auszulösen. Diese bietet wiederum die Möglichkeit zur Ausführung von Schadcode.
Auszug aus Microsoft Security Response Center, siehe Customer Guidance for Reported Zero-day Vulnerabilities in Microsoft Exchange Server – Microsoft Security Response Center :
“At this time, Microsoft is aware of limited targeted attacks using the two vulnerabilities to get into users’ systems. In these attacks, CVE-2022-41040 can enable an authenticated attacker to remotely trigger CVE-2022-41082. It should be noted that authenticated access to the vulnerable Exchange Server is necessary to successfully exploit either of the two vulnerabilities.“
“Authenticated attackers who can access PowerShell Remoting on vulnerable Exchange systems will be able to trigger RCE using CVE-2022-41082. Blocking the ports used for Remote PowerShell can limit these attacks.”
Weitere Details finden Sie unter diesen Links:
Betroffene Produkte
Microsoft Exchange Server 2013, 2016 und 2019 - jeweils in der On-Premises Variante
Download beim Hersteller
Bislang gibt es noch keinen verfügbaren Patch, lediglich den empfohlenen Workaround.
Übrigens, durch einen entsprechend konfigurierten Application Delivery Controller (z.B. Citrix ADC, ehemals NetScaler), können solche Exploits in der Regel schon im Vorfeld verhindert werden.
Imprivata hat Informationen zu einer Sicherheitslücke veröffentlicht, welche mit einer CVSS "hoch" eingestuft wurde.
Betroffene Produkte
Maßgeblich betroffen ist der OneSign Agent für Windows.
Zum aktuellen Stand gibt die nachfolgende Tabelle des Herstellers an, auf welche Version aktualisiert werden muss.
OneSign / Confirm ID Version | Corrective Action Required |
Fix for Security Vulnerability | |
Up to 7.0 | These versions are at End of Life. We strongly urge you to upgrade to a supported version. |
07. Jan | Update to versions 7.1 HF11 and later. Endpoint agent reboot is required. |
07. Feb | Update to versions 7.2 SP1 HF12 and later. Endpoint agent reboot is required. |
07. Mrz | Update to versions 7.3 HF13 and later. Endpoint agent reboot required. |
Fix for Security Vulnerability and Memory Exhaustion | |
07. Apr | Update to version 7.4 HF6 and later. Endpoint agent reboot is required. |
07. Mai | Update to version 7.5 HF4 and later. Endpoint agent reboot is required. |
07. Jun | Update to version 7.6 HF3 and later. Endpoint agent reboot is required. |
07. Jul | Update to version 7.7 HF3 and later. Endpoint agent reboot is required. |
Details zur Schwachstelle
Aktuelle Informationen des Herstellers finden Sie unter dem folgenden Link: Site Info - Imprivata
Sollte der Link für Sie nicht direkt aufrufbar sein, findet sich auf Home - Imprivata ein Banner welcher zu dem Artikel verlinkt.
Download beim Hersteller
Products - Imprivata
IGEL hat kritische "Common Vulnerabilities and Exposures" (CVE) bekanntgegeben. Der Hersteller kategorisiert die aktuelle Sicherheitslücke mit der Priorität "hoch" - CVSS 3.1 Base Score: 7.8 von 10.0 (high)
Schwachstelle beim Hersteller
ISN 2022-01: Polkit Escalation of Privilege
Betroffene Produkte
Alle, seitens des Herstellers in Support befindlichen, IGEL OS 10 und IGEL OS 11 Versionen <11.06.250.
Details zur Schwachstelle
ISN 2022-01: Polkit Escalation of Privilege (igel.com) Der Hersteller empfiehlt, die neue Firmware 11.06.250 zu installieren, welche seit dem 7. Februar 2022 zur Verfügung steht.
Alternativ, bzw. bis zum Update/Upgrade, können die im oben genannten Link unter "Mitigation" genannten Einstellungen vorgenommen werden.
Unter diesem Link finden sich weitere bisher veröffentlichte Schwachstellen des Herstellers: IGEL Product Security Information
Seit einiger Zeit halten täglich neue Nachrichten über die Schwachstelle, die unter anderem als Log4Shell bekannt ist, die IT-Welt in Schach.
Gerne geben wir Ihnen ein kurzes Update zu einigen Systemen, die für Sie interessant sein dürften.
Die meisten Hersteller haben inzwischen mehrfach aktualisierte Meldungen und Updates herausgebracht.
In den meisten Fällen wird die unmittelbare Installation der entsprechenden Updates empfohlen, oder eben eine passende Mitigation.
Auszug aus der Liste betroffener Produkte des Log4J CVE - mit Aktualisierungen
IGEL hat kritische "Common Vulnerabilities and Exposures" (CVE) bekanntgegeben.
Der Hersteller kategorisiert die Sicherheitslücke mit der Priorität "hoch" - CVSS 3.1 Base Score:
10.0 von 10.0 (critical).
IGEL empfiehlt, umgehend auf ICG 2.04.100 zu aktualisieren.
ISN 2021-08
All ICG versions before 2.04.100
ISN 2021-08: ICG Authentication Vulnerability (igel.com)
A penetration test has found an authentication vulnerability in ICG.
It could enable an unauthenticated remote attacker to send commands and settings to connected IGEL OS endpoints.“
Unter diesem Link finden sich weitere bisher veröffentlichte Schwachstellen des Herstellers:
IGEL Product Security Information
Microsoft hat kritische "Common Vulnerabilities and Exposures" (CVE) bekanntgegeben. Es geht um kritische Schwachstellen am Exchange Server. Entsprechend des Scoring Standards für Schwachstellen CVSS 3.1 bewertet Microsoft diese mit dem Wert 8.8 von 10.
Schwachstelle beim Hersteller
CVE-2021-42321
Betroffene Produkte
Microsoft Exchange Server 2016
Microsoft Exchange Server 2019
Details zur Schwachstelle
CVE-2021-42321 – Leitfaden für Sicherheitsupdates – Microsoft - Sicherheitsanfälligkeit in Microsoft Exchange Server bezüglich Remotecodeausführung
Released: November 2021 Exchange Server Security Updates - Microsoft Tech Community
Kurzinfo CB-K21/1178 (cert-bund.de)
Der Hersteller empfiehlt, die entsprechenden Hotfixes umgehend zu installieren.