Updates für MS SQL Server 2012, 2014 und 2016 vom Patch Tuesday beheben eine Sicherheitslücke, für die nun Proof-of-Concept-Code vorliegt.
Wer Microsoft SQL Server in einer der Versionen 2012, 2014 oder 2016 nutzt und die zum Patch Tuesday veröffentlichten Sicherheitsupdates noch nicht eingespielt hat, sollte dies schnell nachholen. Sicherheitsforscher haben Proof-of-Concept-Code für eine von Microsoft gefixte Lücke veröffentlicht, der nun auch für Angriffe in freier Wildbahn missbraucht werden könnte.
Wie aus einem Blogeintrag der Firma MDSec hervorgeht, deren Mitarbeiter Soroush Dalili die Lücke mit der Kennung CVE-2020-0618 entdeckt hat, ermöglicht sie unter bestimmten Voraussetzungen die Ausführung beliebigen Programmcodes auf verwundbaren Systemen aus der Ferne. Sie steckt in den sogenannten SQL Server Reporting Services (SSRS), die als Bestandteil von SQL Server über ein Webinterface bedient werden können, um (teils interaktive) Reports zu generieren. Der Angriff selbst besteht im Senden eines speziell präparierten HTTP-Requests an eine verwundbare Instanz der Reporting Services. Benötigt werden laut MDSec lediglich die niedrigsten Privilegien (Browser-Rolle).
Quelle: Heise.de
Cyber Security - so wichtig wie nie!
Die Gefahren rund um die Cybersicherheit sind für jedes Unternehmen eine Herausforderung. Vor allem der Mensch ist eine oft schwer kontrollierbare „Sicherheitslücke“, wie zahlreiche Statistiken belegen. Neben mangelnder Ausbildung und Unachtsamkeit der Mitarbeitenden ist auch ihre Mobilität eine häufige IT-Schwachstelle. Die Verbindung mit dem Unternehmensnetzwerk via Fernzugriff und die Nutzung mobiler Endgeräte bergen zahlreiche Gefahren. Auch Angriffe auf DNS-Server und viele weitere potenzielle Attacken können die Cybersicherheit ernsthaft gefährden. All das birgt enorme Sicherheitslücken und Problembereiche, die vielen Unternehmen nicht oder nicht in ausreichendem Mass bewusst sind.
In der heutigen Zeit muss sich jedes Unternehmen mit dem Thema IT-Sicherheit befassen. Der Schutz der Informationstechnologie ist jedoch nicht nur eine rein technische Disziplin, sondern sollte vor allem als Prozess gedacht werden. BitHawk unterstützt Sie dabei gerne mit einer vielfältigen Palette an Services und Beratungen.
Dabei orientierten wir uns an etablierten Standards – etwa am IT-Grundschutz des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) und am Cyber Security Framework des National Institute of Standards and Technology (NIST).
Erfahren Sie mehr über unsere Cyber Security Services