Sigred ist eine Sicherheitslücke, die vor kurzen von Sicherheitsfoschern von Check-Point entdeckt wurde und besteht schon seit 17 Jahren. Seit 2003 soll diese Lücke Angriffe auf das sogenannte Domain Name System (DNS) zulassen, welches für die Namensauflösung im Internet zuständig ist. Sigred ermöglicht es den Angreifern das Ausführen von Code aus der Ferne (Remote Code Execution) mit erhöhten Rechten, was bei einen gut gezielten Angriff die Ganze Domäne betreffen kann.

Dadurch ist es möglich infizierte Malware in das Netzwerk einzuschleusen, welche dann E-Mails abfängt, private Informationen stiehlt, Webseiten infiziert oder ganz offline nimmt.

Aussage von CISA

Die Cybersecurity and Infrastructure Security Agency (CISA) hat sich zu diesem Thema öffentlich geäußert :“Although this Directive only applies to federal agencies, we strongly recommend that all our partners in private industry and government take the same actions….“ In diesem Beitrag sagen sie ganz klar, wie gefährlich diese Lücke sein kann und beten darum, auch wenn wahrscheinlich nur Regierungsunternehmen davon betroffen sind, auch in privaten Unternehmen Sicherheitsvorkehrungen zu treffen.

Der CISA Blogbeitrag noch einmal wörtlich auf Deutsch übersetzt: „Obwohl diese Richtlinie nur für Bundesbehörden gilt, empfehlen wir dringend, dass alle unsere Partner in der Privatwirtschaft und in der Regierung die gleichen Maßnahmen ergreifen.“

Ebenfalls als kritisch gilt eine Schwachstelle (CVE-2020-1025) in SharePoint Server und Skype for Business Server. Hier könnte ein Angreifer über einen modifizierten Token die Authentifizierung umgehen und unrechtmäßig auf Systeme zugreifen. Microsoft Outlook kann sich an einer präparierten E-Mail verschlucken. Dabei soll es ausreichen, wenn Outlook die Mail im Vorschaufenster anzeigt. Kommt es so weit könnte ein Angreifer Schadcode ausführen.

Unter Windows kümmert sich Microsoft vor allem um Schwachstellen in der Virtualisierungstechnik Hyper-V. Hier könnten Angreifer an mehreren kritischen Lücken ansetzen, um aus einer VM auszubrechen und eigene Befehle im Host-System auszuführen. Dafür muss ein Angreifer aber die Möglichkeit haben im Guest-System eine spezielle Applikation laufen zu lassen. Auch das Windows-Adressbuch ist für Remote-Code-Execution-Attacken anfällig.

Fazit

Microsoft möchte Sigred und bis zu 120 weitere Sicherheitslücken am 24.07 patchen. Ich empfehle dieses Update, wenn es bereit steht, sofort zu installieren.

Falls Sie weitere Fragen zu diesem Thema haben, sprechen Sie uns gerne an.

Kommentarbereich geschlossen.