+49 541 9493 0
Kontaktformular
Newsletter

Blog

Business Central Sicherheitslücke – BC 22 (Version 23 Wave 1) OnPrem

Autor:in Hendrik Ohlms
Hendrik Ohlms

Achtung! Sicherheitslücke in Microsoft Dynamics BC: Sicherheitsanfälligkeit bezüglich Rechteerweiterungen

Von Microsoft wurde eine Sicherheitslücke in Dynamics Business Central – Version 22 (Business Central 2023 Release Wave 1) bekannt gegeben. Diese Sicherheitslücke könnte es Angreifern erlauben, bösartigen Code auf Ihren IT-Systemen zu installieren und auszuführen. Die Folge: Die Angreifer wären in der Lage, ihre Rechte auf Ihren IT-Systemen zu erweitern, um dann auf sensible Daten zuzugreifen und Systeme vollständig zu kontrollieren. Im Folgenden ein kurzer Überblick über die zu dieser Sicherheitslücke von Microsoft veröffentlichten Base-Score-Metriken.

Base-Score-Metriken (Microsoft)

Angriffsvektor: Netzwerk

Ein Angriff über das Netzwerk oder sogar remote könnte stattfinden. Sind Ihre Systeme aus dem Internet verfügbar? Wenn ja, steigert dies etwas die Dringlichkeit der anzuwendenden Maßnahmen (siehe unten).
 

Angriffskomplexität: Niedrig

Das heißt, es wird vermutlich nicht sehr lange dauern, bis geeigneter Exploit Code verfügbar ist oder sogar automatisiert wird. Die Schwierigkeit, diese Lücke auszunutzen, ist niedrig und somit werden in der Regel auch schnell erste Script-Kiddies damit „Schabernack“ treiben!
 

Berechtigungen erforderlich: Hoch

Das bedeutet, um diese Lücke auszunutzen, benötigt man hohe Privilegien auf dem System. Das heißt wiederum, ein Hacker müsste sich vorher über andere Angriffsvektoren Zugriff auf das System verschaffen, um diese Lücke auszunutzen (Angriffsvektor: Es reicht, wenn der Admin auf die falsche E-Mail klickt!).
 

Benutzerinteraktion: Keine

Das bedeutet, der Angriff funktioniert, ohne dass ein Benutzer mit der Schadsoftware interagieren muss.
 

Vertraulichkeit: Hoch  /  Verfügbarkeit: Hoch  /  Integrität: Hoch

Das bedeutet: Der aus dem Angriff resultierende Schaden kann verheerende Auswirkungen auf die Systeme und die verarbeiteten Informationen haben.

Was uns beruhigt

Es gibt einen offiziellen Fix und wir konnten noch keinen Exploit Code auf den üblichen Plattformen finden, so dass auch die Anzahl der Attacken auf diese Lücke noch überschaubar sein sollte.

Maßnahmen erforderlich: Definitiv ja!!!

Um die Sicherheitslücke umgehend zu schließen, empfehlen wir das folgende Update allen Kunden, die BC 22 (Version 23 Wave 1) einsetzen!
Anmerkung: Bei SaaS-Kunden werden Updates automatisch durchgeführt. OnPrem-Kunden müssen dieses Update deshalb eigenständig oder mit Ihrem IT-Partner installieren.

Hier gibt es weitere Infos zu diesem Thema:

Für Fragen stehen wir jederzeit zur Verfügung!

NIS-2-Richtlinie: Betrifft es auch Ihr Unternehmen?

Die NIS-2-Directive soll die Cybersicherheit in der EU erhöhen. Ist Ihr Unternehmen von den NIS-2-Anforderungen betroffen?

Diese Artikel könnten Sie ebenfalls interessieren:

AllgemeinUnternehmen

Kann von IT nicht genug bekommen – Dieter Blom

Kann von IT nicht genug bekommen – Dieter Blom

Ich bin wahrscheinlich der älteste aktive Mitarbeiter der SIEVERS-GROUP. Genaueres könnten unsere netten Damen von der Buchhaltung sagen. Seit ca. 10 Jahren bin ich nun im ICS-Lösungsumfeld tätig und blicke auf eine fast 50- jährige Berufstätigkeit zurück.
KarriereUnternehmen

Flexibel Arbeiten im Büro oder Homeoffice

Flexibel Arbeiten im Büro oder Homeoffice

Letztes Geschäftsjahr, gerade der Beginn, wurde stark von der Corona-Pandemie geprägt. Das hat sich auf viele Bereiche im Unternehmen ausgewirkt, u.a. auch auf den aktuellen Arbeitsort: Viele Mitarbeiter:innen haben über die Herbst- und Wintermonate vorzugsweise aus dem Flexi-Office gearbeitet.
Kontakt

Vereinbaren Sie ein
unverbindliches Erstgespräch

*“ zeigt erforderliche Felder an

Hidden
Newsletter
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Webcastaufzeichnung

*“ zeigt erforderliche Felder an

Newsletteranmeldung
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Whitepaper herunterladen

*“ zeigt erforderliche Felder an

Newsletteranmeldung
Dieses Feld dient zur Validierung und sollte nicht verändert werden.