Business Central Sicherheitslücke – BC 22 (Version 23 Wave 1) OnPrem

Achtung! Sicherheitslücke in Microsoft Dynamics BC: Sicherheitsanfälligkeit bezüglich Rechteerweiterungen

Von Microsoft wurde eine Sicherheitslücke in Dynamics Business Central – Version 22 (Business Central 2023 Release Wave 1) bekannt gegeben. Diese Sicherheitslücke könnte es Angreifern erlauben, bösartigen Code auf Ihren IT-Systemen zu installieren und auszuführen. Die Folge: Die Angreifer wären in der Lage, ihre Rechte auf Ihren IT-Systemen zu erweitern, um dann auf sensible Daten zuzugreifen und Systeme vollständig zu kontrollieren. Im Folgenden ein kurzer Überblick über die zu dieser Sicherheitslücke von Microsoft veröffentlichten Base-Score-Metriken.

Base-Score-Metriken (Microsoft)

Angriffsvektor: Netzwerk

Ein Angriff über das Netzwerk oder sogar remote könnte stattfinden. Sind Ihre Systeme aus dem Internet verfügbar? Wenn ja, steigert dies etwas die Dringlichkeit der anzuwendenden Maßnahmen (siehe unten).
 

Angriffskomplexität: Niedrig

Das heißt, es wird vermutlich nicht sehr lange dauern, bis geeigneter Exploit Code verfügbar ist oder sogar automatisiert wird. Die Schwierigkeit, diese Lücke auszunutzen, ist niedrig und somit werden in der Regel auch schnell erste Script-Kiddies damit „Schabernack“ treiben!
 

Berechtigungen erforderlich: Hoch

Das bedeutet, um diese Lücke auszunutzen, benötigt man hohe Privilegien auf dem System. Das heißt wiederum, ein Hacker müsste sich vorher über andere Angriffsvektoren Zugriff auf das System verschaffen, um diese Lücke auszunutzen (Angriffsvektor: Es reicht, wenn der Admin auf die falsche E-Mail klickt!).
 

Benutzerinteraktion: Keine

Das bedeutet, der Angriff funktioniert, ohne dass ein Benutzer mit der Schadsoftware interagieren muss.
 

Vertraulichkeit: Hoch  /  Verfügbarkeit: Hoch  /  Integrität: Hoch

Das bedeutet: Der aus dem Angriff resultierende Schaden kann verheerende Auswirkungen auf die Systeme und die verarbeiteten Informationen haben.

Was uns beruhigt

Es gibt einen offiziellen Fix und wir konnten noch keinen Exploit Code auf den üblichen Plattformen finden, so dass auch die Anzahl der Attacken auf diese Lücke noch überschaubar sein sollte.

Maßnahmen erforderlich: Definitiv ja!!!

Um die Sicherheitslücke umgehend zu schließen, empfehlen wir das folgende Update allen Kunden, die BC 22 (Version 23 Wave 1) einsetzen!
Anmerkung: Bei SaaS-Kunden werden Updates automatisch durchgeführt. OnPrem-Kunden müssen dieses Update deshalb eigenständig oder mit Ihrem IT-Partner installieren.
Hier geht’s zum Update

Hier gibt es weitere Infos zu diesem Thema:
CVE-2023-38167 - OpenCVE

Für Fragen stehen wir jederzeit zur Verfügung!