Microsoft SQL-Server: RCE-Schwachstelle CVE-2020-0618 dringend patchen

[English]Noch eine dringende Aufforderung an Betreiber eines Microsoft SQL-Servers, die  Schwachstelle CVE-2020-0618 zu patchen. Es ist ein Exploit aufgetaucht, welches Remote Code Execution (RCE) ermöglicht.


Anzeige

Ich ziehe das Thema wegen seiner Wichtigkeit mal separat aus dem Artikel Sicherheitsinformationen 19. Februar 2020 hier heraus.

Updates Microsoft SQL-Server Februar 2020

Microsoft hat zum 11. Februar 2020 verschiedene Sicherheitsupdates für seinen SQL-Server freigegeben. Gemäß dieser Tabelle und diesem Tenable-Post sind folgende Patches verfügbar.

  • Update KB4532095, Microsoft SQL Server 2014 for Service Pack 3 (CU)
  • Update KB4532097, Microsoft SQL Server 2016 SP2 GDR
  • Update KB4532098, Microsoft SQL Server 2012 for Service Pack 4 (QFE)
  • Update KB4535288, Microsoft SQL Server 2014 for Service Pack 3 (CU)
  • Update KB4535706, Microsoft SQL Server 2016 SP2 CU11

Alle Updates adressieren die nachfolgend beschriebene Schwachstelle CVE-2020-0618. Eine Übersicht findet sich auch auf dieser Microsoft-Seite.

Die Schwachstelle CVE-2020-0618

Die Schwachstelle existiert in den Reporting Services der verschiedenen SQL-Server-Versionen und lässt sich nur ausnutzen, wenn diese Dienste installiert sind. Im Advisory CVE-2020-0618 schreibt Microsoft, dass eine Remote Code Execution-Schwachstelle vorhanden ist:

In Microsoft SQL Server Reporting Services besteht eine Sicherheitslücke bei der Remotecodeausführung, wenn Seitenanforderungen falsch behandelt werden. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte Code im Zusammenhang mit dem Report Server-Dienstkonto ausführen.

Um die Sicherheitsanfälligkeit auszunutzen, müsste ein authentifizierter Angreifer eine speziell gestaltete Seitenanforderung an eine betroffene Reporting Services-Instanz senden. Durch die Sicherheitsupdates wird diese Schwachstelle geschlossen.

Exploit für CVE-2020-0618 veröffentlicht, patchen!

Jetzt ist ein Proof of Concept aufgetaucht, um die Schwachstelle auszunutzen. Das dürfte in Unternehmen rappeln.

Die technische Analyse findet sich in diesem Blog-Beitrag. Woody Leonhard hat in diesem Artikel einige Hinweise zum Thema aufgegriffen. Microsoft schreibt in den KB-Artikeln, dass es nur Auswirkungen auf SQL Server 2012 und höher  habe. Aber es gibt Hinweise, dass es auch den SQL Server 2008 betrifft. Der ist wird aber seit dem 9. Juli 2019 nicht mehr unterstützt (da gab es das letzte Sicherheitsupdate, siehe).


Anzeige

Ergänzung: Beachtet, den obigen Tweet, der darauf hinweist, dass die Updates ein bereits gepatchtes Microsoft SQL-Server-System voraussetzen. Bei SQL Server (Express) sind diese Updates aber nicht immer vorhanden.

Ähnliche Artikel:
Adobe Flash Player 32.0.0.330
Microsoft Office Patchday (4. Februar 2020)
Microsoft Security Update Summary (14. Januar 2020)
Patchday Windows 10-Updates (11. Februar 2020)
Patchday: Updates für Windows 7/8.1/Server (11. Februar 2020)
Patchday Microsoft Office Updates (11. Februar 2020)
Internet Explorer Sicherheitsupdate KB4537767 (Feb. 2020)
Windows 10: Update KB4532693 killt Benutzerprofil


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Software, Update abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu Microsoft SQL-Server: RCE-Schwachstelle CVE-2020-0618 dringend patchen

  1. Peter sagt:

    Mal wieder ein gutes Argument dafür, nur die Komponenten zu installieren, die man auch benötigt.
    Dies trifft auf alle Softwareprodukte zu, wie z.B. auch Microsoft Office. Nur machen es einem da die C2R-Setups (Click to Run) deutlich schwieriger…

    • Dekre sagt:

      Das verstehe ich nicht. Ich habe Office 2013 Pro ("click-to-run" oder wie ich lieber sage "klick-und-los") und ich habe so noch nicht festgestellt, dass damit MS SQL-Server Komponenten heruntergeladen und installiert werden. Ich habe gerade jetzt noch einmal kontrolliert (Win7 und Win10-PCs).

      Auf Büro-PC mit Datev-Software, Datenhaltung über MS SQL-Server 2014 SP 3, kam zum Patchday Sicherheitspakete dafür angeflogen und das notwendige hat der auch problemlos installiert KB4532095. Das ist aber was anderes. Ich bastele da auch nicht rum, denn es sind wohl nur jene Komponenten installiert, die Datev braucht. Ansonsten habe ich ein Problem.

      • Peter sagt:

        Das war auch abstrakt vom SQL Server zu sehen.
        Viele Anwender benötigen beispielsweise nur Word und Excel, bekommen dann aber standardmäßig, je nach Office Version/Lizenz, noch Powerpoint, Groove, Access oder was auch immer installiert.

        Generell sollte man bei Setups immer schauen, was wirklich installiert wird. Office C2R machts einem dabei aber schwer, ohne Einsatz einer XML-Datei läuft da meiner Erinnerung nach nichts.

        Generell ist Weniger oft halt Mehr.

        • Dekre sagt:

          ja, verstehe ich. Ich nutze Onedrive und Skype nicht. Das habe ich dann "leicht" deaktiviert. Ansonsten geht das auf die Ketten. "… Sie sind nicht angemeldet".
          Das ist aber ein Problem mit der Office klick-und-los-Version. Da kann man auch nicht so einfach ein Update, was nicht funktioniert, deinstallieren.

  2. Horst sagt:

    Hallo zusammen.

    So habe gerade das Sicherheitsupdate für SQL Server 2012 Service Pack4 CU (KB4532098) installiert.

    Allgemeine Fehlerzusammenfassung:

    Produkt: SQL Server 2012 Database Engine Service – Update "{EBE22A14-E6F9-49B8-BF1E-4F5CFE0167B6}" konnte nicht installiert werden.
    Fehlercode 1642. Windows Installer kann Protokelle erstellen, um bei der Problembehandlung betreffend der Installation von Softwarepaketen behilflich zu sein. Verwenden sie folgenden Link usw. usw.

    Ich habe nun gelesen, das man den Fehler ignorieren kann, solange das Update als "Erfolgreich" bei "installierte Updates" angezeigt wird.

    Mich irritiert aber diese Fehlermeldung. Wenn auch Erfolgreich angezeigt wird, möchte ich mal wissen, wie es zu so einer Fehlermeldung kommt.
    Man könnte ja jetzt auch annehmen, dass es nicht installiert wurde.

    Was meint Ihr?

    Mfg Horst

    • Dekre sagt:

      Vielleicht hilft das:
      Er installiert das dann wohl noch mal. Das habe ich auch seit dem ich auf Win10 Ende Jan 2020 umgestellt habe. Im "Wartungsverlauf/ Zuverlässigkeitsüberwachung" kann man die Uhrzeit bis zur Minute sehen und da müsste unter Warnungen stehen "… nicht erfolgreich" und unter Informationsereignisse "… war erfolgreich". Ansonsten mal in der Ereignisanzeige nachschauen. Da stehen auch die Sekunden.

      • Horst sagt:

        Juup. Genauso ist es passiert. 12:04 Uhr Anwendungsinstallation und Anwendungsaktualisierung nicht erfolgreich.
        Und um 12:07 Uhr steht die Meldung Anwendungsaktualisierung und Neukonfiguration war erfolgreich. Und als letzter Eintrag Windows Update war erfolgreich.
        Damit dürfte alles gut sein.
        Handelte sich hier übrigens um eine Windows Server 2012 R2 Maschine!

        Thank you…

  3. Ingenieurs sagt:

    SQL Server 2017 und 2019 scheinen nicht betroffen?

    • Dekre sagt:

      Wenn es nichts gibt, gibt es nichts. Die sind "zu" aktuell, ist meinstens so.

      Aber was anders:
      Wenn ich auf den Link von @Ingenieurs klicke, meldet bei mir Malwarebytes nichts Gutes und blockiert das.
      Ansonsten hat es immer funktioniert. Protokoll kann ich reinstellen, wenn erwünscht.
      NB: Sender öR Hessen (HR2 bis HR4 etc) werden auch blockiert, habe das schon dort gemeldet, aber die sagen, dass dort nichts sei, witzig.

Schreibe einen Kommentar zu Horst Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.