Jetzt updaten: Exploit-Code für Lücke in Microsoft SQL Server veröffentlicht

Updates für MS SQL Server 2012, 2014 und 2016 vom Patch Tuesday beheben eine Sicherheitslücke, für die nun Proof-of-Concept-Code vorliegt.

In Pocket speichern vorlesen Druckansicht 11 Kommentare lesen
Jetzt updaten: Exploit-Code für Lücke in Microsoft SQL Server veröffentlicht

(Bild: whiteMocca / Shutterstock)

Lesezeit: 2 Min.

Wer das relationale Datenbankmanagementsystem Microsoft SQL Server in einer der Versionen 2012, 2014 oder 2016 nutzt und die zum Patch Tuesday veröffentlichten Sicherheitsupdates noch nicht eingespielt hat, sollte dies zügig nachholen. Sicherheitsforscher haben Proof-of-Concept-Code für eine von Microsoft gefixte Lücke veröffentlicht, der nun auch für Angriffe in freier Wildbahn missbraucht werden könnte.

Wie aus einem Blogeintrag der Firma MDSec hervorgeht, deren Mitarbeiter Soroush Dalili die Lücke mit der Kennung CVE-2020-0618 entdeckt hat, ermöglicht sie unter bestimmten Voraussetzungen die Ausführung beliebigen Programmcodes auf verwundbaren Systemen aus der Ferne. Sie steckt in den sogenannten SQL Server Reporting Services (SSRS), die als Bestandteil von SQL Server über ein Webinterface bedient werden können, um (teils interaktive) Reports zu generieren. Der Angriff selbst besteht im Senden eines speziell präparierten HTTP-Requests an eine verwundbare Instanz der Reporting Services. Benötigt werden laut MDSec lediglich die niedrigsten Privilegien (Browser-Rolle).

Im Eintrag zu CVE-2020-0618 in der National Vulnerability Database (NVD) wird die von der Lücke ausgehende Gefahr mit einem CVSS-v3-Score von 8.8 ("High") beschrieben.

Sicherheitsforscher Kevin Beaumont wiederum hat via Twitter darauf hingewiesen, dass Tesla eine Bug Bounty in Höhe von 10.000 US-Dollar ausgezahlt hat, nachdem sich herausgestellt hatte, dass *.tesla.com-Subdomains mittels CVE-2020-0618 angreifbar waren. In einem entsprechenden Eintrag auf der Bug-Bounty-Plattform bugcrowd werden die potenziellen Auswirkungen der Lücke als kritisch eingestuft, da ein erfolgreicher Angriff zur vollständigen Kompromittierung des Systems führen könne.

Dalili zufolge sichern die von Microsoft im Zuge des Patch Tuesday bereitgestellten Updates die SQL Server Reporting Services – und dadurch auch die angreifbaren SQL-Server-Versionen – gegen Angriffe ab.

Download-Links für sämtliche verwundbare Versionen des Datenbankmanagementsystems sind Microsofts eigenem Sicherheitshinweis zu CVE-2020-0618 zu entnehmen. Die zugehörigen Supportartikel enthalten weiterführende Hinweise zur Update-Installation nebst -Voraussetzungen:

  • SQL Server 2012 SP 4 for 32-bit /x64-based Systems (QFE): KB4532098
  • SQL Server 2014 SP 3 for 32bit/x64-based Systems (CU): KB4535288
  • SQL Server 2014 SP 3 for 32bit/x64-based Systems (GDR): KB4532095
  • SQL Server 2016 SP 2 for x64-based Systems (CU): KB4535706
  • SQL Server 2016 SP 2 for x64-based Systems (GDR): KB4532097

(ovw)