Web Club

WithSecure hat die Web-Seite mit den End-of-Life Daten der Business Suite bisher noch nicht überarbeitet und gibt daher teilweise zu frühe Termine an. Betroffen sind Policy Manager, Client Security, Server Security und E-Mail und Server Security.

Generell sagt WithSecure zu:

1. Jede Hauptversion wird mindestens 3 Jahre ab Erscheinen unterstützt.
2. Jede Hauptversion wird mindestens 1 Jahr nach Erscheinen der nachfolgenden Hauptversion unterstützt.

Mit "Hauptversion" ist z.B. die Client Security 15 gemeint, mit "Nebenversion" z.B. die Client Security 15.30.

Beispielsweise ist die Hauptversion 15 der Client Security mit der Nebenversion 15.00 am 10. August 2020 erschienen. Somit kann nach der 1. Regel die Unterstützung nicht vor dem 10. August 2023 auslaufen.
Da aber die nächste Hauptversion 16 noch nicht veröffentlicht ist, muss nach der 2. Regel die Hauptversion 15 mindestens bis Ende März 2024 unterstützt werden.

Das gleiche gilt für Policy Manager 15, Client Security 15, Server Security 15 und E-Mail und Server Security 15: Unterstützung mindestens bis Ende März 2024

Für Hofixes gilt:

• Sicherheits-Hotfixes werden für jede Nebenversion einer unterstützten Hauptversion zur Verfügung gestellt.
• Weitere Hotfixes, die nicht sicherheitsrelevant sind, werden für die aktuellste Nebenversion einer unterstützten Hauptversion zur Verfügung gestellt.
• Ausnahme Policy Manager: Für den Policy Manager werden auch Sicherheits-Hotfixes nur für die aktuellste Nebenversion einer unterstützten Hauptversion zur Verfügung gestellt.

Beispielsweise für die Client Security: Für alle 15er-Versionen werden Sicherheits-Hotfixes zur Verfügung gestellt, aber nur für die 15.30 weitere Hotfixes.

Ausnahme Policy Manager: Hier werden zur Zeit nur für den Policy Manager 15.30 Hotfixes bereitgestellt.

perComp empfiehlt:

• Aktualisieren Sie ihre Installationen auf die neueste Version (z.B. 15.30).
• Installieren Sie auf dem Policy Manager Server den PM Hotfix 5.

Das Computer Emergency Response Team Rheinland-Pfalz warnt am 10.03.2023: "Emotet ist zurück mit neuen TTPs"

Über E-Mail werden ZIP-Anhänge oder Links auf ZIP-Downloads verbreitet, die sehr große Office-Dokument enthalten und dadurch Anti-Virus-Programme überlisten sollen.

WithSecure erkennt solche ZIP-Archive seit Langem als Mail Bomb.

Word sollte so konfiguriert sein, dass es keine Makros aus unbekannten Quellen ausführt.

Falls doch Makros ausgeführt werden, sollten neben dem Echtzeit-Scan auch AMSI-Scanner und DeepGuard unabhängig von der Dateigröße die Installation von Emotet verhindern.

Weitere Informationen: Bleeping Computer Emotet malware attacks return after three-month break

Ab dem 9. März werden im Elements Vulnerability Management Schwachstellen nicht mehr nach CVSSv2 (Common Vulnerability Scoring System) bewertet, sondern nach dem aktuellen CVSSv3.1.

Dadurch ergeben sich auch bei unveränderter Lage sowohl im Dashboard als auch in Datail-Ansichten leicht veränderte Einschätzungen von Sicherheitslücken.

Weitere Informationen:

• WithSecure Community: Elements Vulnerability Management introduces new scoring system – CVSSv3

Für einen höheren Schutz gegen Manipulation (Tamper Protection) und  durch den Ablauf eines älteren F-Secure-Zertifikates können ab heute nur noch Programm-Updates und Neuinstallationen durchgeführt werden, wenn die Windows-Installation "Azure Code Signing" (ACS) unterstützt. Auch automatische Updates können betroffen sein.

Betroffene Produkte:

• Endpoint Protection
• Endpoint Detection & Response
• Countercept
• Client Security
• Server Security
• E-Mail und Server Security

Neuere Windows-Workstation-Versionen erfüllen die Voraussetzungen für Azure Code Signing:

• Windows 11
• Windows 10 22H2
• Windows 10 21H2

Ältere Windows-Versionen und alle Windows Server einschließlich 2022 benötigen für Azure Code Signing ein Windows-Update aus dem Jahr 2021. Eine Beschreibung liefert Microsoft KB5022661.

Das Root-Zertifikat Microsoft Identity Verification Root Certificate Authority 2020 wird zusätzlich benötigt. Normalerweise lädt Windows es automatisch herunter. Bei Offline-Systemen muss es eventuell manuell installiert werden.

Weitere Informationen:

• WithSecure Community: Changes in support on Microsoft Windows – Minimum patch level.
• Microsoft PKI Repository
• Microsoft KB5022661—Windows support for the Azure Code Signing program

Der Microsoft-Support für Windows 7 und Windows Server 2008 R2 ist am 14.01.2020 ausgelaufen. Seitdem gibt es z.B. keine Betriebssystem-Updates mehr.

WithSecure unterstützt Windows 7 und Server 2008 R2 bis zum 30.06.2023.

perComp empfiehlt: Legen Sie Ihre betroffenen Windows-Installationen so bald wie möglich still. Wenn dies nicht möglich ist, setzen Sie sich mit Ihrem Support in Verbindung.

Weitere Informationen: WithSecure Community.

WithSecure hat das Security Advisory CVE-2023-XXX (wird nachgetragen) und den "F-Secure Policy Manager 15.30 Hotfix 5" für Windows und Linux veröffentlicht betreffend CVE-2022-42889 und CVE-2023-XXX (wird nachgetragen).

Alle Versionen des Policy Manager Servers ohne Hotfix enthalten XSS-Schwachstellen (Reflected Cross-Site Scripting). Der Policy Manager Proxy ist nicht betroffen.

Exploits oder Angriffe wurden nicht beobachtet.

Mit dem Hotfix 5 werden diese Schwachstellen behoben. Er steht ausschließlich für den Policy Manager 15.30 zur Verfügung und enthält auch die früher veröffentlichten Hotfixes 3 und 4.

perComp empfiehlt:

• Installieren Sie diesen Hotfix zuerst auf den Policy Manager Servern, die direkt aus dem Internet erreichbar sind.
• Aktualisieren Sie vor der Installation des Hotfixes Ihre Policy Manager auf die Version 15.30.

WithSecure hat die Elements Endpoint Protection 22.9 ausgerollt. Neue Features:

• Serverfreigabe-Schutz verhindert bösartige Veränderungen auf freigegebenen Verzeichnissen
• Systemereignis-Erkennung alarmiert bei sicherheitsrelevanten Einträgen in der Ereignisanzeige (Premium-Feature)

WithSecure hat das Security Advisory CVE-2022-45871 veröffentlicht.

Betroffen von der DoS-Schwachstelle (Denial-of-Service) ist die ICAP-Schnittstelle des Atlant, aber nicht die Funktionalität als Scanning and Reputation Server.

Das Risiko eines Angriffs wird von WithSecure als mittel (niedrig/mittel/hoch/kritisch) eingestuft.

Die Schwachstelle wurde am 28.11.2022 über das automatische Update "BaseGuard 1.0.723" geschlossen, solange nicht explizit die automatische Aktualisierung der Programmversion unterbunden wird (Version Pinning).

Konkrete Angriffe sind nicht bekannt.

Die Sicherheitslücke CVE-2022-38166 Multiple Denial-of-Service (DoS) Vulnerability wurde am 22.11.2022 in diversen Anti-Malware-Produkten über das automatische Update "F-Secure Capricorn Engine (64-bit) 2022-11-22_07" geschlossen. Konkrete Angriffe sind nicht bekannt.

WithSecure hat das Security Advisory CVE-2022-38165 und den "F-Secure Policy Manager 15.30 Hotfix 4" für Windows und Linux veröffentlicht.

Mit dem Hotfix wird eine Schwachstelle behoben, mit der Dateien in beliebige Verzeichnisse geschrieben werden können.

Das Risiko des Angriffs wird von F-Secure als mittel (niedrig/mittel/hoch/kritisch) eingestuft.

Betroffen von den Schwachstellen sind alle Versionen des Policy Manager Servers, aber nicht der Policy Manager Proxy.

Der Hotfix steht ausschließlich für den Policy Manager 15.30 zur Verfügung.

Exploits oder Angriffe wurden nicht beobachtet.

perComp empfiehlt:

• Installieren Sie diesen Hotfix zuerst auf den Policy Manager Servern, die direkt aus dem Internet erreichbar sind.
• Aktualisieren Sie vor der Installation des Hotfixes Ihre Policy Manager auf die Version 15.30.

WithSecure hat das Security Advisory CVE-2022-38162 und den "F-Secure Policy Manager 15.30 Hotfix 3" für Windows und Linux veröffentlicht.

Mit dem Hotfix werden mehrere Reflected Cross-Site Scripting (XSS) Schwachstellen behoben.

Betroffen von den Schwachstellen sind alle Versionen des Policy Manager Servers.

Der Hotfix steht ausschließlich für den Policy Manager 15.30 zur Verfügung.

Exploits oder Angriffe wurden nicht beobachtet.

perComp empfiehlt:

• Installieren Sie diesen Hotfix zuerst auf den Policy Manager Servern, die direkt aus dem Internet erreichbar sind.
• Aktualisieren Sie vor der Installation des Hotfixes Ihre Policy Manager auf die Version 15.30.

Am 28.09.2022 wurde die Sicherheitslücke "ProxyNotShell" mit CVE-2022-41040 und CVE-2022-41082 auf Microsoft Exchange Servern bekannt.

Das BSI schätzt die Bedrohungslage als 3 / Orange ein: "Die IT-Bedrohungslage ist geschäftskritisch. Massive Beeinträchtigung des Regelbetriebs" (1 / Grau, 2 / Gelb, 3 / Orange, 4 / Rot).

WithSecure EDR erkennt Aktivitäten, die üblicherweise nach dem Ausnutzen von solchen Exploits auftreten. Außerdem kann in den eine Woche lang vorgehaltenen EDR-Events nach verdächtigen Prozessen gesucht werden. Details hierzu finden sich in der WithSecure Community.

In der WithSecure E-Mail und Server-Security können folgende Erkennungen auf ProxyNotShell hindeuten:

Exploit.EXP/Trojan.WebShell.Gen
Malware.HTML/ExpKit.Gen2
Backdoor:ASPX/Genshell.A
Trojan.TR/Webshell.*
TR/Webshell.*
Exploit:W32/W3WPLaunch.A!Deepguard

10.10.2022 Ergänzung Vulnerability Management
Auch das WithSecure Elements Vulnerability Management erkennt die Verwundbarkeit im Netzwerkscan (Systemscan).

Weitere Informationen:
WithSecure Comunity MS Exchange vulnerabilities - September 2022
Microsoft Customer Guidance for Reported Zero-day Vulnerabilities in Microsoft Exchange Server
Microsoft Analyzing attacks using the Exchange vulnerabilities CVE-2022-41040 and CVE-2022-41082
GTSC: Exchange Zero-Day Exploit in-the-Wild (Web-Archive 30.10.2022)

F-Secure hat Atlant als Version 1.0.187 und Linux Security 64 als Version 12.0.338 herausgebracht.

Diese Versionen unterstützen zusätzlich Ubuntu 22.04., Red Hat Enterprise Linux 9 und Alma Linux 9. Sie enthalten verschiedene Fixes und kleinere Neuerungen.

Die Produkte aktualisieren sich normalerweise automatisch.

Der Software-Updater findet zz. fehlende kumulative Windows-Updates nicht korrekt. Betroffene Windows-Installationen werden als aktuell angezeigt.

Betroffen sind die Premium-Versionen der Business Suite sowie die Elements Endpoint Protection.

Das Windows Update von Microsoft ist nicht betroffen und zeigt fehlende kumulative Updates normal an.

WithSecure arbeitet an einer Lösung.

Am  am 22.08.2022 ab ca. 13:00 Uhr nach dem automatischen Update "Ulcore-WinXX 2022-08-22_021" blockierte auf virtualisierten Servern die Geräte-Steuerung das Ausführen von Programmen von falsch klassifizierten Datenträgern.

Dieser Umstand wurde am selben Tag gegen 20:00 Uhr mit dem automatischen Update "Ulcore-WinXX 2022-08-22_02" behoben.

Falls in Einzelfällen ein Gerät das spätere automatische Update nicht ordentlich übernommen hat, hilft das Deaktivieren der Geräte-Steuerung oder ein Neustart.

Elements Collaboration Protection, ehemals Elements für Microsoft 365, schützt zusätzlich zu Exchange Online und SharePoint Online auch neu:

• OneDrive
• Dateiaustausch über Teams-Chat

Dieser Schutz muss über das Elements-Portal aktiviert werden:

Elements-Portal > Collaboration Protection > Clouddienste > OneDrive > Autorisieren

Die Sicherheitslücken, die in verschiedenen Medien zz. erwähnt werden (CVE-2022-28876 vom 13.07.2022, medium, gefixt mit Capricorn Update 2022-07-04_09, CVE-2022-28878 vom 22.07.2022, medium, gefixt mit Capricorn Update 2022-07-11_07, CVE-2022-28879 vom 22.07.2022, medium, gefixt mit Capricorn Update 2022-07-11_07) sind bereits automatisch mit den genannten Updates geschlossen worden.

Das BSI warnt vor Follina (CVE-2022-30190) in der Stufe "3 / Orange".

F-Secure erkennt Follina seit dem frühen Nachmittag des 30.05. direkt als "Exploit:W32/Follina.A1!DeepGuard".

WithSecure hat Policy Manager 15.30.96312 und Policy Manager Proxy 15.30.96312 für Windows und für Linux freigegeben.

Diese Version enthält die folgenden Hotfixes:

• Log4j (2.17.1)
• Spring4Shell (5.2.20)

Am 31.03.2022 wurde die Sicherheitslücke CVE-2022-22965 aka Spring4Shell im Spring-Framework bekannt. Dieses Framework ist auch im Policy Manager enthalten.

Es ist kein Weg bekannt, die Spring-Schwachstellen im Policy Manager auszunutzen. Trotzdem hat WithSecure einen Hotfix herausgebracht, mit dem die Dateien im Policy Manager gegen die gefixte Spring-Version 5.5.20 ausgetauscht werden können.

Folgende Versionen sind betroffen:

• F-Secure Policy Manager 15.00 - 15.30
• F-Secure Policy Manager Linux 15.00 - 15.30
• F-Secure Policy Manager Proxy 15.00 - 15.30
• F-Secure Policy Manager Proxy Linux 15.00 - 15.30
• F-Secure Elements Connector (alle Versionen)

Hotfix für Policy Manager: pms-pmp-hotfix-spring4shell-5.2.20
Hotfix für Elements Connector: ec-hotfix-spring4shell-5.2.20

Verschiedene Vulnerability-Scanner erkennen ungepatchte Installationen fälschlicherweise als verwundbar. Auch in solchen Situationen schafft der Hotfix Abhilfe.

Weitere Informationen:
WithSecure Security Advisory
VMware Vulnerability Report

Nachtrag 26.04.2022:
Der Policy Manager 15.30.96312 vom 26.04.2022 enthält den Hotfix pms-pmp-hotfix-spring4shell-5.2.20.

Mozilla Firefox deaktiviert zz. das Browsing Protection Addon von Client Security, Server Security sowie E-Mail und Server Security.

Bewertungen in Such-Ergebnissen von Google & Co. sind ohne Plugin nicht möglich.
Die Banking Protection aktiviert sich nicht.
Das Aufrufen von bösartigen Web-Seiten wird weiterhin blockiert, auch ohne das Plugin.

Technischer Hintergrund: URLs werden auch auf tieferer Ebene durch den F-Secure Network Interception Framework Treiber, der Teil von Client Security und (E-Mail und) Server Security ist, überprüft.

Chrome und Edge sind nicht betroffen. F-Secure arbeitet zusammen mit Mozilla an einer Lösung des Problems.

Nachtrag 24.03.2022

Mit dem Addon 4.1.11 ist Plugin wieder funktionsfähig. Im Firefox kann das Plugin lokal aktualisiert und installiert werden. Dazu muss lokal ein Datenschutz-Hinweis zur Kenntnis genommen werden.

F-Secure hat heute einen Hotfix für die Schwachstelle CVE-2021-44750 im F-Secure Support Tool (fsdiag) herausgebracht.

Das Support-Tool kann genutzt werden, um auf den betroffenen Systemen als Administrator oder als System Code auszuführen.

F-Secure schätzt den Schweregrad als "mittel" ein.

Betroffen sind alle Versionen von:

• Client Security (außer 15.30.3961 vom 24.02.2022)
• Server Security (außer 15.30.3894 vom 24.02.2022)
• E-Mail und Server Security
• Elements EPP E-Mail und Server Security

Diese Versionen müssen über den "F-Secure Support Tool vulnerability Hotfix (FSCS1530-HF02)" (ein Hotfix für alle Versionen!) aktualisiert werden.

Elements EPP Computer Protection, Server Protection, Elements Agent, MDR und PCP wurden automatisch aktualisiert.

Client Security 15.30.3961 und Server Security 15.30.3894 vom 24.02.2022 enthalten eine gefixte Version von fsdiag und sind nicht verwundbar.

perComp empfiehlt:

• Patchen Sie Ihre Hosts.
• Aktualisieren Sie alte Versionen der Client Security auf 15.30.3961.

Weitere Infos: F-Secure Security Advisory

Nachtrag 10.03.2022: Client Security 15.30.3961 und Server Security 15.30.3894 ergänzt.

F-Secure hat die Client Security 15.30.3961 und die Server Security 15.30.3894 jeweils als Premium und Standard freigegeben.

Diese Versionen enthalten Fixes für die Installation, besonders das Upgrade von Version 14. Es sind keine anderen Änderungen in der Funktionalität enthalten.

Seit 20.01.2022 nachmittags treten gehäuft Fehlalarme mit dem Alarm-Typ "process modification" auf:

• Sicherheitsalarm: DeepGuard hat eine nicht vertrauenswürdige Anwendung daran gehindert, einen anderen Prozess zu ändern.
• Infection: DeepGuard blocked an application from modifying another process.

Alarme und betroffene Dateien sollten per E-Mail an samples@percomp.de geschickt werden oder per Web-Formular hochgeladen.

Wer sich sicher ist, dass die betroffene Datei harmlos ist, kann diese zusätzlich über die Policy Manager Console vom Scannen ausschließen.

Einstellungen > Echtzeitscan > Vom Scan ausgeschlossene Dateien und Anwendungen
Typ: "SHA-1-Hash der Anwendung" wird empfohlen. Der Hash kann dem Alarm entnommen werden.
Bereich: "Alle Scans" muss gewählt werden.

21.01.2022  Nachtrag  

Die Fehlalarme wurden umgehend behoben und ab ca. 17:00 Uhr auch die Ursache mithilfe des automatischen Updates 'F-Secure Ultralight Core (64-bit) 2022-01-21_01'.
Damit können die ggf. erstellten Scan-Ausnahmen wieder entfernt oder deaktiviert werden.

F-Secure hat einen neuen Patch zu den Log4j-Sicherheitslücken mit der Log4j-Version 17.1 herausgebracht.

Normalerweise ist der Patch vom 10.12.2021 oder eine aktualisierte Version wie der Policy Manager 15.30 ausreichend.

Nur in speziell angepassten Installationen oder für manche Vulnerability-Scanner wird der neue Patch benötigt.

F-Secure hat diese Versionen freigegeben:

• Policy Manager 15.30 für Windows und Linux
• Policy Manager Proxy 15.30 für Windows und Linux
• Client Security 15.30 Premium und Standard
• Client Security Mac 15.03 Premium und Standard
• Server Security 15.30 Premium und Standard

Im Policy Manager ist die Log4j-Sicherheitslücke CVE-2021-44228 behoben. Enthalten ist die gefixte Log4j-Version 2.17.0.

Client Security Mac unterstützt auch macOS 12 Monterey.

Neue Features und Änderungen finden Sie bei den Versionshinweisen.

F-Secure hat heute ein kritisches Update zur Sicherheitslücke CVE-2021-44228 "log4shell" in der Java-Bibliothek Log4j herausgebracht. Auf den betroffenen Geräten können entfernte Angreifer eventuell Code ausführen.

Nachtrag 12.12.2021  Angriffe finden seit spätestens 11.12.2021 massiv statt.

Betroffen sind:

• Policy Manager Windows
• Policy Manager Linux
• Policy Manager Proxy Windows
• Policy Manager Proxy Linux

Bei Einsatz der betroffenen Produkte ist ein manuelles Eingreifen notwendig. Ein Patch steht zur Verfügung und sollte sofort installiert werden.

Weitere Informationen finden Sie hier.

perComp empfiehlt: 

• Installieren Sie umgehend den Patch.
• Setzen Sie Ihre Installationen neu auf, wenn Sie erfolgreiche Angriffe nicht ausschließen können.

Wenn die geschützten Rechner die Server bei F-Secure, Security Cloud genannt, nicht erreichen können, verringert sich die Schutzwirkung und teilweise auch die Geschwindigkeit.

Foraussetzung für die Erreichbarkeit sind:

1. Aktuelle SSL-Zertifikate
2. Verbindung über das Internet

Aktuelle SSL-Zertifikate

Jede Installation verlässt sich auf die aktuellen SSL-Zertifikate, die durch Windows zur Verfügung gestellt werden.

Einige Cloud-Server sichern ihre Verbindungen über Zertifikate von Let's Encrypt. Am 30.09.2021 ist ein älteres Root-Zertifikat abgelaufen. U.A. Heise berichtete. Als Ersatz dient ein neues Root-Zertifikat "ISRG Root X1", das aber nicht in allen Windows-Installationen hinterlegt ist. Als Download-Adressen benutzt Windows hierfür folgende Server von Let's Encrypt:

http://x1.i.lencr.org/
http://r3.i.lencr.org/

Besonders Systeme, die einen stark eingeschränkten Internet-Zugang haben, können die Zertifikate nicht aktualisieren.

Als Abhilfe muss das ISRG Root X1 auf den betroffenen Rechnern installiert werden. Das ist auch auch über GPO möglich.

Manuell können die Zertifikate von einem vollständigen Rechner auf einen mit fehlenden Zertifikaten kopiert werden.

1. Auf einem vollständigen Windows-Rechner folgenden Befehl ausführen:
   certutil.exe -generateSSTFromWU roots.sst
2. Die erzeugte Datei roots.sst über die PowerShell als Administrator auf den den betroffen Rechnern einspielen:
   $sstStore = ( Get-ChildItem -Path roots.sst )
   $sstStore | Import-Certificate -CertStoreLocation Cert:\LocalMachine\Root

Bei Einsatz von Sophos-UTM oder -Firewalls, kann zusätzlich der Fix Sophos Network Security Let’s Encrypt Root Certificate expiry notwendig sein.

Verbindung über das Internet

Jede Installation braucht Verbindungen zu den F-Secure-Servern:

*.f-secure.com
*.fsapi.com

Als Protokolle werden HTTP (TCP Port 80) und HTTPS (TCP Port 443) eingesetzt. Die Verbindungen zu diesen Servern dürfen nicht z.B. durch SSL-Inspection manipuliert werden und sollten deshalb beispielsweise auf Firewalls als Ausnahmen eingetragen werden.

perComp empfiehlt: Stellen Sie sicher, dass jedes Gerät optimal mit der Sicherheits-Cloud verbunden ist.

F-Secure hat den Policy Manager 15.21 freigegeben.

Neu in dieser Version:

• vollständige Unterstützung E-Mail und Server Security 15.10
• detailliertere Alarme
• vordefinierte dynamische Firewall-Dienste
• Unterstützung für neuere MariaDB-Versionen

Bitte beachten Sie unsere Hinweise.

F-Secure hat die Client Security 15.21.6, die Server Security 15.11.5 und die E-Mail und Server Security 15.10.2999 jeweils als Premium und Standard freigegeben.

Diese Versionen enthalten verschiedene kleinere Fixes.