Proaktive Information zu Dynamics NAV bzw. D365 Business Central

Sehr geehrte Kunden,

wir möchten Sie heute darüber informieren, dass Microsoft eine Mitteilung bezüglich Sicherheitslücken in Versionen der Software Dynamics NAV bzw. D365 Business Central veröffentlicht hat.

Davon betroffen sind alle Versionen von NAV2013 R2 bis zur aktuellen Version Business Central 15.

Auch wenn die Einstufung als kritisch vorgenommen wurde, ist die Wahrscheinlichkeit einer Ausnutzung dieser Sicherheitslücken als "weniger wahrscheinlich" zu betrachten.

Dennoch empfehlen wir, die Sicherheitslücken durch die Installation eines entsprechenden technischen Updates zu schließen.

Im Einzelnen sind die Lücken unter folgenden Veröffentlichungen der Microsoft Corp. beschrieben:

• CVE-2020-0905 | Dynamics Business Central Remote Code Execution Vulnerability (10.03.2020)
• CVE-2020-1018 | Microsoft Dynamics Business Central/NAV Information Disclosure (14.04.2020)
• CVE-2020-1022 | Dynamics Business Central Remote Code Execution Vulnerability (14.04.2020)

Im Wesentlichen ist in diesen Beiträgen beschrieben, dass es unter bestimmten Konstellationen möglich ist, sogenannte Shell-Befehle auf dem Server des Opfers auszuführen, um damit Systemveränderungen durchzuführen. Es ist insbesondere sicherheitskritisch, wenn es einem Angreifer gelungen ist, auf den Server zu gelangen, auf dem das NAV-System betrieben wird, um dort die Shell-Befehle abzusetzen.

Bitte setzen Sie sich mit uns in Verbindung, damit wir mit Ihnen gemeinsam die für Sie notwendigen Maßnahmen abstimmen können.

Flora-Maria R.V. Simões
E-Mail: flora.simoes@kisling-consulting.de