Zum Inhalt springen

Microsoft Dynamics NAV: Anonyme Angreifer können Code ausführen

15. Juli 2026 durch
Microsoft Dynamics NAV: Anonyme Angreifer können Code ausführen
Lisa

Microsoft Dynamics NAV ist von einer hoch eingestuften Schwachstelle betroffen, über die ein entfernter, anonymer Angreifer beliebigen Programmcode ausführen kann. Damit fällt die Lücke in die Kategorie Remote Code Execution: Ein erfolgreicher Angriff endet nicht bei Datenzugriff oder Denial of Service, sondern kann zur Ausführung fremder Befehle im Kontext des verwundbaren Systems führen. Besonders kritisch ist die Kombination aus Netzwerkangriff und fehlender Authentifizierung. Admins sollten deshalb alle erreichbaren Dynamics-NAV-Instanzen priorisiert prüfen, insbesondere Systeme, die aus weniger vertrauenswürdigen Netzen oder über veröffentlichte Dienste erreichbar sind.

Warum diese Lücke operativ gefährlich ist

Remote Code Execution in einer Unternehmensanwendung hat meist unmittelbare Auswirkungen auf den Betrieb. Microsoft Dynamics NAV wird typischerweise nicht als isoliertes Einzelsystem betrachtet, sondern ist Teil einer Umgebung, in der Geschäftsprozesse, Benutzerzugriffe und angebundene Systeme zusammenlaufen. Wird auf einem solchen System beliebiger Code ausgeführt, kann der Angreifer je nach Prozesskontext lokale Ressourcen missbrauchen, weitere Werkzeuge nachladen oder die kompromittierte Anwendung als Sprungbrett nutzen.

Die Einstufung als hoch ergibt sich vor allem aus dem Angriffsweg: Der Angriff kann aus der Ferne erfolgen und setzt keine vorherige Anmeldung voraus. Für Security-Teams ist das ein klares Signal, nicht nur auf klassische Endpoint-Indikatoren zu schauen. Entscheidend ist, welche Dynamics-NAV-Dienste im Netz erreichbar sind, welche Firewall-Regeln existieren und ob die Anwendung exponiert ist. Auch interne Erreichbarkeit bleibt relevant: Ein anonymer Angreifer muss nicht zwangsläufig aus dem Internet kommen. In flachen Netzen reicht oft ein kompromittierter Client oder ein Zugriff aus einem angebundenen Segment, um verwundbare Dienste anzugreifen.

Welche Systeme jetzt in den Fokus gehören

Prüfpflichtig sind alle Microsoft-Dynamics-NAV-Installationen, die noch betrieben werden und Netzwerkdienste bereitstellen. Da der Kern des Risikos in der Ausführung beliebigen Programmcodes liegt, sollten Administratoren nicht nur produktive Instanzen betrachten. Test-, Staging- und Altsysteme sind häufig schwächer überwacht, besitzen aber dennoch Verbindungen zu Datenbanken, Dateifreigaben oder administrativen Konten. Gerade solche Nebenumgebungen werden im Patch- und Monitoring-Alltag leicht übersehen.

Für die Bestandsaufnahme sollte das Asset Management mit realer Netzsicht abgeglichen werden. Entscheidend ist nicht allein, ob Dynamics NAV offiziell inventarisiert ist, sondern ob Dienste tatsächlich lauschen und von welchen Netzen aus sie erreichbar sind. Security-Verantwortliche sollten dabei auch NAT-Regeln, VPN-Zugriffe, Reverse-Proxies und interne Freigaben berücksichtigen. Eine vermeintlich interne Anwendung kann über Wartungszugänge, Dienstleisteranbindungen oder falsch gepflegte Firewall-Regeln weiter exponiert sein als vorgesehen.

Da ein erfolgreicher Angriff Codeausführung ermöglicht, sollten Teams außerdem die Berechtigungen der betroffenen Dienste prüfen. Läuft ein Dienst mit weitreichenden Rechten, steigt das Schadenspotenzial deutlich. Auch wenn eine kurzfristige Änderung von Dienstkonten im laufenden Betrieb sorgfältig getestet werden muss, gehört die Frage nach minimalen Rechten in die Sofortanalyse. Je weniger ein kompromittierter Prozess darf, desto kleiner ist der mögliche Folgeschaden.

Erkennung und Eindämmung im laufenden Betrieb

Bis die Umgebung vollständig bereinigt ist, sollten Betreiber die Angriffsfläche reduzieren. Das bedeutet vor allem: Erreichbarkeit einschränken, unnötige Zugänge schließen und Logs enger auswerten. Bei einer anonym ausnutzbaren RCE-Lücke sind fehlgeschlagene Logins kein verlässlicher Frühindikator, weil der Angriff gerade keine Authentifizierung benötigt. Aussagekräftiger sind ungewöhnliche Prozessstarts, Verbindungen zu nicht vorgesehenen Zielen, neue Dateien in Anwendungsverzeichnissen oder verdächtige Aktivitäten unter Dienstkonten.

Auch Netzwerkmonitoring verdient kurzfristig mehr Aufmerksamkeit. Wenn Dynamics-NAV-Systeme Verbindungen aufbauen, die nicht zum normalen Betriebsprofil passen, sollte das untersucht werden. Gleiches gilt für unerwartete eingehende Zugriffe aus Client-Netzen, VPN-Segmenten oder administrativen Zonen. Wer EDR oder zentrale Logauswertung nutzt, sollte die betroffenen Hosts in eine engere Überwachung nehmen und vorhandene Regeln für Prozessausführung, Script-Interpreter und ungewöhnliche Child-Prozesse aktiv prüfen.

Für die Umsetzung empfiehlt sich ein kontrolliertes Vorgehen: erst identifizieren, dann exponierte Systeme abschotten, anschließend Updates und Konfigurationsänderungen einspielen. Dabei sollte der Geschäftsbetrieb nicht gegen Sicherheit ausgespielt werden. Ein kurzes, sauber geplantes Wartungsfenster ist bei einer anonym ausnutzbaren Codeausführung meist weniger riskant als ein längerer Weiterbetrieb mit offener Angriffsfläche.

Admins sollten jetzt pragmatisch priorisieren und die Maßnahmen dokumentieren, damit Betrieb, Security und Fachbereiche denselben Stand haben:

  • Alle Dynamics-NAV-Instanzen inventarisieren und ihre Netz-Erreichbarkeit prüfen.
  • Direkten Zugriff aus nicht vertrauenswürdigen Netzen per Firewall oder Segmentierung blockieren.
  • Verfügbare Hersteller-Updates für die betroffenen Systeme zeitnah einspielen.
  • Logs, EDR-Alarme und ausgehende Verbindungen der NAV-Server engmaschig überwachen.
Microsoft Dynamics NAV: Anonyme Angreifer können Code ausführen
Lisa 15. Juli 2026
Diesen Beitrag teilen