Ivanti Blog: Beiträge von

Attack Surface Discovery: So identifizieren Sie die Angriffsfläche Ihres Unternehmens

Mon, 18 Aug 2025 09:54:55 Z

Kontrolle ist entscheidend: Wird Ihre Angriffsfläche nicht aktiv überwacht, wächst sie schneller, als Sie es erwarten – und mit ihr das Cybersicherheitsrisiko.
Risiken lassen sich zwar nie vollständig ausschließen, da sich Angriffsflächen kontinuierlich verändern. Doch Sie können sie gezielt steuern, sodass Ihr Gesamtrisiko im Rahmen Ihrer Risikobereitschaft bleibt.

Warum ist Attack Surface Discovery so wichtig?

Effektives Cybersicherheitsmanagement beginnt mit einem klaren Verständnis der eigenen Angriffsfläche. Genauer gesagt müssen Sie erkennen, was sich unter der Oberfläche befindet – Endgeräte, Schwachstellen und andere potenzielle Angriffsvektoren, die Ihr Unternehmen verwundbar machen können.

Erst wenn diese Faktoren sichtbar werden, lässt sich die Angriffsfläche wirksam steuern. Die erste Funktion des National Institute of Standards and Technology Cybersecurity Framework (NIST CSF) Version 1.1 lautet „Identify“ („Identifizieren“). Laut NIST bilden die Aktivitäten innerhalb der Funktion „Identify“ die Grundlage für eine wirksame Umsetzung des Frameworks. Ähnlich verhält es sich mit den CIS Controls v8, die unter anderem folgende Sicherheitsmaßnahmen umfassen:

Sicherheitsmaßnahme 1 – Inventarisierung und Management der Unternehmens-Assets
Sicherheitsmaßnahme 2 – Inventarisierung und Management der Software-Assets
Sicherheitsmaßnahme 7 – Kontinuierliches Schwachstellenmanagement

Kurz gesagt: Sie können nur schützen, was Sie kennen. Doch wie erkennen Sie, was sich tatsächlich in Ihrer Umgebung befindet?

Wie beginne ich mit Attack Surface Discovery?

Attack Surface Discovery bedeutet, die Perspektive eines Angreifers einzunehmen, um angreifbare Assets und die damit verbundenen Schwachstellen zu ermitteln.

Ihre Angriffsfläche lässt sich dabei in drei Bereiche unterteilen: die digitale, die physische und die menschliche Angriffsfläche. Im Folgenden liegt der Schwerpunkt auf der Sichtbarmachung Ihrer digitalen Angriffsfläche – die beiden anderen Bereiche werden dabei ergänzend berücksichtigt.

Zur digitalen Angriffsfläche zählen klassische IT-Assets, also Hardware wie Endgeräte und Server ebenso wie Softwareanwendungen. Hinzu kommen externe, internetseitige Komponenten wie Webanwendungen, IP-Adressen, Domainnamen, SSL-Zertifikate und Cloud-Services.

Der erste Schritt besteht darin, jedes Element Ihrer digitalen Angriffsfläche zu erfassen und bestehende Sichtbarkeitslücken zu identifizieren. Sie können jedes Element wie folgt klassifizieren:

Bewusste Kenntnis: Cyber-Assets, die Ihnen bekannt sind und die nachweislich Teil Ihrer Angriffsfläche sind.
Bewusste Unkenntnis: Cyber-Assets, von denen Sie wissen, dass sie zu Ihrer Angriffsfläche gehören, die Sie jedoch möglicherweise nicht aktiv überwachen und/oder verwalten.
Unbewusste Unkenntnis: Cyber-Assets, die möglicherweise Teil Ihrer Angriffsfläche sind – oder auch nicht. Sie haben darüber keine gesicherten Informationen.
N/A: Cyber-Assets, von denen Sie mit absoluter Sicherheit wissen, dass sie nicht Teil Ihrer Angriffsfläche sind.

Nutzen Sie unsere anpassbare Attack-Surface-Checkliste für eine vollständige Bestandsaufnahme Ihrer Angriffsfläche.

Tools zur Identifizierung und Verwaltung Ihrer Angriffsfläche

Nachdem Sie Ihre Asset-Typen klassifiziert haben, folgt im nächsten Schritt die Auswahl geeigneter Tools und Methoden, mit denen Sie Sichtbarkeitslücken schließen – und so aus bewusster und unbewusster Unkenntnis echte, bewusste Kenntnis machen.

Unter dem Dach des Attack Surface Managements finden sich noch gezieltere Lösungsansätze – Cyber Asset Attack Surface Management (CAASM), External Attack Surface Management (EASM) und Digital Risk Protection Services (DRPS). Die Tools bündeln die Ergebnisse, machen Schwachstellen leichter erkennbar und bieten zum Teil auch Funktionen zur Priorisierung und Behebung. So können Sie schneller auf neue Erkenntnisse reagieren und Ihr Risiko gezielt verringern.

Schon lange stehen Unternehmen vor der Aufgabe, ihre digitale Angriffsfläche zu identifizieren und zu managen – und das bereits zu Zeiten, in denen spezialisierte ASM-Lösungen noch nicht verfügbar waren. Stattdessen kamen andere Ansätze zum Einsatz – viele davon sind auch heute noch in Gebrauch.

Ansatz	Beschreibung	Vorteiles	Nachteile
Asset-Discovery-Tools	Erkennen und erfassen Hardware- und Software-Assets, die sich mit Ihrem Netzwerk verbinden.	Bereits in den meisten Unternehmen im Einsatz. Besser als Excel & Co.	Kann Blindspots aufweisen – etwa bei Schatten-IT, Drittanbietersystemen und geschäftskritischen Anwendungen.nbsp;
Breach and Attack Simulation (BAS)	Testet Bedrohungsvektoren automatisch, um ein tieferes Verständnis für Schwachstellen in der Sicherheitslage zu gewinnen und bestehende Sicherheitskontrollen zu validieren.	Erstellt Reports über Sicherheitslücken und priorisiert die Behebung nach Risiko.	Konzentriert sich ausschließlich auf bekannte Angriffe. Bietet keine direkte Unterstützung bei der Behebung.
Cloud Security Posture Management (CSPM)	Ermöglicht das Verständnis von Änderungen in Cloud-Konfigurationen.	Bietet Echtzeit-Sichtbarkeit in Cloud-Konfigurationen.	Zeigt weder auf, wann Konfigurationen von Compliance-Vorgaben abweichen, noch welche Auswirkungen neue Bedrohungen haben könnten.
Configuration Management Database (CMDB)	Verfolgt Änderungen an Systemen.	Bereits in den meisten Unternehmen im Einsatz.	Zeigt weder auf, wann Konfigurationen von Compliance-Vorgaben abweichen, noch welche Auswirkungen neue Bedrohungen haben könnten.
Eigenentwickelter Ansatz	Kombiniert Tabellenkalkulationen, Skripte und manuelle Prozesse zur Verwaltung der Angriffsfläche.	Günstig oder kostenlos aus reiner Kostensicht (unter Vernachlässigung der Analystenstunden).	Zeitaufwendig und fehleranfällig. Nicht skalierbar oder in Echtzeit nutzbar.
IT Asset Management (ITAM)	Trackt und überwacht Assets über ihren gesamten Lebenszyklus hinweg.	Bereits in den meisten Unternehmen im Einsatz. Besser als Excel & Co.	Deckt nur bekannte und verwaltete Assets ab, während unbekannte oder nicht verwaltete Teile der Angriffsfläche unberücksichtigt bleiben.
Penetration Testing (z. B. automatisierte Pentest-Tools oder Penetration Testing as a Service)	Identifiziert Schwachstellen in Ihrem Netzwerk und in Anwendungen durch die Simulation eines Cyberangriffs.	Liefert konkrete Beispiele für die Sicherheitslage sowie Hinweise für Budgetprioritäten.	Konzentriert sich ausschließlich auf die erste Phase der Cyber Kill Chain: Reconnaissance. Die Ergebnisse sind in der Regel Momentaufnahmen und hängen stark von der Qualität und Erfahrung der Pentester ab, die die Simulation durchführen.
Red Teaming	Verschafft ein umfassendes Bild der Cybersicherheitslage eines Unternehmens, indem eine realistische Angriffssimulation gegen Netzwerke, Anwendungen, physische Schutzmaßnahmen und Mitarbeitende durchgeführt wird.	Geht über klassisches Penetration Testing hinaus, da auch weitere Phasen der Cyber Kill Chain im Fokus stehen. Geht zudem über die digitale Angriffsfläche hinaus, da auch weitere Phasen der Cyber Kill Chain im Fokus stehen.	Die Ergebnisse sind in der Regel Momentaufnahmen und hängen stark von der Erfahrung und Qualität der Red-Teamer ab, die die Simulation durchführen.
Threat Intelligence	Bietet Zugang zu Informationen über Bedrohungen und andere Cybersicherheitsaspekte.	Versorgt Sicherheitsexperten mit Erkenntnissen über Bedrohungen und Schwachstellen.	Ausgerichtet auf Unternehmen mit einer hochentwickelten Sicherheitsorganisation, hochqualifiziertem Personal und umfangreichen Ressourcen.
Schwachstellenmanagement-Tools (z. B. Scanner)	Identifizieren und verwalten Schwachstellen in der eigenen Infrastruktur und in Anwendungen.	Bereits in den meisten Unternehmen im Einsatz.	Bieten keine Transparenz in Bezug auf unbekannte Assets. Überwältigende Datenmengen.

Diese Methoden ersetzen zwar keine dedizierte ASM-Lösung, leisten jedoch einen wichtigen Beitrag zu den IT- und Sicherheitsprozessen eines Unternehmens.

CAASM-Tools sind in der Praxis auf Daten aus der Asset Discovery, dem IT Asset Management (ITAM), dem Schwachstellen- und Patch-Management angewiesen – ohne diese Grundlage können sie nicht wirksam arbeiten. Ebenso ergänzt EASM die zuvor genannten Threat-Intelligence- und Security-Testing-Services.

Wie identifiziere ich die physische Angriffsfläche meines Unternehmens?

Die erste zentrale Komponente der physischen Angriffsfläche überschneidet sich mit der digitalen Angriffsfläche Ihres Unternehmens. Dies wird als Endgeräte-Angriffsfläche bezeichnet. Sie setzt sich im Wesentlichen aus allen Endgeräten zusammen, die sich mit Ihrem Netzwerk verbinden: Desktop-Rechner, Laptops, mobile Geräte und IoT-Geräte. Die Tools und Methoden, mit denen Sie Ihre digitale Angriffsfläche identifizieren, lassen sich auch hier einsetzen.

Die zweite zentrale Komponente Ihrer physischen Angriffsfläche umfasst Büros, Rechenzentren und andere Unternehmensstandorte. Viele der Methoden, die Sie bereits zur Absicherung Ihrer digitalen Angriffsfläche einsetzen, lassen sich auch hier anwenden – etwa im Rahmen physischer Penetrationstests, wie sie Teil des Red Teaming sind.

Wie identifiziere ich die menschliche Angriffsfläche meines Unternehmens?

Die menschliche Angriffsfläche lässt sich am Organigramm ablesen: Jeder, der auf sensible Informationen zugreifen oder diesen Zugriff steuern kann – ob intern oder extern –, beeinflusst direkt das Risiko Ihres Unternehmens. Nicht nur Mitarbeitende, auch Partner oder Dienstleister gehören dazu: Jeder, der sensible Informationen einsehen oder den Zugriff darauf blockieren kann, beeinflusst die menschliche Angriffsfläche Ihres Unternehmens.

Red Teaming – eine Methode zur Identifizierung von Elementen sowohl der digitalen als auch der physischen Angriffsfläche – kann auch genutzt werden, um eine wesentliche Komponente der menschlichen Angriffsfläche sichtbar zu machen: die Anfälligkeit von Mitarbeitenden für Social Engineering.

Unsachgemäß vergebene Benutzerrechte zählen zu den Hauptfaktoren der menschlichen Angriffsfläche. Um ihre Bestandteile zu identifizieren, sollten Sie analysieren, welche Personen Zugriff auf welche Systeme und Daten haben – und in welchem Umfang.

Ich habe die Angriffsfläche meines Unternehmens identifiziert. Wie geht es weiter?

Die Identifizierung Ihrer Angriffsfläche ist der erste Schritt auf dem Weg zum eigentlichen Ziel: der Behebung jener Schwachstellen, die das größte Risiko für Ihr Unternehmen darstellen. Dieser ganzheitliche Prozess wird als Exposure Management bezeichnet.

Attack Surface Discovery bildet, wie wir gesehen haben, einen der Grundsteine Ihrer Sicherheitsstrategie: Nur was Sie kennen, können Sie auch schützen. Exposure Management fügt einen weiteren Grundpfeiler hinzu: die Bestimmung Ihrer Risikobereitschaft. Sie gibt an, wie viel Risiko Ihr Unternehmen bereit ist zu tragen, um seine Ziele zu erreichen. (Nutzen Sie hierfür gerne unsere anpassbare Vorlage für Ihre Erklärung zur Risikobereitschaft.)

Sobald diese beiden Grundlagen stehen, können Sie die Schwachstellen Ihrer Angriffsfläche einschätzen: Wie hoch ist das Risiko für Ihr Unternehmen und passt es zu Ihrer Risikobereitschaft? Unser Leitfaden zur objektiven Cyber-Risikobewertung geht darauf im Detail ein.

Die Schwachstellen, die außerhalb Ihrer Risikobereitschaft liegen, haben oberste Priorität für die Behebung. So können Sie Ihre Maßnahmen gezielt dort konzentrieren, wo sie den größten Nutzen bringen.

QR-Codes: Fluch und Segen in der Pandemie

Thu, 22 Apr 2021 19:42:36 Z

Eine neue Studie von Ivanti nimmt die Sicherheit von QR-Codes in den Blick. Das Ergebnis: Mangelndes Nutzerwissen birgt immense Sicherheitsrisiken.

Der pandemiebedingte Trend zu kontaktlosen Interaktionen schlägt sich in einer sprunghaft gestiegenen Nutzung von QR-Codes nieder. Knapp die Hälfte der von Ivanti in Deutschland Befragten hat QR-Codes bereits für finanzielle Transaktionen genutzt, fast 43 Prozent auch im beruflichen Umfeld. Vier von Zehn haben keinerlei Bedenken bei der Nutzung von QR-Codes. Fast genauso viele (37%) äußern zwar Besorgnis, nutzen die Codes in ihrem Alltag aber dennoch. Diese Sorglosigkeit im Umgang mit QR-Codes bleibt nicht ohne Konsequenzen. So haben etwa 36 Prozent der Befragten bereits einen QR-Code gescannt, der eine unerwartete Aktion hervorrief oder den Nutzer auf eine verdächtige Website führte. Knapp 49 Prozent geben zu Protokoll, einen Schad-QR-Code nicht als solchen erkennen zu können.

Insgesamt zeichnen sich für 2021 folgende Trends ab:

Die Nutzung von QR-Codes nimmt zu, aber das Wissen darüber, welche Schäden dadurch entstehen können, hinkt weit hinterher.
Die Anwendungsbereiche von QR-Codes sind größer geworden und erstrecken sich nun auch auf persönliche Bereiche wie Finanztransaktionen und Gesundheitswesen.

Diese beiden Trends – die erweiterte Nutzung von QR-Codes und das mangelnde Bewusstsein der Nutzer – setzen sowohl Verbraucher als auch Unternehmen einem größeren Risiko von Datenschutzverletzungen aus.

Betrügerische QR-Codes sind gewissermaßen das Einfallstor. Verbraucher, die Opfer eines solchen Phishing-Angriffs werden, landen auf einer echt aussehenden Website, wo sie aufgefordert werden, Daten wie Benutzernamen und Passwort, Kreditkarteninformationen, Firmenlogin und mehr anzugeben. Cyberkriminelle verwenden diese Informationen dann, um auf die Konten des Nutzers oder auf Unternehmens-Apps und -Daten zuzugreifen, die sich möglicherweise auf dem Gerät befinden. Und genau wie Trojaner können QR-Codes verwendet werden, um Schadsoftware auf ein mobiles Gerät herunterzuladen, ohne dass der Benutzer davon weiß.

Das können Unternehmen tun

Remote-Mitarbeiter müssen produktiv bleiben, ohne ständig Sicherheitssoftware zu aktualisieren oder Passwörter eingeben zu müssen. Zero Trust Security für Mobilgeräte validiert jedes Gerät, jeden Nutzer, jede App, jede URL, jedes Netzwerk und jede Cloud. Sie ist entscheidend für den Schutz vor Phishing und anderen bösartigen Exploits, die QR-Codes ausnutzen, um übliche Antiviren-Software zu umgehen. Mehr zum Konzept der Zero Trust Security erfahren Sie hier.

Die Studie "QRurb Your Enthusiasm 2021" wurde im September 2020 von MobileIron (im Dezember 2020 von Ivanti übernommen) unter knapp 4.500 Verbrauchern durchgeführt und steht hier zum Download bereit.

Ivanti kommentiert Patch Tuesday im Januar

Wed, 13 Jan 2021 02:05:21 Z

Der Januar Patch Tuesday läutet das Jahr 2021 relativ ruhig ein. Unter den 83 behobenen CVEs sind allerdings einige von hoher Dringlichkeit. Während eine Schwachstelle bereits aktiv ausgenutzt wird (CVE-2021-1647), ist eine weitere öffentlich bekannt (CVE-2021-1648). Die Updates von Microsoft in diesem Monat betreffen Windows OS, Edge (HTML-basiert), Office, Visual Studio, .Net Core, .Net Repository, ASP .Net, Azure, Malware Protection Engine und SQL Server.

Neben Microsoft gab es diesen Monat eine Reihe von Adobe-Updates und ein Sicherheitsupdate für Mozilla Thunderbird, das als kritisch eingestuft wurde. Adobe Flash Player hat am 31. Dezember 2020 das Ende seiner Lebensdauer erreicht. Weitere Details dazu sind auf der End-of-Life-Page zusammengestellt.

Den vollständigen Kommentar zum Patch Tuesday im Januar von Chris Goettl, Senior Director of Product Management for Security Products finden Sie hier.

Patch Tuesday lässt es zum Jahresausklang ruhig angehen

Tue, 08 Dec 2020 23:41:13 Z

Der Patch Tuesday im Dezember ist der ruhigste des Jahres. Es wurden nur 58 einzelne CVEs behoben, von denen neun als kritisch eingestuft sind. Microsoft hat ein Advisory (ADV200013) veröffentlicht, das eine Anleitung zur Behebung einer Spoofing-Schwachstelle in DNS Resolver enthält. Ansonsten gab es aus Redmond in diesem Monat keine öffentlich bekannt gemachten oder bereits ausgenutzten Sicherheitslücken. Adobe veröffentlichte mehrere Updates mit geringem Risikopotential für Adobe Reader für Android und Adobe Connect. Das Adobe Reader Release (APSB20-67) vom 3. Dezember behebt 14 Sicherheitslücken, von denen vier als kritisch eingestuft wurden.

Den vollständigen Kommentar von Ivanti zum Patch Tuesday Dezember finden Sie hier.

Die Branche bewegt sich auf ein 14-tägiges SLA zur Behebung von Schwachstellen zu. Was hält Sie zurück?

Wed, 28 Oct 2020 11:26:02 Z

Cyber-Kriminelle können sich ziemlich schnell auf neue Situationen einstellen. Es gibt unzählige Gegner, die im Schatten nach der nächsten Schwachstelle suchen, die sie ausnutzen können. Manchmal finden sie eine Schwachstelle, die weder von White-Hat-Forschern noch von den Anbietern identifiziert wurde, was zu einem Zero-Day-Exploit führt. Aber zumeist halten sie Ausschau nach öffentlichen Bekanntmachungen und Aktualisierungen von Anbietern, um Änderungen im Code zu identifizieren. An diesem Punkt beginnt ein Wettlauf - der Wettlauf darum, ob sie einen funktionierenden Exploit erstellen können, bevor Organisationen auf der ganzen Welt die Schwachstellen schließen können.

Mehrere Beispiele aus jüngster Zeit zeigen, wie schnell Cyber-Kriminelle agieren können:

BlueKeep (CVE-2019-0708): Die Schwachstelle, die als nächstes potenzielles WannaCry gepriesen wurde, wurde am 14. Mai 2019 behoben. Aufgrund ihrer Berühmtheit hatten wir die Gelegenheit, die Entwicklung von Exploits in Aktion zu sehen, da mehrere unabhängige Forschungsteams innerhalb von nur 14 Tagen funktionierende Exploits verwirklichten. (Mehrere POC-Videos (Proof-of-Concept) vom 28. Mai 2019 zeigten die vollständige Ausnutzung der Schwachstelle.) Es dauerte eine Weile, bis Cyber-Kriminelle begannen, die Exploits auszunutzen, aber im Crypto-Mining hat es eine rege Nutzung gegeben.
ZeroLogon (CVE-2020-1472): Die Schwachstelle in NetLogon wurde mit einer Aktualisierung am 11. August 2020 behoben. Die Lösung erforderte einige Änderungen an der Funktionsweise von NetLogon. Daher veröffentlichte Microsoft die Aktualisierung, wobei die Sicherheitsanfälligkeit behoben, die Änderung jedoch zunächst in den Überwachungsmodus versetzt wurde. Microsoft teilte mit, dass es die Durchsetzung als Teil der Patch Tuesday-Veröffentlichung im Februar 2021 aktivieren würde. Unternehmen konnten die Durchsetzung jedoch früher aktivieren, indem sie eine Registrierungseinstellung änderten. Am 15. September 2020 kam die Nachricht über die POCs, und am 18 September gab das US-amerikanische Department of Homeland Security die Notfallrichtlinie 20-04 heraus. Darin wurde den Regierungsbehörden geraten, die Aktualisierung bis zum darauf folgenden Montag, den 21. September 2020, bereitzustellen und die Durchsetzung zu ermöglichen. Wie sich herausstellte, war ihre Dringlichkeit durchaus berechtigt, da die ersten Exploits in freier Wildbahn vor Ende September entdeckt wurden.
.Net\SharePoint RCE-Fehler (CVE-2020-1147): Ursprünglich gelöst mit der Juli-Veröffentlichung zum Patch Tuesday am 14 Juli. Am 21. Juli war POC-Angriffscode im Umlauf. Dieses Update wurde im Rahmen der Veröffentlichung zum Patch Tuesday im Oktober erneut veröffentlicht.

In allen drei Fällen liegt die Zeitspanne von der Veröffentlichung bis zur Verfügbarkeit des Exploit-Codes zwischen 14 und 28 Tagen. Dies deckt sich mit den Ergebnissen des 2016 Verizon Data Breach Investigations Report, der besagt, dass 50 % der Exploits innerhalb von zwei bis vier Wochen nach der Veröffentlichung durch den Anbieter auftreten werden. Die Ergebnisse von „Zero Days, Thousands of Nights“, einem von der RAND Corporation veröffentlichten Bericht, ergaben, dass die mittlere Zeit für die Ausnutzung einer Schwachstelle 22 Tage beträgt. Basierend auf diesen Erkenntnissen wird empfohlen, ein SLA für die Schwachstellenbehebung von 14 Tagen oder weniger anzustreben, was uns zu den nächsten Herausforderungen bringt.

Warum ist ein SLA von 14 Tagen schwer zu erreichen?

Lösungen für das Schwachstellen- und Patch-Management gibt es seit mehr als einem Jahrzehnt auf dem Markt. Es handelt sich dabei um ziemlich ausgereifte Lösungen. Die rasche Identifizierung, Bereitstellung, Installation und Berichterstattung über den Zustand von Schwachstellen stellen damit keine große Herausforderung mehr dar.

Zu den größeren Herausforderungen zählt die Tatsache, dass sich der Prozess zur Behebung von Schwachstellen über mehrere Teams und Technologiepakete erstreckt. Der Prozess ist voll von manuellen Schritten, Tests und betrieblichen Auswirkungen sowie einigen grundlegenden Kommunikationsproblemen, die zu Verzögerungen führen. Ich kann aus dem Stegreif zahlreiche Unternehmen nennen, die 14-tägige oder kürzere SLAs zur Schwachstellenbehebung erreicht haben. Einige von ihnen sind Großunternehmen in der verarbeitenden Industrie, im Einzelhandel und anderen Bereichen. Was haben sie getan, um dies zu erreichen, wenn sie doch die gleiche Technologie einsetzen wie Unternehmen, die noch im 30-Tage-Zyklus arbeiten?

Die vier größten Herausforderungen bei der Schwachstellenbehebung:

Schließen der Lücke zwischen IT-Sicherheit und Betrieb: Seien wir ehrlich. Es ist eher die Ausnahme als die Regel, dass IT-Sicherheit und Betrieb wirklich „miteinander auskommen“. Die Security-Abteilung spricht die Sprache des Risikos und der CVEs (Common Vulnerabilities and Exposures), während der IT-Betrieb die Sprache von Einsatzfähigkeit und Patches spricht. Das Auflösen einer CVE kann betriebliche Auswirkungen haben, wenn der Patch etwas beschädigt. Das Operations-Team ist das ein riesiges Problem. Wenn der Alltagsbetrieb die Geschwindigkeit begrenzt, mit der die Sicherheitsprobleme gelöst werden können, und ein Incident eintritt, ist das für das Sicherheitsteam sehr beschwerlich.

Eine risikobasierte Priorisierung ist entscheidend, damit die richtigen Schwachstellen zuerst behoben werden: In vielen Fällen spiegeln der Vendor Severity-Wert (Schweregradwert laut Anbieter) und CVSS-Wert (Common Vulnerability Scoring System) nicht wieder, was am dringendsten ist. Es gibt viele Beispiele dafür, dass ein Zero-Day überwunden wurde, wobei jedoch der Vendor Severity-Wert nur „wichtig“ lautete und der CVSS-Wert bei 7,0 oder sogar darunter lag. Zusätzliche Metriken und Metadaten sind nötig, um sicherzustellen, dass es gelingt, die Elemente mit dem höchsten Risiko in den Griff zu bekommen. Zum Beispiel: Was wird aktiv ausgenutzt?

Das Wissen um die Zuverlässigkeit von Aktualisierungen: Zurück zu den SLAs zur Schwachstellenbehebung und dem Zeitaufwand für das Patching. Eines der größten Hindernisse für schnelle Fortschritte ist die Unfähigkeit, effektiv zu testen. Administratoren haben zwei Möglichkeiten: 1) versuchen, ihre Tests zu skalieren, um sicherzustellen, dass sie keine operativen Auswirkungen haben, oder 2) mehr Zeit in den Testprozess investieren und darauf warten, dass Probleme sich von selbst regeln. Die Sache ist die: Bedrohungsakteure mögen es, wenn man wartet. Hatte ich erwähnt, dass im gleichen RAND-Bericht auch die durchschnittliche Haltbarkeit eines Exploits mit sieben Jahren angegeben wurde? Allem Anschein nach blieben einige Fragen wirklich lange Zeit ungelöst, was den Bedrohungsakteuren reichlich Chancen für leichte Beute bescherte.

Patch-Compliance: Es gibt eine große Vielfalt an Compliance-Reports. Die meisten beziehen sich aber auf den Zeitpunkt, zu dem Ihr Wartungsfenster beginnt, und nicht auf den Zeitpunkt, zu dem die Aktualisierung erstmals zur Verfügung gestellt wurde. Microsoft, Adobe und Oracle veröffentlichen möglicherweise die meisten Sicherheits-Updates zu einem einheitlichen und vorhersehbaren Datum, Google, Apple, Mozilla und viele andere Unternehmen jedoch nicht. Will man Compliance im Hinblick auf eine Schwachstelle verfolgen, ist eine Neuausrichtung auf einer detaillierteren Ebene erforderlich, um der kontinuierlichen Bereitstellung der heutigen Software Rechnung zu tragen.

Wenn Patch-Zuverlässigkeit, risikobasierte Priorisierung und Patch-Compliance Herausforderungen sind, die Sie daran hindern, ein 14-tägiges SLA zur Schwachstellenbehebung zu erreichen, benötigen Sie unter Umständen erweiterte Unterstützung, die über Ihre aktuelle Patching-Lösung hinausgeht. Ivanti® Neurons for Patch Intelligence wurde im Hinblick auf eben diese Herausforderungen entwickelt. Sehen Sie es sich jetzt an.

Ivanti kommentiert Patch Tuesday – Weniger Schwachstellen und kein Browser-Update von Microsoft

Wed, 14 Oct 2020 12:17:01 Z

Microsoft hat zum Oktober Patch Tuesday erstmals seit langem weniger als 100 CVEs pro Monat veröffentlicht. So werden lediglich 87 verschiedene CVEs im Patch Tuesday Release für Oktober gelöst. Sechs dieser CVEs wurden öffentlich gemacht. Schenken Sie diesen sicherheitshalber besondere Beachtung.

Neuer Update-Leitfaden von Microsoft zum Patch Tuesday

Microsoft hat den Oktober Patch Tuesday für die Vorstellung der Vorabversion seines neuen Update-Leitfadens genutzt. Er bietet einige interessante Verbesserungen, wie die Schwachstellenansicht für einen schnellen Zugang zu weiteren risikofokussierten Informationen. Spalten wie „Exploited“ (Ausgenutzt) und „Publicly Disclosed“ (Öffentlich bekannt gegeben) ermöglichen ein schnelles Sortieren und Anzeigen, um zu sehen, ob Positionen mit hohem Risiko vorliegen. Wie etwa unsere sechs CVEs an diesem Patch Tuesday, die öffentlich bekannt gegeben wurden.

Was öffentliche Bekanntgaben von CVEs bedeuten

Eine öffentliche Bekanntgabe könnte mehrere Dinge bedeuten. Es ist möglich, dass eine Demonstration des Exploits bei einer Veranstaltung oder von Wissenschaftlern durchgeführt wurde. Genauso ist es aber auch denkbar, dass Proof-of-Concept-Code verfügbar gemacht wurde. Auf alle Fälle bedeutet eine öffentliche Bekanntgabe, dass die Bedrohungsakteure einen Hinweis bezüglich einer Schwachstelle erhalten, was ihnen verschafft einen Vorteil verschafft. Laut einer Forschungsstudie des RAND Institute beträgt die durchschnittliche Zeit bis zur Ausnutzung einer Schwachstelle 22 Tage. Wird ein Bedrohungsakteur frühzeitig über eine Schwachstelle informiert, könnte er einen Vorsprung von Tagen oder sogar Wochen haben, was bedeutet, dass ein Exploit möglicherweise nicht lange auf sich warten lässt. Dieser Risikoindikator hilft Unternehmen dabei, aus der Bedrohungsperspektive Prioritäten zu setzen.

Windows 10 steht am Patch Tuesday besonders im Fokus

In diesem Monat betreffen fünf der öffentlich bekannt gegebenen Updates Windows 10 und die entsprechenden Server-Editionen (CVE-2020-16908, CVE-2020-16909, CVE-2020-16901, CVE-2020-16885, CVE-2020-16938). Das sechste betrifft .Net Framework CVE-2020-16937.

Bemerkenswert am Oktober Patch Tuesday: Es werden keine Browser-Schwachstellen behoben. Zum Zeitpunkt der Veröffentlichung hatte Microsoft keine CVEs gegen IE oder Edge gemeldet und die Browser in diesem Monat nicht als betroffene Produkte aufgelistet.

Weitere wichtige CVEs zum Patch Tuesday Oktober:

CVE-2020-16947 ist eine Schwachstelle in Microsoft Outlook zur Remote-Code-Ausführung. Betroffene Versionen von Outlook können bereits durch Anzeigen einer speziell gestalteten E-Mail ausgenutzt werden. Das Vorschaufenster ist hier ein Angriffsvektor, sodass Sie nicht einmal die E-Mail öffnen müssen, um betroffen zu sein. Der Fehler besteht in der Analyse von HTML-Inhalten in einer E-Mail. Diese Schwachstelle sollte zum Patch Tuesday schnell behoben werden, da sie für Bedrohungsakteure ein attraktives Ziel darstellen wird.

CVE-2020-16891 ist eine Schwachstelle in Windows Hyper-V, ebenfalls zur Remote-Code-Ausführung. Dieser Patch behebt einen Fehler, der es Angreifern ermöglicht, ein speziell präpariertes Programm auf einem betroffenen Gastbetriebssystem auszuführen, um beliebigen Code auf dem Hostbetriebssystem auszuführen. Ein solcher Ausbruch aus dem Gastbetriebssystem wäre auch für Bedrohungsakteure sehr attraktiv.

Patch Tuesday im September: Cyberkriminelle auf der Lauer

Wed, 09 Sep 2020 11:05:00 Z

Der September Patch Tuesday bringt keine ausgenutzten oder öffentlich bekannten Schwachstellen. Dennoch sollte das kein Grund sein, sich in Sicherheit zu wiegen: Microsoft hat insgesamt 129 kritische CVEs zum Patch Tuesday geschlossen.

In diesem Monat haben sich Cyberkriminelle ungewohnt ruhig verhalten – der perfekte Anlass, sich zum Patch Tuesday den Aufräumarbeiten zu widmen. So hat Microsoft im Rahmen des Patch Tuesday-Updates in diesem Monat 129 Common Vulnerabilities and Exposures (CVEs) behoben, 23 davon kritische CVEs. Die meisten von ihnen wirken sich auf das Windows-Betriebssystem und die Browser aus. Hinzu kommen sieben kritische CVEs auf SharePoint.

Patch Tuesday mit Zeit zum Aufräumen

Auch wenn es zu diesem Patch Tuesday keine öffentlichen Bekanntmachungen oder ausgenutzten CVEs gibt, sollten Sie in einigen Bereichen aufmerksam hinsehen. Microsoft SharePoint weist diesen Monat eine Reihe kritischer Sicherheitslücken auf, darunter CVE-2020-1210 mit einem CVSS-Wert von 9,9. Bei Microsoft Exchange tritt eine CVE mit einem CVSS-Wert von 9,1 (CVE-2020-16875) auf, die eine Remote-Code-Ausführung ermöglicht, wenn ein Angreifer eine speziell gestaltete E-Mail an den betroffenen Exchange Server sendet. CVE-2020-0761 ist eine weitere Sicherheitslücke für eine Remote-Code-Ausführung. Sie wirkt sich auf das Active Directory aus, wenn es in DNS (ADIDNS) integriert ist. Diese Sicherheitslücke hat einen CVSS-Wert von 8,8.

Patch Tuesday Sicherheitsupdate für Google Chrome

Zum September Patch Tuesday hat Google für seinen Browser Chrome ein Sicherheits-Update veröffentlicht, das fünf Lücken schließt. Der Schweregrad gilt bei allen fünf als „high“. Dies ist die zweithöchste Bewertung für Google-Schwachstellen.

Ende von Adobe Flash wirft seine Schatten voraus

Für Adobe Flash gibt es zwar ein Update, das aber nicht sicherheitsrelevant ist. Allerdings naht das Ende der Unterstützung für Adobe Flash Player. Daher ist der Patch Tuesday der geeignete Anlass zu überlegen, wie Sie Adobe Flash aus Ihrer Umgebung entfernen können: Microsoft hat im vergangenen September eine EoS-Erklärung veröffentlicht, wonach Microsoft Edge Chromium Flash standardmäßig deaktivieren wird. Für Edge und Internet Explorer wird Flash, bevor es im Dezember 2020 ausläuft, nicht standardmäßig deaktiviert. Bis zum 31. Dezember 2020 entfernt Microsoft den Flash Player über ein Windows Update vollständig aus allen Microsoft-Browsern. Gehen Sie davon aus, dass in den nächsten Monaten ein Bereinigungstool verfügbar sein wird und wahrscheinlich eine Version der Microsoft-Browsern, die Flash entfernen.

Update-Prioritäten zum Patch Tuesday

Windows Betriebssysteme und Browser (Microsoft und Google)
Exchange Server
SharePoint Server

Patch Tuesday im August: Cyberkriminelle machen keine Sommerpause

Thu, 13 Aug 2020 10:15:38 Z

Auch im heißen August gilt es wachsam zu bleiben. Zum Patch Tuesday im August behebt Microsoft 120 verschiedene Schwachstellen. Auch Apple und Adobe liefern neue Sicherheitsupdates.

Jeden Monat, wenn wir die Analyse des Patch Tuesdays zusammenstellen und unseren Lesern mitteilen, erhalten wir viele Kommentare, die sich einfach mal eine Pause des Patch Tuesday wünschen. Aber die Schadecode-Entwickler und Cyberangreifer kennen keinen Urlaub. Auch die Corona-Pandemie hindert sie nicht, im Gegenteil, sie sind aktiv und gefährlich wie immer. Deshalb hat Microsoft zum Patch Tuesday im August 120 verschiedene Schwachstellen in Microsoft Windows, Edge, Internet Explorer, Office, SQL Server Management Studio, .Net Framework und einer Reihe weiterer Microsoft-Komponenten und -Entwicklungstools geschlossen. Adobe hat 26 CVEs in Acrobat und Reader behoben und Apple hat gerade 20 CVEs in iCloud gelöst.

17 kritische CVEs, zwei Zero-Day-Schwachstellen und eine öffentlich bekannte Schwachstelle

Microsofts Veröffentlichung zum Patch Tuesday im August umfasst 17 kritische und insgesamt 120 behobenen CVEs. Enthalten sind hierbei zwei Zero-Day-Schwachstellen, eine davon ist bereits öffentlich bekannt. Die Sicherheitslücken betreffen alle Windows-Betriebssystemversionen bis zurück zu Windows 7 und Server 2008 sowie den Internet Explorer auf allen Betriebssystemen.

Der August Patch Tuesday löst auch eine Sicherheitslücke in Windows Print Spooler Elevation of Privilege (CVE-2020-1337), die kürzlich für Schlagzeilen sorgte.

Außerdem hat Microsoft zum Patch Tuesday eine kritische Sicherheitslücke (CVE-2020-1380) in der Microsoft Scripting Engine behoben, durch die Angreifer willkürlich Code im Kontext des aktuellen Benutzers auszuführen könnten. Diese Schwachstelle betrifft den Internet Explorer in allen Windows-Editionen einschließlich Windows 7 und Server 2008. Die Sicherheitslücke kann genutzt werden, um einen Anwender über eine speziell gestaltete oder manipulierte Website, auf der vom Benutzer bereitgestellte Inhalte oder Werbung möglich sind und über Anwendungen oder Microsoft Office-Dokumente, die die IE-Rendering-Engine hosten, ins Visier zu nehmen. Die Limitierung der Privilegien eines Benutzers würde die Zugriffsmöglichkeiten eines Angreifers über diese Schwachstelle einschränken. Die Schwachstelle scheint sich auch auf die neueren Betriebssystemversionen auszuwirken.

Zum Patch Tuesday im August auf die richtige Priorisierung der Risiken achten

Microsoft hat eine wichtige Schwachstelle (CVE-2020-1464) in Microsoft Windows behoben, die es ermöglichen könnte, Sicherheitsfunktionen zu umgehen und unsachgemäß signierte Dateien zu laden. Diese Schwachstelle wurde bei Angriffen entdeckt und öffentlich bekannt. Interessanterweise wird die Schwachstelle nur als „Important“ eingestuft und hat eine CVSSv3-Basisbewertung von 5,3, obwohl sie bereits aktiv ausgenutzt wird. Dies ist ein großartiges Beispiel dafür, wie durch die Priorisierung Dringlichkeitsstufen verfehlt werden können. Diejenigen, die auf der Grundlage des Anbieter-Schweregrads „Critical“ oder CVSS-Scores eines bestimmten Levels oder höher agieren, sollten sicherstellen, dass sie über andere Metriken verfügen, um bereits ausgenutzte oder öffentlich bekannte Schwachstellen zu beheben.

Eine weitere bemerkenswerte Schwachstelle, die beim Patch Tuesday im August behoben wurde, ist in Netlogon (CVE-2020-1472). Dies ist ein zweiteiliges Update. Der zweite Teil wird im Februar 2021 erscheinen, aber Microsoft weist darauf hin, dass Sie sich bereits auf dieses Ereignis vorbereiten sollten. Die Sicherheitsanfälligkeit würde es einem nicht authentifizierten Angreifer ermöglichen, MS-NRPC zu verwenden, um eine Verbindung zu einem Domain Controller herzustellen und so Zugang zu einem Domain Administrator zu erhalten. Microsoft führt eine Änderung am Secure Channel von Netlogon ein, um diese Schwachstelle zu beheben, aber die Änderung könnte sich auch auf Ihre Umgebung auswirken. Beginnend mit dieser Version wurden Ereignis-IDs skizziert, nach denen Sie suchen und auf die Sie reagieren sollten, da diese von der kommenden Änderung im Februar betroffen sind. Weitere Einzelheiten hierzu finden Sie in diesem Beitrag von Microsoft.

Stellen Sie Ihre Sicherheitsstrategie auf „Self-Securing“ um

Wed, 29 Jul 2020 07:00:01 Z

Angreifer auf Ihre IT-Umgebung bewegen sich schnell. Sie sind agil und ändern ihre Taktik, sobald sich Chancen ergeben. Mit der COVID-Pandemie hat sich auch die Art und Weise geändert, wie wir arbeiten und wie wir mit Benutzern und IT-Umgebungen umgehen müssen. Angreifer haben sich darauf sehr viel schneller eingestellt als uns allen lieb ist und für sich neue Möglichkeiten und Chancen entdeckt. ZScaler veröffentlichte im April einen Bericht, aus dem hervorgeht, dass die Zahl der Cyberangriffe mit COVID-Bezug zwischen Januar und März diesen Jahres um 30.000 % zugenommen hat. In nur wenigen Monaten haben Angreifer ihre Taktik grundlegend verändert, um die neue Situation auszunutzen. Diese geschäftliche Agilität können viele von uns nur beneiden.

Laut einer Forschungsstudie von RAND können Angreifer eine IT-Umgebung Verwundbarkeiten im Mittel innerhalb von 22 Tagen ausnutzen, die meisten Exploits haben eine Haltbarkeit von etwa 7 Jahren. Ein Jahresbericht von Recorded Futures, der die am häufigsten ausgenutzten Verwundbarkeiten seit 2019 aufzeigt, bestätigt dies. Die meisten Exploits kompromittieren Verwundbarkeiten, die es schon seit geraumer Zeit gibt.

Wie begegnen wir diesem Grad an Beweglichkeit und Anpassungsfähigkeit von Angreifern? Indem wir uns ebenfalls anpassen! Wir müssen zu einer Self-Securing-Strategie übergehen, d. h. einer Strategie, bei der Verwundbarkeiten automatisch identifiziert und beseitigt werden. Ja, Angreifer werden immer raffinierter, aber hinter dieser Raffinesse steckt die gleiche taktische Umsetzung, die sie seit Jahren praktizieren. Aufklärung, Verwundbarkeiten ausnutzen, Geduld haben, sich seitlich bewegen, Daten exfiltrieren bzw. verschlüsseln. Die grundlegende Methode ist seit Jahren unverändert, bleibt aber durch immer mehr Automatisierung bis heute sehr wirkungsvoll.

Was verstehen wir unter Self-Securing? Durch die Analyse der Angreifer, der von ihnen eingesetzten Methoden und Werkzeuge, ganz besonders aber durch den Einsatz von Automatisierung und maschinellem Lernen können wir schneller auf aktuelle Bedrohungen reagieren – ihnen möglichst sogar zuvorkommen. Dieser adaptive Sicherheitsansatz setzt sich aus drei Teilen zusammen. Erfassen, Priorisieren und Korrigieren.

Erfassen

Um Ihre Umgebung wirkungsvoll zu schützen müssen Sie zunächst kennen. Erfassen Sie durch aktive und passive Discovery Mechanismen die Geräte in Ihrer Umgebung und spüren Sie unbekannte Geräte auf. Identifizieren Sie welche Software eingesetzt wird und welche Konfigurationen existieren; identifizieren Sie Schwachstellen durch die Analyse Ihrer Umgebung. Kontinuierliche Überwachung von Änderungen hilft Ihnen dabei sofort festzustellen, wenn Geräte unerwartet ihre Konfigurationen oder Zustände ändern oder wenn neue, unbekannte Geräte auftauchen.

Priorisieren

Risikobasierte Priorisierung ermöglicht es Ihnen zu erkennen, welche Verwundbarkeiten aktiv ausgenutzt werden. So können Sie schnell auf die größten Bedrohungen reagieren. Algorithmen helfen dabei Veränderungen und neue Bedrohungen vorherzusehen und geben Hinweise für das weitere Vorgehen.

Datenflut reduzieren: Es gibt immer viel zu viele Daten und zu viele potenzielle Bedrohungen, um mit allem fertig zu werden. Wenn Sie diese Flut an Daten auf die wirklich relevanten reduzieren, ermöglicht Ihnen das sich auf die Aktionen zu konzentrieren, die Risiken am schnellsten und effektivsten reduzieren.

Korrigieren

Handeln ist der kritischste Teil des Prozesses. Es nützt nichts Tausenden oder gar Zehntausenden von potentiellen Bedrohungen zu identifizieren, wenn keine Maßnahmen ergriffen werden.

Proaktiv: Wie bereits erwähnt, bewegen sich Angreifer schnell. Indem wir Risiken proaktiv beseitigen, können wir dieser Schnelligkeit zuvorkommen. Das kann allerdings schnell überhand nehmen, zu wissen, welche Verwundbarkeiten aktiv ausgenutzt werden, hilft dabei die richtigen Maßnahmen zur richtigen Zeit umzusetzen.
Anpassungsfähig: Unsere Maßnahmen (sowie unsere Bewertungen) müssen sich an das Umfeld und die Umstände anpassen können. Die COVID-Pandemie ist ein gutes Beispiel dafür, warum das wichtig ist. So schnelle wie viele Unternehmen zu einer Home-Office-Realität übergegangen sind, müssen Sicherheitsfunktionen sich an die neue Situation anpassen. Völlig egal, ob Public- oder Private- Cloud, On- oder Off-Premise-Systeme, Firmengeräte oder BYOD, wir müssen sicherstellen, dass wir Bedrohungen bewältigen und auf sie reagieren können.
Automatisierung: Angreifer automatisieren ihre Angriffe immer stärker, das bedeutet, dass sie schnell und in großem Maßstab erfolgen können. Um solche Angriffe abzuwehren müssen wir die Reaktionen darauf ebenfalls automatisieren. Je mehr Schritte unserer Verteidigung automatisiert sind, je weniger Zeit zwischen diesen Schritten vergeht und je weniger menschliches Eingreifen erforderlich ist, desto geringer ist letztlich die gesamte Reaktionszeit und die Wahrscheinlichkeit für Fehler.

Besonders wichtig bei der Planung einer Sicherheitsstrategie ist allerdings: Self-Securing bedeutet nicht, Menschen der Sicherheitsstrategie zu streichen, im Gegenteil geht es darum ihnen so viele Aufgaben wie möglich abzunehmen, sodass sie sich darauf konzentrieren können schnelle und richtige Entscheidungen zu treffen. Das bedeutet so viele Aktivitäten wie möglich zu automatisieren, Analysedaten vorzuhalten und automatisiert aufzubereiten, sodass sie eine verlässliche Entscheidungsgrundlage darstellen. Auf diese Weise können Analysten sich unkompliziert einen Überblick verschaffen und bei Bedarf Maßnahmen einleiten deren Ausführung dann wieder automatisiert erledigt wird.

Für weitere Informationen zum Thema Self-Securing und wie Ihnen Ivanti mit Ivanti Neurons dabei helfen kann, besuchen Sie Ivanti.de/Neurons und starten sie einen kostenlosen Test.

Patch Tuesday im Juli: Von DNS-Servern und Würmern

Wed, 15 Jul 2020 12:12:28 Z

Microsoft behebt zum Patch Tuesday im Juli 123 CVEs. Besondere Aufmerksamkeit sollten Sie auf die extrem kritische Sicherheitslücke CVE-2020-1350, die als „wurmfähig“ gilt. Oracle hat seine vierteljährliche CPU angekündigt und Adobe wartet mit fünf Bulletins auf.

Zum Patch Tuesday im Juli gab es von Microsoft eine eher typische Aufstellung von Updates für Betriebssystem, Browser und Office. Zusätzliche Entwicklungskomponenten wie ChakraCore, Visual Studio, Open Source Software, Azure DevOps und .Net Framework sind darin ebenfalls enthalten. Das an sich ist nicht ungewöhnlich – wären darunter nicht auch Patches für zwei kritische Sicherheitslücken, die SSUs (CVE-2020-1346) und den Windows DNS Server betreffen (CVE-2020-1350). Gerade die letztgenannte Lücke erfordert von Ihnen schnelles Handeln.

Microsoft schließt zum Juli Patch Tuesday 123 CVEs

Insgesamt hat Microsoft im Juli 123 einzigartige Schwachstellen behoben, von denen 18 als kritisch eingestuft wurden. Darunter ist auch CVE-2020-1463, die bereits ausgenutzt wurde. Eine Premiere: Microsoft hat Servicing Stack Updates (SSUs) für alle Windows-Versionen in den Juli Patch Tuesday aufgenommen und behebt so eine kritische Schwachstelle: Bei CVE-2020-1346 handelt es sich um eine "Elevation of Privilege"-Lücke im Windows Modules Installer. Sie könnte es einem Angreifer ermöglichen, höhere Privilegien auf einem System zu erlangen. In diesem Fall müsste der Angreifer einen Code auf dem Zielsystem ausführen. Diese Schwachstelle betrifft alle Windows-Betriebssysteme, einschließlich Windows 7, Server 2008 und 2008 R2.

Wurmanfällige Sicherheitslücke zum Patch Tuesday geschlossen

Wie erwähnt, weist der Windows DNS Server eine extrem kritische Sicherheitslücke (CVE-2020-1350) auf, die durchaus „wurmfähig“ ist. Das bedeutet, dass ein Angreifer diese Lücke ohne Authentifizierung remote ausnutzen und sich somit sehr schnell auf alle DNS-Server in der IT-Umgebung ausbreiten kann. Die CVE hat eine CVSS-Basisbewertung von 10.0, und Microsoft hat einige strenge Richtlinien zur Behebung dieser Schwachstelle bereitgestellt. In einem Blogeintrag des MSRC rät Microsoft zum Patch Tuesday denjenigen IT-Teams, die das Update nicht schnell bereitstellen können, dringend einen registrierungsbasierten Workaround zu verwenden. Damit können Sie das Problem zumindest abmildern, bis das Update aufgespielt wird. Diese Problemumgehung selbst erfordert keinen Neustart des Systems.

Die in diesem Monat öffentlich bekannt gegebene Sicherheitslücke (CVE-2020-1463) erlaubt ebenfalls eine Erhöhung von Nutzerprivilegien. In diesem Fall handelt es sich um eine Sicherheitslücke in der Windows SharedStream Library, die Windows 10 und Server 2016 und höher betrifft. Die Sicherheitsanfälligkeit könnte es Angreifern ermöglichen, Code mit höheren Berechtigungen auszuführen. Der Angreifer müsste sich dazu lokal authentifizieren.

Alle 18 kritischen CVEs betreffen das Windows-Betriebssystem, IE, Office, SharePoint, .Net Framework und Visual Studio. IT-Teams sollten sich um Dinge wie Betriebssystem, Browser und Office mit Priorität widmen. Gleichfalls sollten Sie aber auch SharePoint, .Net und Visual Studio nicht vernachlässigen.

Stellen Sie zum Patch Tuesday Ihre Risikobewertung auf den Prüfstand

Unglücklicherweise wissen Hacker leider auch, dass sich Administratoren und Sicherheits-Teams am Patch Tuesday zuerst um Schwachstellen kümmern, die von Microsoft als „kritisch“ eingestuft werden. Kriminelle fokussieren sich daher immer häufiger auf CVEs aus der Kategorie „wichtig“: Die Zero-Day-Exploits der letzten Monate sind ein Beleg dafür. Der Schweregrad einer CVE zeigt also nicht verlässlich an, wie hoch das Risiko eines Angriffs ist. IT-Teams sollten daher in ihre Patch-Strategie einen weiteren Indikator hinzufügen: Die Angabe „Exploitability Assessment“ gibt einen guten Hinweis, mit welcher Wahrscheinlichkeit eine Schwachstelle ausgenutzt wird.

Patch Tuesday Updates von Oracle & Co.

Oracle hat seine vierteljährliche CPU ebenfalls angekündigt. Hier die Highlights zum Patch Tuesday im Juli: Oracle Java SE wird 11 Schwachstellen beheben, die alle remote und ohne Authentifizierung ausnutzbar sind. Der höchste CVSS v3.1-Basiswert ist 8.3. Fusion-Middleware löst 53 CVEs auf, von denen sich 49 ebenfalls ohne Authentifizierung remote ausnutzen lassen. Die höchste CVSS v3.1-Basisbewertung liegt bei 9,8. MySQL behebt zum Patch Tuesday 40 Schwachstellen. Auch hier lassen sich sechs davon aus der Ferne und ohne Authentifizierung nutzen. Die höchste CVSS v3.1-Basisbewertung ist 9.8. Weitere Einzelheiten über das Oracle-Release gibt die Ankündigung hier.

Adobe veröffentlicht am Juli Patch Tuesday fünf Bulletins

Adobe hat zum Patch Tuesday fünf Bulletins veröffentlicht, aber nur eines enthielt eine kritische Sicherheitslücke. Adobe Creative Cloud Desktop Application hat vier CVEs behoben, darunter CVE-2020-9682, die als kritisch eingestuft wurde. Parallel hat das Unternehmen ein Flash Player-Update veröffentlicht – allerdings wurden in dieser Version keine CVEs gemeldet.

Google behebt am Patch Tuesday Schwachstellen in Chrome

Google hat sich dem Reigen angeschlossen und ein Google Chrome-Update geliefert, das 38 Schwachstellen behebt, darunter mindestens eine kritische und viele hohe CVEs (Chrome 84.0.4147.89) Aus Sicht von Ivanti sollten Sie in diesem Monat ein Update für Chrome und Java mit hoher Priorität behandeln.

Der vierte Patch Tuesday in Folge mit über 100 CVEs

Wed, 10 Jun 2020 10:44:31 Z

Microsoft behebt am Patch Tuesday im Juni 129 Common Vulnerabilities and Exposures – damit ist der Juni der vierte Patch Tuesday mit mehr als 100 CVEs in Folge. Die gute Nachricht: Es gibt keine öffentlich bekannt gemachten oder ausgenutzten CVEs, um die Sie sich kümmern müssten.

Die nächste gute Nachricht ist, dass 98 der CVEs durch die Bereitstellung von Updates des Betriebssystems und des Browsers behoben wurden. Die restlichen 31 verteilen sich auf Office, SharePoint, Defender, Endpoint Protection und Entwickler-Tools wie Visual Studio, ChakraCore und Azure Dev Ops. Insgesamt 11 CVEs wurden zum Patch Tuesday im Juni als kritisch eingestuft. Adobe hat diesen Patch Tuesday zur Veröffentlichung eines Sicherheitsupdates für eine kritische CVE in Flash Player genutzt. Stellen Sie also sicher, dass Sie diese Updates für den Juni Patch Tuesday auf dem Zettel haben.

US Homeland Security meldet sich am Patch Tuesday zu Wort

Eine Empfehlung des US-CERT (United States Computer Emergency Readiness Team) weist zum Patch Tuesday im Juni auf die im März 2020 geschlossene CVE-2020-0796 hin. Die Schwachstelle wurde bereits vor dem Update zum März Patch Tuesday öffentlich gemacht. Nun gibt es funktionale Proof-of-Concept-Codebeispiele, mit denen Angreifer die Schwachstelle in ungepatchten Systemen ausnutzen können. Die CVE wurde in Windows 10 1903 und späteren Systemen in einer aktualisierten Version von SMBv3 eingeführt. Stellen Sie daher sicher, dass das Betriebssystem-Update vom März Patch Tuesday und weitere Updates für Windows 10 1903 und dessen Nachfolgesysteme ausgerollt sind, um die Sicherheitslücke zu schließen. Einschließlich des Juni-Updates enthielten die letzten vier Betriebssystem-Updates die Korrektur dieser CVE.

RAND-Report zeigt: Zeit ist im Patch Management der entscheidende Faktor

Die Empfehlung des US-CERT erinnert an einige interessante Statistiken über die Geschwindigkeit in der Bedrohungsakteure funktionale Exploits entwickeln, sowie über deren durchschnittliche Haltbarkeit. Einem RAND-Report zufolge beträgt die durchschnittliche Zeit zur Ausnutzung einer Schwachstelle 22 Tage. Im Jahr 2019 erhielten wir einen interessanten Einblick in diesen Prozess, als BlueKeep (CVE-2019-0708) angekündigt wurde. Unter den Sicherheitsforschern entbrannte ein öffentlicher Wettlauf um die Ausnutzung des nächsten "WannaCry". Das Update für BlueKeep wurde am 14. Mai 2019 veröffentlicht. Nur 14 Tage später, am 28. Mai 2019, wurden von mehreren unabhängigen Forschungsteams funktionelle Exploits produziert. Eine weitere interessante Aussage aus dem RAND-Report ist, dass die durchschnittliche Haltbarkeit eines Exploits etwa sieben Jahre beträgt. Beweise dafür finden Sie in einem von Recorded Future veröffentlichten Bericht über die Top 10 der im Jahr 2019 ausgenutzten Schwachstellen. Viele der Schwachstellen in der Top-10-Liste sind zwei bis drei Jahre alt, aber auch CVE-2015-2419 und CVE-2012-0158 haben es auf die Liste geschafft.

Patch Management im Home Office bleibt zum Juni Patch Tuesday eine Herausforderung

Die Verlagerung zur Remote-Arbeit in den vergangenen Monaten erschwerte es Unternehmen, mit einer konsistenten Bereitstellung von Patches auf dem aktuellen Sicherheits-Stand zu bleiben. In vielen Unternehmen kommen Patch-Management-Lösungen zum Einsatz, die für Updates auf VPN-Zugängen basieren. Um das Unternehmensnetz zu entlasten, sollten Sie Lösungen in Betracht ziehen, mit denen Software-Updates ohne die Notwendigkeit eines VPN-Tunnels verwaltet werden können.

Bleiben Sie bei Windows 10 up to date

Lassen Sie uns zum Abschluss dieses Patch Tuesdays einen Blick darauf werfen, wie es mit Windows 10 2004 weitergeht. Der neueste Windows-Zweig ist seit einem Monat verfügbar und es wurden bereits eine Reihe von Problemen gemeldet. Sie finden eine umfassende Liste mit aktuelle bekannten und gelösten Problemen auf docs.microsoft.com.

Der zweite Patch Tuesday im Corona-Shutdown

Wed, 13 May 2020 14:14:08 Z

Mit dem Patch Tuesday im Mai stehen Unternehmen erneut vor der Herausforderung die Patches Remote auszurollen. Ivanti empfiehlt die Kriterien für die Priorisierung von CVEs zu erweitern.

Wie gewohnt starten wir den Patch Tuesday in Redmond: Microsoft veröffentlicht und behebt insgesamt 111 CVEs, von denen 16 als kritisch eingestuft werden. Diesen Monat gibt es keine bereits veröffentlichten oder ausgenutzten Schwachstellen. Neben den regulären Updates für das Betriebssystem, Browser, Office und SharePoint, hat Microsoft zum Patch Tuesday im Mai auch Updates für .NET Framework, .NET Core, Visual Studio, Power BI, Windows Defender und Microsoft Dynamics im Gepäck.

Mai Patch Tuesday: Kritische Schwachstellen sind nicht zwangsläufig die dringlichsten

Die meisten kritischen Sicherheitslücken an diesem Patch Tuesday werden durch die Updates für Betriebssystem und Browser behoben. Besondere Beachtung sollten Sie den vier kritische Sicherheitslücken in SharePoint und einer in Visual Studio schenken. Zehn der 111 CVEs an diesem Patch Tuesday trugen die Exploit-Bewertung 1. Dies bedeutet, dass eine Ausnutzung dieser Schwachstelle als wahrscheinlich gilt. Bemerkenswert und oft übersehen: Sieben der zehn CVEs mit einem höheren Risiko der Ausnutzung werden nur als wichtig eingestuft. Es ist gängige Praxis, die kritischen Schwachstellen als die dringlichsten zu behandeln. Doch viele der Schwachstellen, die letztendlich ausgenutzt werden, wurden zuvor lediglich als wichtig bewertet.

Stellen Sie Ihre Risikoparameter zum Patch Tuesday auf den Prüfstand

Nutzen Sie also den Patch Tuesday im Mai dazu, Ihre Parameter für die Priorisierung von CVEs einer Neubewertung zu unterziehen. Wenn sich diese auf die Risikobewertung des Anbieters oder sogar CVSS-Punktzahlen über einem bestimmten Niveau erschöpft, sollten Sie Ihre Kennzahlen neu bewerten. Beziehen Sie weitere Risikometriken ein, um Ihren Priorisierungsprozess zu erweitern, wie z.B. öffentlich bekannt gegeben, ausgenutzt (offensichtlich) und das Exploitability Assessment von Microsoft.

Vorbedingung für Microsoft ESU Nutzer

Für Nutzer einer Microsoft ESU für eine erweiterte Abdeckung für Windows 7, Server 2008 oder Server 2008 R2, gibt es an diesem Patch Tuesday eine Vorbedingung zu beachten. Bevor die Updates des Patch Tuesdays ausgerollt werden können, müssen die neuen Servicing Stack Updates (SSUs) bereitgestellt werden.

Patch Tuesday Updates von Adobe

Die Acrobat- und Reader-Updates von Adobe am Mai Patch Tuesday beheben 24 eindeutige CVEs, von denen 12 als kritisch eingestuft werden. Auch in der Version von Adobe gibt es keine öffentlich bekannt gemachten oder ausgenutzten Sicherheitslücken. Das Adobe Flash Player-Update ist in diesem Monat nicht sicherheitsrelevant.

Prioritäten für den Patch Tuesday im Mai:

Windows OS
Web-Browser
Office und vor allem SharePoint
Adobe Acrobat und Reader

Neubewertung der Kriterien für die Priorisierung von CVEs. Erfassen Sie die richtigen Risikokennzahlen für eine effektive Priorisierung?

Microsoft mit Frühjahrsputz zum Patch Tuesday im April

Tue, 21 Apr 2020 23:00:01 Z

Microsoft schließt zum Patch Tuesday 113 Schwachstellen und CVEs, von denen 19 als kritisch eingestuft werden. Oracle nutzt den Patch Tuesday im April für sein vierteljährliches Critical Patch Update.

Der Frühling ist traditionell die Zeit des Großreinemachens und ganz offensichtlich hat diese Stimmung auch Redmond erfasst. Die Updates zum Patch Tuesday im April umfassen drei Zero-Day-Schwachstellen und zwei allgemeine Veröffentlichungen. Alle drei Zero-Day- Schwachstellen betreffen die Versionen Windows 7, Server 2008 und Server 2008 R2. Laufen bei Ihnen immer noch diese Versionen des Windows-Betriebssystems? Dann wird es spätestens an diesem Patch Tuesday Zeit, sich mit dem Support für Extended Security Updates (ESU) zu befassen.

Insgesamt sind die Updates von Microsoft zum Patch Tuesday ein echter Rundumschlag und betreffen Windows, Internet Explorer, Edge und Edge (Chromium), Microsoft Office, SharePoint, Windows Defender, Visual Studio, Microsoft Dynamics, Microsoft Apps für Android und Mac.

Die Zero-Day-Schwachstellen verdienen am Patch Tuesday im April eine besondere Betrachtung:

Patch Tuesday im April schließt kritische CVEs in Adobe Font Manager Library

Microsoft schließt zum Patch Tuesday zwei kritische Sicherheitslücken (CVE-2020-1020 und CVE-2020-0938) in der Adobe Font Manager Library, die bereits aktiv ausgenutzt werden. CVE-2020-1020 wurde ebenfalls bereits öffentlich gemacht, was die Wahrscheinlichkeit von Angriffen deutlich erhöht. Die Schwachstelle ermöglicht es, Code per Fernzugriff auszuführen und Programme zu installieren, Daten anzuzeigen, zu ändern oder zu löschen sowie neue Konten mit vollen Administratorrechten zu erstellen. Angriffe über diese CVE laufen über den Nutzer, etwa über ein imitiertes Dokument zur Dateneingabe, und können über das Windows Vorschaufenster ausgenutzt werden.

Patch Tuesday April bringt Update für Windows Kernel

Microsoft hat den Patch Tuesday im April außerdem dazu genutzt, eine wichtige Sicherheitslücke im Windows-Kernel (CVE-2020-1027) zu beheben, über die sich Privilegien erhalten lassen. Sie nutzt dabei die Art und Weise aus, wie der Windows-Kernel mit Objekten im Arbeitsspeicher umgeht. Die CVE erlaubt dabei, die Berechtigungen dieser Objekte zu erhöhen und die Kontrolle über das betroffene System zu übernehmen. Angreifer benötigen dazu eine lokale Authentifizierung, um eine speziell gestaltete Anwendung auszuführen.

Patch Tuesday Update für Microsoft OneDrive

Ebenfalls betroffen ist an diesem Patch Tuesday der Filehosting-Dienst OneDrive. Die behobene CVE-2020-0935 ist ebenfalls bereits öffentlich und auch hier geht es im Kern um die Ausführung einer gefälschten Anwendung, um die Kontrolle zu übernehmen. Die Update-Funktion von OneDrive überprüft und aktualisiert die OneDrive-Binärdatei regelmäßig, so dass die meisten Kunden bereits vor dieser Schwachstelle geschützt sind.

Oracle veröffentlicht am Patch Tuesday vierteljährliches Critical Patch Update

Oracle nutzt den Patch Tuesday im April zur Veröffentlichung seines vierteljährlichen Critical Patch Updates (CPU). Diese CPU behebt 405 neue Sicherheitslücken in mehreren Produkten einschließlich Java SE.

Ivanti empfiehlt IT-Teams in diesen Monat, sich auf das Windows-Betriebssystem und Browser-Updates sowie Oracle Java als oberste Priorität konzentrieren.

Patch Tuesday im März bringt Updates für Windows, Browser und Office

Thu, 12 Mar 2020 16:06:35 Z

Zum Patch Tuesday im März hat Microsoft 115 verschiedene Schwachstellen und Gefahrenpotentiale (vulnerabilities and exposures, CVEs) behoben, von denen 26 als kritisch eingestuft wurden. Die gute Nachricht zum Patch Tuesday: Es gibt keine bekannten ausgenutzten Schwachstellen.

In diesem Monat gibt es Patches für Windows, Edge (HTML und Chromium), ChakraCore, Internet Explorer, Microsoft Exchange Server, Microsoft Office, Office Services und Webanwendungen, Azure DevOps, Windows Defender, Visual Studio, Open Source Software, Azure und Microsoft Dynamics.

Fokus am Patch Tuesday liegt auf Windows-Betriebssystem und Browser

Die große Mehrheit der CVEs liegt in diesem Monat mit 79 CVEs im Windows-Betriebssystem und im Browser (18 CVEs).

Microsoft hat für die meisten Windows-Betriebssystem-Versionen Service-Stack-Updates veröffentlicht. Die einzigen Ausnahmen sind Windows 10 Version 1703, Server 2008 und Windows 7 2008 R2.

Unsicheren Remote Desktop Connection Manager jetzt austauschen

Microsoft hat an diesem Patch Tuesday eine Schwachstelle für den Remote Desktop Connection Manager (CVE-2020-0765) gemeldet. Allerdings ist nicht geplant, ein Update zur Behebung des Problems zu veröffentlichen. Denn dieses Produkt ist veraltet und gilt als überholt. Die Handlungsempfehlung am Patch Tuesday lautet daher, große Vorsicht walten zu lassen, wenn Sie Remote Desktop Connection Manager weiterhin verwenden. Allerdings empfiehlt Microsoft, jetzt auf Remote Desktop-Clients mit aktuellem Support zu wechseln.

Die Gefahrenstellen im OS im Detail

Microsoft hat zum Patch Tuesday im März mehrere Schwachstellen bei der Offenlegung von Informationen im Windows-Betriebssystem in Komponenten wie GDI, Windows Graphics Component, Win32k, Windows Modules Installer Service, Windows Network Driver Interface Specification und Connected User Experiences and Telemetry Service behoben. Über diese Schwachstellen könnten Angreifer Daten aus dem Dateisystem, aus nicht initialisiertem Speicher oder sogar aus Speicherinhalten im Kernelbereich von einem User-Mode-Prozess auslesen. Einige dieser Schwachstellen könnten es einem Angreifer sogar ermöglichen, Informationen zu sammeln, mit denen die Adressierung des Speichers vorhersagbar ist.

Eine Sicherheitslücke bei der Remotecode-Ausführung in Microsoft Word (CVE-2020-0852) lässt sich über den Vorschaubereich in Outlook ausnutzen, wodurch dieser zu einem interessanteren Ziel für Angreifer werden kann.

Firefox-Schwachstellen jetzt patchen

Mozilla hat am Patch Tuesday Updates für Firefox und Firefox ESR veröffentlicht, die insgesamt 12 verschiedene CVEs beseitigen. Beide werden von Mozilla als hoch eingestuft, das ist nur eine Stufe unter der maximalen Stufe kritisch. Die schlimmste Schwachstelle könnte die Ausführung von beliebigem, willkürlichem Code zulassen.

Ivanti empfiehlt in diesem Monat allen IT-Verantwortlichen: Konzentrieren Sie sich an diesem Patch Tuesday auf die Updates des Windows-Betriebssystems und des Browsers. Außerdem haben die Updates des Office-Pakets oberste Priorität.

Patch Tuesday Februar: Eine Atempause für die IT

Thu, 13 Feb 2020 13:42:17 Z

Microsoft behebt zum Patch Tuesday im Februar 99 CVEs. Die gute Nachricht: Der Großteil wird mit wenigen Microsoft-Updates behoben, die mit der Aktualisierung des Betriebssystems ausgeliefert werden. Neben Microsoft gibt es zum Patch Tuesday auch Updates von Adobe und Mozilla.

Im Schnitt beheben die Windows Betriebssystem-Updates zum Patch Tuesday bereits die Hälfte der 99 bekannten Sicherheitslücken. Bei Windows 10 sind es in Verbindung mit IE und Edge sogar 88 CVEs. Sie sollten den Patch Tuesday daher vor allem nutzen zu prüfen welche der CVEs Sie mit besonderer Dringlichkeit behandeln müssen.

Der Patch Tuesday wartet mit einer Zero-Day Schwachstelle auf (CVE-2020-0674), die erstmals im letzten Monat mit einem Sicherheitshinweis (ADV200001) versehen wurde. Fünf der CVEs (einschließlich des Zero-Day) wurden öffentlich bekannt gegeben. Angreifern stehen somit genügend Informationen zur Verfügung herauszufinden, wie sie ausgenutzt werden können. Durch die Aktualisierung des Betriebssystems oder der Browser mit ein paar Patches pro System können Sie den Großteil des Risikos an diesem Patch Tuesday ausräumen.

Die gute Nachricht zum Patch Tuesday – wenig Arbeit für die IT!

Die wirklich gute Nachricht bei all dem ist, dass die 99 CVEs an diesem Patch Tuesday nicht viel zusätzliche Arbeit für die Administratoren bedeuten. Die regulären Updates gelten weiterhin. Betriebssystem, Browser und Office werden die meisten Ihrer Schwachstellen von der Microsoft-Seite aus beheben. Lediglich Administratoren, die sich um SQL und Exchange kümmern, erhalten diesen Monat ein wenig zusätzliche Arbeit, da beide Produkte in den veröffentlichten Updates enthalten sind.

Zwei Versionen von Microsoft Edge

Im Februar 2020 gibt es die ersten Sicherheitsupdates für die neue Edge-Chromium-Browser-Edition! Es existieren nun zwei Editionen von Edge - die in Windows 10 integrierte HTML-Version und die neue Chromium-Edition, die Sie auf Wunsch installieren können.

Microsoft kündigt am Patch Tuesday erweiterten Support an

Eine weitere bemerkenswerte Nachricht an diesem Patch Tuesday – nennen wir es Diskrepanz – ist die Ankündigung erweiterten Supportes. Windows 7, Server 2008 und 2008 R2 ESU-Updates werden noch öffentlich dokumentiert und sind im Standard-WSUS-Katalog aufgeführt. Dies bedeutet allerdings nicht, dass jeder Zugang hat. Sie benötigen nach wie vor eine ESU bei Microsoft, um die spezifischen Kriterien für die kostenlosen Optionen zu erfüllen, die Microsoft in den Windows 7 ESU-FAQ dargelegt hat. Außerdem gibt es einen ESU-Lizenzvorbereitungs-Patch, der Folgendes besagt:

"Dieses Update bietet den vollständigen Satz an Lizenzierungsänderungen, um die Installation des ESU MAK-Zusatzschlüssels zu ermöglichen, der einer der Schritte zur Vorbereitung der Installation von erweiterten Sicherheitsupdates ist. (Für die zu befolgenden Schritte siehe KB4522133). Nach der Installation dieses Updates ist ein Neustart erforderlich."

Dieser zusätzliche Patch zur Lizenzvorbereitung bedeutet, dass Sie zum Patch Tuesday vier Dinge bezüglich Ihrer ESU-Ziele überprüfen müssen, um sicherzustellen, dass Sie in der Lage sind, ohne Probleme zu patchen. Sie müssen sicherstellen, dass die SHA-2-Support-Updates angewendet werden, dass Sie die Voraussetzungen für das Service Stack-Update erfüllen, dass Sie diesen neuen Patch zur Lizenzvorbereitung auf die Systeme übertragen haben und dass Sie Ihren ESU-Lizenzschlüssel installiert haben.

Patch Tuesday News von Adobe und Mozilla

Adobe hat an diesem Patch Tuesday 17 CVEs für Adobe Reader und Acrobat (APSB20-05) und einen CVE für Flash Player (APSB20-06) behoben. Damit bringt der Patch Tuesday im Februar das erste Sicherheitsupdate für Flash Player im Jahr 2020 und auch das erste seit September 2019. Das Patch Tuesday Update für Adobe Acrobat Reader umfasst 12 kritische CVEs, und auch die CVE für Flash Player gilt als kritisch. Wir empfehlen, diesen beiden Updates an diesem Patch Tuesday Vorrang einzuräumen. Microsofts Veröffentlichung von Flash Player deckt die neuesten Ausgaben von Windows ab. Das Flash Player-Update wird nur unter Windows 8.1 und Server 2012 und höher unterstützt.

Mozilla hat Updates für Firefox, Firefox ESR und Thunderbird veröffentlicht und löst 6, 5 bzw. 7 CVEs auf. Die beiden Firefox-Aktualisierungen werden von Mozilla mit einem hohen Schweregrad und die Thunderbird-Updates mit einem moderaten Schweregrad bewertet. Diese Updates sind zwar nicht dringend, aber Sie sollten sie im Rahmen Ihrer normalen monatlichen Wartungsarbeiten durchführen lassen.

Patch Tuesday Januar: Letzter Patch für Windows 7

Mon, 20 Jan 2020 14:24:58 Z

Abgesehen vom Ende von Windows 7 und einer großen Krypto-Schwachstelle, startet der Patch Tuesday im Januar ruhig ins neue Jahr.

Die wichtigste Nachricht an diesem Patch Tuesday ist die letzte öffentliche Patch-Veröffentlichung für Windows 7, Server 2008 und Server 2008 R2. Ansonsten steht Ihnen nur noch der Patch für eine große Krypto-Schwachstellen bevor und ein paar kleinere Updates von Microsoft. Diese wurden für Windows, Internet Explorer, Office, .Net und eine Vielzahl von Entwickler-Tools veröffentlicht. Insgesamt beheben sie 49 verschiedene Sicherheitslücken. Besonders interessant ist dabei die CVE-2020-0601, die Microsoft-Krypto-Schwachstelle, die bereits vor der Verfügbarkeit des Updates für Schlagzeilen sorgte. Die zweite Schwachstelle, die wir in den Blick nehmen ist CVE-2020-0620, die etwas niedriger eingestuft wird, aber dennoch beträchtliche Risiken birgt.

Fälschung von Code-Signatur-Zertifikaten möglich

Was Sie diesen Patch Tuesday dringend beachten sollten, ist die CVE-2020-0601. Sie betrifft nur Windows 10 und verwandte Serververzweigungen. Die Sicherheitslücke ermöglicht es Angreifern, ein Code-Signatur-Zertifikat auf einer Anwendung oder Datei zu fälschen. Wenn ein Angreifer ein System so austricksen kann, dass es glaubt, eine Datei sei ordnungsgemäß signiert, kann er viele Sicherheitsmaßnahmen umgehen. Die Sicherheitsanfälligkeit wird von Microsoft nur als Level „wichtig“ eingestuft, aber es gibt viele Beispiele für CVEs vergangener Patch Tuesdays mit dieser Sicherheitsstufe, die in der Praxis ausgenutzt werden. Aufgrund der Art dieser Schwachstelle raten wir Ihnen dringend dazu, diese am Patch Tuesday mit höchster Priorität zu behandeln und umgehend zu beheben.

Manipulierter Dateiumgang von Microsoft Cryptographic Services

CVE-2020-0620 betrifft Windows 7, Server 2008 und spätere Ausgaben von Windows. Oder anders gesagt: so ziemlich alles, was Patches derzeit abdecken. Durch diese CVE wird es einem Angreifer möglich, die Art und Weise zu manipulieren, wie Microsoft Cryptographic Services mit Dateien umgeht, also wie das System die Funktionen zum Verschlüsseln und Entschlüsseln von Daten ausführt.

Der Angreifer benötigt hierfür lediglich Ausführungsrechte auf dem System des Opfers. Aber die Mühe würde sich für den Cyber-Kriminellen lohnen, denn durch die Ausnutzung dieser Sicherheitslücke kann er seine Privilegstufe erhöhen und somit ein Vertrauensmodell umgehen, das viele Sicherheitstechnologien verwenden. Sich Ausführungsrechte zu verschaffen, ist für die meisten Hacker ein relativ einfaches Unterfangen. Auch hier ist unsere Empfehlung, dass Sie diese Patch-Tuesday-Schwachstelle mit hoher Priorität behandeln und umgehend beheben.

Der letzte Patch Tuesday für Windows 7, Server 2008 und Server 2008 R2

Mit diesen Patch Tuesday erhalten Windows 7, Server 2008 und Server 2008 R2 ihre letzten öffentlichen Patches. Wenn Sie diese Systeme dennoch weiterhin nutzen, empfiehlt Ivanti Ihnen folgendes zu beachten und vorzubereiten:

Ist Ihre ESU-Vereinbarung abgeschlossen?
Sind all Ihre Systeme, die weiterhin unterstützt werden, mit dem ESU-Schlüssel konfiguriert?
Wird das neueste Service-Stack-Update auf Ihre Systeme angewandt? (Microsoft hat gerade mit der Januar-Veröffentlichung eine aktualisierte SSU für diese Plattformen herausgegeben. Sie könnte eine Voraussetzung für die Fortsetzung des Supports sein)
Wird das SHA2-Cert-Update angewendet?

Ist keine ESU geplant, sollten Sie Schritte zur Risikominimierung einleiten:

Updaten Sie alle Systeme auf den Patch Level des Januar Patch Tuesdays 2020.
Virtualisieren Sie die Arbeitslasten und beschränken Sie den Systemzugriff auf das notwendige Personal.
Kappen Sie den direkten Internetzugang dieser Systeme.
Isolieren Sie diese Systeme in ein Netzwerksegment, das von anderen Systemen getrennt ist.
Führen Sie zusätzliche Sicherheitskontrollen für diese Systeme ein: Sperren Sie Richtlinien für die Anwendungskontrolle. Das verhindert, dass Nutzer unerwünschte Anwendungen ausführen – etwa solche, die auf dem alten Betriebssystem basieren.

Patch Tuesday lässt wenig Zeit für Besinnlichkeit

Thu, 12 Dec 2019 14:02:10 Z

Bevor es in die Weihnachtsfeiertage geht, erwartet uns noch ein letzter Patch Tuesday. Diesmal wird Adobe Reader wieder sicherer und Microsoft läutet einen Abschied ein.

Halbzeit im Adventskalender – und hinter dem 12. Türchen verbirgt sich der Rückblick auf den letzten Patch Tuesday des Jahres. Für alle Fans von Windows 7, Server 2008 und Server 2008 R2 sind das allerdings keine guten Nachrichten, denn der Support wird eingestellt. Außerdem hat Microsoft Details zu einer XP SP3-Schwachstelle (CVE-2019-1489) veröffentlicht, aber dazu keinen Patch bereitgestellt. Ansonsten gibt es von Microsoft aber gute Nachrichten, denn zum Dezember Patch Tuesday wurden 36 Schwachstellen behoben, von denen bereits eine aktiv für Angriffe ausgenutzt wird (CVE-2019-1458).

Google bringt zum Patch Tuesday ein Update für Chrome, welches 51 Schwachstellen behebt. Aber das am stärksten betroffene Programm an diesem Patch Tuesday ist ohne Zweifel Adobe Reader mit ganzen 21 behobenen Schwachstellen. Außerdem gibt es eine neue Version des Adobe Flash Players – allerdings ohne sicherheitsrelevante Neuerungen.

Adobe schließt zum Patch Tuesday kritische Sicherheitslücken

Adobe brachte Updates für Adobe Acrobat Reader, Flash Player, Photoshop, Brackets und ColdFusion heraus. Dabei ist aber das Flash-Update nicht wirklich sicherheitsrelevant, die von Photoshop und Brackets jedoch schon. Diese lösen drei CVEs mit Priorität 3. ColdFusion behebt einen CVE und wird von Adobe mit Priorität 2 eingestuft.

Aber am spannesten dürfte an diesem Patch Tuesday Acrobat Reader sein. Hier werden ganze 21 CVEs gestoppt. Davon sind 14 kritisch. Der schwerste davon erlaubt eine beliebige Ausführung von Code auf dem betroffenen System.

Microsoft veröffentlicht verwirrende CVE – die wohl bereits ausgenutzt wird

Microsoft hat einen CVE für Windows XP SP3 (CVE-2019-1489) veröffentlicht. Hier wird im Bulletin dokumentiert, dass Windows XP keinen Support mehr hat. Die Art und Weise, wie dieser CVE dokumentiert wird, ist aber etwas irreführend. Denn das “Microsoft Exploitability Assessment for Latest Software Release and Older Software Release” ist 0. Dieser Wert bedeutet normalerweise, dass die Schwachstelle ausgenutzt wird. Doch diesen Status setzt das Bulletin auf "Nein".

Beim Zero-Day dieses Patch Tuesdays (CVE-2019-1458) ist das Exploitability Assessment for Older Software Release "0 - Exploitation Detected". Dies weist darauf hin, dass auch die oben genannte Schwachstelle bereits für Attacken genutzt wird.

Der Abschied-Patch von Windows 7 und das Problem mit der Bedrohungseinstufung

Microsoft hat auch Servicing-Stack-Updates für Windows 7, Server 2008, Server 2008 R2 und Server 2012 zum Patch Tuesday im Dezember veröffentlicht. Außerdem kümmert sich das Unternehmen um den bereits erwähnten CVE-2019-1458. Hierbei handelt es sich um eine Schwachstelle bei Win32k, die zu einer Berechtigungserweiterung im Windows-Betriebssystem führt. Die Schwachstelle wird nur als wichtig eingestuft und hat einen CVSSv3-Basiswert von 7,8.

Damit handelt es sich um eine weitere von vielen Schwachstellen in diesem Jahr, die nicht als kritisch eingestuft wurden, obwohl sie für Angriffe genutzt werden. Das sollten Sie an diesem Patch Tuesday im Hinterkopf behalten, wenn Sie beim Schwachstellenmanagement die Bedeutung des Anbieters oder den CVSS-Score als Kriterium für die Priorisierung der Aktualisierung verwenden. Dann sollten Sie Ihre Kriterien neu bewerten, um sicherzustellen, dass ausgenutzte Schwachstellen wie diese nicht in Ihrer Priorisierungsliste untergehen.

Spear-Phishing bei Visual Studio zum Patch Tuesday verhindern

Am Patch Tuesday in diesem Monat wurden auch Schwachstellen in Visual Studio geschlossen. Die CVEs wirken sich alle auf die Git-Funktionalität aus. Damit können Entwickler ein Repository aufrufen, um ein bestimmtes Modul in das Projekt zu integrieren. In diesen Szenarien müsste ein Angreifer einen Entwickler davon überzeugen, ein bösartiges Repository zu klonen. Dies mag schwierig sein, aber dafür erwartet die Hacker eine lukrative Belohnung: nämlich eine Spear-Phishing-Eskalation bei einer Entwickler-Gruppe.

Also ganz hypothetisch könnten Angreifer einen Softwareanbieter oder Dienstleister ins Visier nehmen. Wenn sie genug über die Plattform des Anbieters wissen und Zugriff auf eine Liste von E-Mail-Adressen von Entwicklern haben, könnten sie eine Spear-Phishing-Kampagne erstellen, um die Benutzer davon zu überzeugen, auf ihr bösartiges Repository zuzugreifen. Es geschieht sehr häufig, dass Entwickler Code austauschen oder jemanden bitten, ein Problem zu beheben. Wenn sich ein unvorsichtiger Entwickler mit dem gefährlichen Repository verbindet, erhält der Angreifer die Kontrolle über die gesamte Entwicklungsumgebung des Unternehmens.

Warnung zum Patch Tuesday: Drittanbieter geraten ins Visier

Auch Drittanbieter geraten vermehrt in das Fadenkreuz der Cyberkriminellen. Denn sie können mit einem koordinierten Angriff auf den Anbieter viele Ziele gleichzeitig erreichen. Ein alarmierendes Beispiel: die jüngsten Ransomware-Angriffe im Gesundheitswesen und im Gastgewerbe. Hier waren Anbieter das Ziel, die viele kleine Unternehmen unterstützen. Diese Angriffe schaffen zahlreiche Opfer, um eine größere Gesamtsumme an Lösegeld zu erpressen. So nehmen auch Unternehmen Schaden, die alleine kein lohnendes Ziel abgeben würden.

Patch Tuesday legt im November den Jahres-Endspurt ein

Wed, 20 Nov 2019 18:33:18 Z

Microsoft hat Updates für Windows, Internet Explorer und Edge-Browser, Microsoft Office und Office 365, Exchange Server, ChakraCore, Secure Boot, Visual Studio und Azure Stack veröffentlicht. Insgesamt hat Microsoft an diesem Patch Tuesday 75 Schwachstellen behoben, darunter eine Zero-Day IE- (CVE-2019-1429) und eine Excel-Schwachstelle (CVE-2019-1457). Patch Tuesday offenbart kritische Sicherheitslücke beim Internet Explorer Der Internet Explorer steht an diesem Patch Tuesday wieder ganz oben auf der Patch-Liste. Hier wurde eine kritische Sicherheitslücke (CVE-2019-1429) behoben, die es Hackern ermöglicht aus der Distanz beliebigen Code im Kontext des aktuellen Benutzers ausführen. Die Schwachstelle gewährt allerdings nur gleichberechtigten Zugriff auf den aktiven Benutzerbereich. Mit einer differenzierten und ordnungsgemäßen Berechtigungsverwaltung erschweren Sie es Angreifern, die volle Kontrolle über das System zu übernehmen. Cyberkriminelle könnten eine Website oder ein ActiveX-Steuerelement, das mit "sicher zur Initialisierung" gekennzeichnet ist, in eine Anwendung oder ein Office-Dokument einbetten, das die IE-Rendering-Engine hostet. Sicherheitsschulungen zu gängigen Phishing- und anderen benutzerorientierten Angriffsmethoden reduzieren das Risiko einer Ausnutzung dieser Schwachstelle. Da solche Angriffe bereits stattfinden, sollten Sie den Patch umgehend installieren. Dieser behebt die Schwachstelle vollständig. Noch ein Browser-Update zum Patch Tuesday: Google Chrome Das Aufregendste außerhalb von Microsoft ist bei diesem Patch Tuesday eindeutig das jüngste Google Chrome Zero-Day Update (CVE-2019-13720). In letzter Zeit scheinen Exploits bei Browsern im Trend zu sein. Im September gab es bereits einen Internet Explorer Zero-Day (CVE-2019-1367), gefolgt von einem Google

Chrome Zero-Day, der am 1. November veröffentlicht wurde sowie den oben genannten IE Zero-Day (CVE-2019-1429). Also nutzen Sie den Patch Tuesday, um Ihre Browser auf den neuesten Stand zu bringen! Das Chrome-Update (78.0.3904.87) behebt zwei Schwachstellen, von denen eine die bereits erwähnte CVE-2019-13720 ist. Bei dieser Schwachstelle handelt es sich um eine nachträgliche Ausnutzung der Speicherbeschädigung, die es einem Angreifer ermöglicht, bösartigen Code auszuführen – ähnlich wie beim Internet Explorer. Excel-Schwachstelle zum Patch Tuesday entdeckt Von den Browsern kommen wir nun zu den Tabellen. Microsoft hat die bereits bekannte Schwachstelle (CVE-2019-1457) in Excel behoben, mit der sich Sicherheitsfunktionen umgehen lassen. Ein Angreifer kann dadurch recht einfach ein Control in Excel-Arbeitsblätter einbetten, um ein Makro auszuführen. Noch gibt es keinen bekannten Fall, dass diese Schwachstelle ausgenutzt wird. Allerdings dürften aufgrund der Veröffentlichung der CVE Exploits in Entwicklung sein. Also dringend patchen! Adobe hat an diesem Patch Tuesday Prio 3 Adobe hat Sicherheitsupdates für Animate CC, Illustrator CC, Media Encoder und Bridge CC veröffentlicht, die insgesamt 11 Schwachstellen beheben. Alle sind mit Priorität 3 eingestuft. Microsoft Servicing Stack Updates Wenn Sie unseren Beitrag zum Oktober Patch Tuesday gelesen haben, erinnern Sie sich bestimmt an die breite Veröffentlichung von Microsoft Servicing Stack Updates (SSU). Gut, denn für November gibt es aktualisierte SSUs für alle Versionen außer Windows 10 1703. Wie bereits berichtet, werden die Update-Dienste unter Windows irgendwann zur Grund-Voraussetzung für zukünftige Updates auf den jeweiligen Systemen. Microsoft veröffentlicht die SSU in der Regel mindestens alle paar Monate, bevor die Änderungen vollständig in Kraft treten. Erwägen Sie, diesen Monat einen konservativen Ansatz zu wählen. Wir empfehlen: Machen Sie einige einfache Tests und sehen Sie, was im Dezember passiert, bevor Sie es mit ihrem SSU-Rollout übertreiben. Diese Termine sollten Sie sich zum Patch Tuesday vormerken Es gibt einige Windows-Endtermine, die Sie sowohl für diesen Monat als auch für Januar im Hinterkopf behalten sollten. Wenn Sie weiterhin mit Windows 7 oder Server 2008/2008 R2 arbeiten wollen, sollten Sie auch einige zusätzliche Details aus dem Microsoft Blogbeitrag vom 17. Oktober beachten. Dieser erklärt Ihnen, wie Sie Zugang zum verlängerten Support erhalten und sicherstellen, dass Ihre Systeme darauf vorbereitet sind. Windows 10 Branch 1803 in den Versionen Home, Pro und Pro für Workstations hat zum November Patch Tuesday sein letztes Sicherheitsupdate erhalten. Falls Sie mit Enterprise und Education Editionen arbeiten, haben Sie noch bis zum 10. November 2020 Zeit für den Übergang. Das nächste Windows-Enddatum ist dann der 8. Januar, wenn Windows 7 und Server 2008 und 2008 R2 ihr unvermeidliches Ende erreichen. Oder ist das etwa doch nicht das Ende? Für einige Fälle gibt es tatsächlich die

Möglichkeit, Updates für diese Plattformen gegen Gebühr oder sogar kostenlos durchzuführen. Lesen Sie die Details auch hier im Microsoft Blogbeitrag vom 17. Oktober. Darin erfahren Sie, wie Sie erweiterte Sicherheitsupdates für berechtigte Windows-Geräte erhalten. Haben Sie dies alles erledigt, können Sie beruhigt ins Weihnachtsshopping starten – zumindest bis zum letzten Patch Tuesday des Jahres im Dezember.

Der Patch Tuesday im Oktober: Die Ruhe vor dem Sturm?

Fri, 11 Oct 2019 13:24:30 Z

Wenn man vom IE-Zero-Day und seinen Druckproblemen absieht, verläuft der Patch Tuesday im Oktober relativ ruhig. Stellenweise fast schon zu ruhig.

Microsoft hat zum Patch Tuesday Updates für Microsoft Windows, die Browser Internet Explorer und Edge, Microsoft Office und Office 365, SQL Server sowie für einige Development Tools veröffentlicht. Darüber hinaus erhalten die meisten Windows-Betriebssysteme ein weiteres Service Stack Update. Microsoft hat insgesamt 59 Schwachstellen behoben, die noch nicht öffenlich bekannt waren. Man könnte also fast von einem ruhigen Patch Tuesday sprechen, wenn nicht die Angst vor dem IE-Zero-Day wäre.

IE-Zero-Day und die dazugehörigen Druckerprobleme

Vergessen Sie bei den Updates zum Patch Tuesday im Oktober auf keinen Fall IE-Zero-Day, das ursprünglich am 23. September veröffentlicht wurde. Microsoft hat das Internet-Explorer-Zero-Day (CVE-2019-1367) für Windows 10 durch kumulative Updates für 1903 bis 1703, Server 2019 und Server 2016 freigeschaltet. Allerdings müssen die Rollups für Systeme vor Windows 10 manuell heruntergeladen werden. Am 24. September wurden optionale kumulative Non-Security-Updates für Windows 10 und monatliche Rollup-Previews für Systeme vor Win10 veröffentlicht. Obwohl Microsoft dies nicht an die große Glocke gehängt hat, wurde die IE Zero Day Fix in diese Non-Security-Updates aufgenommen. Am dritten Oktober folgten neue Sicherheitsupdates, kumulative Updates des IE und eine neue Version der monatlichen Rollup-Updates. Diese beheben die Druckprobleme, die in Verbindung mit den Security-Updates häufig gemeldet wurden. Nach dieser Update-Runde gab es zwar immer noch Berichte über Druckerprobleme, aber pünktlich zu den Veröffentlichungen am Patch Tuesday am 8. Oktober wurde diese zusätzliche Version dem IE CVE hinzugefügt.

Die Sicherheitsupdates beheben ein bekanntes Druckerproblem, das nach der Installation eines der Sicherheitsupdates, kumulativen Updates des IE oder monatlichen Rollups vom 23. September oder 3. Oktober auftrat. Wenn Sie die betreffenden Updates bereits installiert haben, sollten Sie den Patch Tuesday nutzen, um die aktuellen Sicherheitsupdates für Oktober zu installieren und damit alle potenziellen Druckprobleme zu beheben.

Inventur zum Patch Tuesday: Adobe Flash Player entfernen

Für Adobe Flash Player wurden bei diesem Patch Tuesday keine Updates veröffentlicht. Das ist jetzt bereits der dritte Patch Tuesday dieses Jahres, den Flash verstreichen lässt, ohne Sicherheitslücken zu schließen. Wenn Sie Flash nicht bereits aus Ihrer Umgebung entfernt haben, ist es ratsam, spätestens jetzt damit zu beginnen.

Microsoft zeigt sich zum Patch Tuesday solide

Microsoft ist da verlässlicher was den Patch Tuesday angeht: Das Unternehmen hat Servicing Stack Updates (ADV99000001) für alle aktuellen Systeme außer Windows 7, Server 2008 und Server 2008 R2 veröffentlicht. Die SSUs sind getrennt von den regelmäßigen, kumulativen und reinen Securityupdates, die von Microsoft veröffentlicht werden. Update-Services bei Windows werden zur Voraussetzung für zukünftige Updates beteiligter Systeme. Microsoft veröffentlicht die SSU in der Regel bereits ein paar Monate bevor die Änderungen vollständig in Kraft treten. In Anbetracht der Tatsache, dass Microsoft im September gerade einen vollständigen Satz an SSUs für alle Windows-Betriebssysteme veröffentlicht hat, gibt es einige weitreichende Änderungen, die auf den Weg gebracht wurden. Wir empfehlen, sich etwas Zeit zu nehmen, um diese SSUs zu prüfen und sich auf die Einführung vorzubereiten. Aber Sie sollten mit Vorsicht vorgehen, da alle SSUs bis auf zwei gerade ein weiteres Update erhalten haben. Außerdem könnte das Oktober-Set auch die SSUs vom September vollständig ersetzen, wenn Microsoft sie als Voraussetzung durchsetzt.

Außerdem gibt es im Oktober eine weitere Oracle-CPU-Version. Prüfen Sie also am 15. Oktober, ob neue Versionen von Oracle zur Verfügung stehen.