Mit dem Patch Tuesday im Mai stehen Unternehmen erneut vor der Herausforderung die Patches Remote auszurollen. Ivanti empfiehlt die Kriterien für die Priorisierung von CVEs zu erweitern.

Wie gewohnt starten wir den Patch Tuesday in Redmond: Microsoft veröffentlicht und behebt insgesamt 111 CVEs, von denen 16 als kritisch eingestuft werden. Diesen Monat gibt es keine bereits veröffentlichten oder ausgenutzten Schwachstellen. Neben den regulären Updates für das Betriebssystem, Browser, Office und SharePoint, hat Microsoft zum Patch Tuesday im Mai auch Updates für .NET Framework, .NET Core, Visual Studio, Power BI, Windows Defender und Microsoft Dynamics im Gepäck.

Mai Patch Tuesday: Kritische Schwachstellen sind nicht zwangsläufig die dringlichsten

Die meisten kritischen Sicherheitslücken an diesem Patch Tuesday werden durch die Updates für Betriebssystem und Browser behoben. Besondere Beachtung sollten Sie den vier kritische Sicherheitslücken in SharePoint und einer in Visual Studio schenken. Zehn der 111 CVEs an diesem Patch Tuesday trugen die Exploit-Bewertung 1. Dies bedeutet, dass eine Ausnutzung dieser Schwachstelle als wahrscheinlich gilt. Bemerkenswert und oft übersehen: Sieben der zehn CVEs mit einem höheren Risiko der Ausnutzung werden nur als wichtig eingestuft. Es ist gängige Praxis, die kritischen Schwachstellen als die dringlichsten zu behandeln. Doch viele der Schwachstellen, die letztendlich ausgenutzt werden, wurden zuvor lediglich als wichtig bewertet.

Stellen Sie Ihre Risikoparameter zum Patch Tuesday auf den Prüfstand

Nutzen Sie also den Patch Tuesday im Mai dazu, Ihre Parameter für die Priorisierung von CVEs einer Neubewertung zu unterziehen. Wenn sich diese auf die Risikobewertung des Anbieters oder sogar CVSS-Punktzahlen über einem bestimmten Niveau erschöpft, sollten Sie Ihre Kennzahlen neu bewerten. Beziehen Sie weitere Risikometriken ein, um Ihren Priorisierungsprozess zu erweitern, wie z.B. öffentlich bekannt gegeben, ausgenutzt (offensichtlich) und das Exploitability Assessment von Microsoft.

Vorbedingung für Microsoft ESU Nutzer

Für Nutzer einer Microsoft ESU für eine erweiterte Abdeckung für Windows 7, Server 2008 oder Server 2008 R2, gibt es an diesem Patch Tuesday eine Vorbedingung zu beachten. Bevor die Updates des Patch Tuesdays ausgerollt werden können, müssen die neuen Servicing Stack Updates (SSUs) bereitgestellt werden.

Patch Tuesday Updates von Adobe

Die Acrobat- und Reader-Updates von Adobe am Mai Patch Tuesday beheben 24 eindeutige CVEs, von denen 12 als kritisch eingestuft werden. Auch in der Version von Adobe gibt es keine öffentlich bekannt gemachten oder ausgenutzten Sicherheitslücken. Das Adobe Flash Player-Update ist in diesem Monat nicht sicherheitsrelevant.

Prioritäten für den Patch Tuesday im Mai:

  • Windows OS
  • Web-Browser
  • Office und vor allem SharePoint
  • Adobe Acrobat und Reader

Neubewertung der Kriterien für die Priorisierung von CVEs. Erfassen Sie die richtigen Risikokennzahlen für eine effektive Priorisierung?