Patch Tuesday im März: Kernel-Updates als Antwort auf Meltdown und Spectre
Die CPU-Schwachstellen Meltdown und Spectre haben im März ihren Weg in den Patch Tuesday gefunden – zumindest lässt sich das aus der hohen Zahl der CVEs (Common Vulnerabilities and Exposures) herauslesen, die Microsoft für einige seiner Kernel-Komponenten veröffentlicht hat. Eine solche Zahl weist normalerweise darauf hin, dass das Unternehmen auch entsprechend viele Änderungen am Windows-Kernel vorgenommen hat. Die gute Nachricht zum Patch Tuesday lautet: Kein CVE wurde dabei höher als „wichtig“ eingestuft. Für Sie heißt das jedoch, dass Sie Ihre Betriebssystem-Updates in diesen Monat intensiv testen sollten.
Patch Tuesday einmal anders
Pünktlich zum Patch Tuesday im März haben Forscher des CTS-Labs das Ausmaß der Meltdown und Spectre-Schwachstellen beleuchtet. So konnten sie nicht weniger als 13 Schwachstellen in AMD-Prozessoren nachweisen. Die Experten
unterteilten diese Verwundbarkeiten in vier Familien oder Kategorien. Eine Schwachstelle, Ryzenfall, ist besonders unangenehm, da sie es einem Angreifer ermöglichen könnte, einen sicheren Prozessor zu übernehmen. Dies würde einem Angreifer Zugriff auf geschützte Daten wie Schlüssel und Passwörter ermöglichen. Ihre IT-Sicherheits-Teams sollten sich darauf vorbereiten, dass AMD weitere Treiber-Updates bereitstellen wird, um die gefundenen Sicherheitslücken zu schließen.
Patch Tuesday im März: 14 Updates aus Redmond
Microsoft hat zum Patch Tuesday im März insgesamt 14 Updates veröffentlicht, darunter Aktualisierungen für alle Windows-Betriebssysteme sowie für den IE-Browser, für Office, SharePoint und den Exchange-Server. Daneben hat das Unternehmen einige Updates für ASP.NET Core, Chakra Core und PowerShell Core veröffentlicht. Allerdings sind diese nicht als Patch-Paket, sondern in Form neuer Binärdateien verfügbar. Ihre Entwickler sollten diese in diesem Monat in ihren DevOps-Prozess integrieren, um sie zum nächsten Produktivstart einsetzen zu können.
Microsoft löst zum Patch Tuesday zwei „wichtige“ Schwachstellen
Insgesamt hat das Unternehmen aus Redmond am Patch Tuesday im März 78 einzigartige Schwachstellen behoben, von denen zwei öffentlich bekannt gegeben wurden. Eine solche Bekanntmachung wird immer dann nötig, wenn klar ist, dass einem Angreifer ausreichend viele Informationen über eine Schwachstelle zur Verfügung stehen. Diese könnten ihm erlauben, einen Angriffsversuch auf Ihre Systeme zu starten. Hat er potenziell Zugriff auf den Konzeptcode, wird ein Exploit noch wahrscheinlicher. Die öffentlichen Bekanntmachungen betreffen in diesem Monat Microsoft Exchange Server (CVE-2018-0940) der Editionen 2010 bis 2016 sowie ASP.NET Core 2.0 (CVE-2018-0808). Beide Schwachstellen werden als „wichtig“ eingestuft. Das bedeutet, dass sie zwar nicht schwerwiegend sind, allerdings ist das Risiko einer Ausnutzung aufgrund der verfügbaren Informationen höher.
Updates mit Blick auf Prozessoren
Microsoft hat eine zusätzliche Update-Unterstützung für die Meltdown-Schwachstellen (ADV180002) veröffentlicht. Server 2008 und 2012 sowie Windows 7 x86 Monthly Rollup und das Security Only Bundle enthalten jetzt so genannte „Mitigation“-Funktionen. Das bedeutet, dass diese Systeme nun die AV-Registrierungsschlüssel verpflichtend benötigen, wenn Sie die März-Updates anwenden möchten. Für Server 2008 und 2012 werden durch die die Patch-Tuesday-Updates in diesem Monat ebenfalls Mitigations-Funktionen eingeführt. Allerdings müssen Sie Änderungen an der Registry vornehmen werden, um sie zu aktivieren. Der AV Registry Key ist immer noch für alle Microsoft OS- und IE-Updates in diesem Monat erforderlich.
Patch Tuesday offenbart kritische Lücken bei Drittherstellern
Der Patch Tuesday liefert in diesem Monat daneben auch ein kritisches Update von Adobe für Flash Player, auf das Sie achten sollten. Mit ihm löst Adobe zwei kritische CVEs. Daneben hat Mozilla Updates für Firefox und Firefox ESR veröffentlicht, die beide als kritisch eingestuft wurden. Mit ihnen werden insgesamt 21 einzigartige CVEs aufgelöst. Sie sollten in diesem Monat also unbedingt Ihre Flash Player, Chrome- und Firefox-Installationen updaten!
Werfen Sie bitte einen Blick auf die detaillierte Analyse der Updates auf die Patch Tuesday Webseite von Ivanti.
IT-Frühjahrsputz passend zum Patch Tuesday im März
Der März ist immer ein guter Monat, um mit dem Frühjahrsputz zu beginnen. Das Gleiche gilt auch für Ihre IT. Beginnen Sie doch einfach mal mit der Vorarbeit: Verschaffen Sie sich als erstes einen Überblick, welche langfristigen Projekte auf Ihrer ToDo-Liste stehen oder bereits umgesetzt werden. Unter Sicherheitsgesichtspunkten sollten Sie dabei primär herausfinden, welche Software-Produkte oder Betriebssystem-Versionen nicht mehr unterstützt werden oder zu welchen Terminen diese ihren „End-of-Service“ (EoS) erreichen. Diese Systeme und Applikationen stellen ein nicht unwesentliches Risiko für Ihre IT dar. Beachten Sie, dass es durchaus eine Weile dauern kann, sollten Sie auf eine neue, sichere Version wechseln wollen. Dies zeigt ganz eindrucksvoll eine Studie, die das Marktforschungsinstitut Dimensional Research erhoben hat: Im April 2017 hatten die Marktforscher mehr als 1.800 Unternehmen zu ihrem Stand in der Migration auf Windows 10 befragt. Zu dieser Zeit hatten zwar bereits 91 Prozent von ihnen Windows 10 installiert und mit der Bewertung des Systems begonnen. In gerade einmal 34 Prozent der Unternehmen wurde Windows 10 damals jedoch schon im Echtbetrieb eingesetzt.
Kritisches Datum: 14. Januar 2020
Laut der Ivanti Studie verfügten 80 Prozent aller Unternehmen über einen Migrationsplan, der ein Update innerhalb von zwei oder weniger Jahren vorsah. Für die verbleibenden 20 Prozent der Firmen kann also die Zeit damit knapp werden. Denn Windows 7 erreicht am 14. Januar 2020 das Ende der erweiterten Produktunterstützung. Stellen Sie sich daher dringend die Frage, ob ein Umstieg vor Januar 2020 realistischer Weise noch möglich ist.
Neues zu den Updates von Windows 10
Versäumen Sie ebenfalls nicht, die Branches innerhalb der Windows 10-Familie zu aktualisieren. Microsoft hat einige Änderungen an seinem Zeitplan für die Veröffentlichung von Feature-Releases und dem End-of-Service für ältere Windows 10-Zweige vorgenommen. Das Windows Lifecycle Fact Sheet enthält aktuelle Informationen hierzu. Einige Branches nähern sich ihrem End-of-Service. Dies betrifft beispielsweise Windows 10 1607 das nach April 2018 nicht mehr unterstützt wird. Der EoS für Windows 10 1703 ist für Oktober 2018 festgesetzt. Beachten Sie bitte auch eine Änderung im Bereich der Education- und Enterprise-Editionen: Der EoS dieser Editionen wurde um sechs Monate verlängert.
Weitere Informationen zu den Security Solutions von Ivanti, insbesondere zum Patch-Management, finden Sie auf unserer Ivanti Lösungsseite.