Ivanti Blog: Patch Tuesday

Patch Tuesday im Juli: So sollten Sie die Schwachstellenbehebung priorisieren

Sat, 17 Jul 2021 06:00:01 Z

Jeden zweiten Dienstag im Monat ist es so weit: Microsoft, und mittlerweile auch einige andere Unternehmen wie Oracle, Adobe oder Mozilla, veröffentlichen ihre Softwareaktualisierungen. Der Patchday im Juli hatte es besonders in sich. Mit dem jüngsten PrintNightmare-Out-of-Band-Update, einer Reihe von Updates für Acrobat und Reader von Adobe, Mozilla Firefox und Firefox ESR sowie den typischen Microsoft-Updates, gibt es derzeit einiges, das Sie priorisiert angehen sollten.

PrintNightmare ist behoben

Für Furore sorgte kürzlich die Sicherheitslücke „PrintNightmare“ (CVE-2021-34527 ), von der die Druckerwarteschlange betroffen ist. Sie ermöglicht theoretisch die Fremdübernahme von Windows-Systemen aus der Ferne, besonders bedrohlich ist das Szenario für Domaincontroller. Microsoft hat schnell reagiert, Out-of-Band-Sicherheitsupdates veröffentlicht und einen Support-Artikel zur Verfügung gestellt. Dieser erklärt, wie die Updates funktionieren und bietet zusätzliche Konfigurationsoptionen. Wenn Sie das Out-of-Band-Update noch nicht installiert haben, können Sie einfach die Betriebssystem-Updates vom Juli anwenden.

Zudem hat Microsoft im Juli insgesamt 117 CVEs behoben, von denen zehn als kritisch eingestuft wurden. Darunter sind auch drei Zero-Day-Schwachstellen und fünf öffentlich bekannt gemachte Sicherheitslücken. Die gute Nachricht: Alle drei Zero-Days und drei der fünf Sicherheitslücken können Sie durch die schon erwähnten Juli-Betriebssystem-Updates beheben. Die Updates dieses Monats betreffen Windows-Betriebssysteme, Office 365, Sharepoint, Visual Studio und eine Reihe von Modulen und Komponenten (Mehr Details in den Versionshinweisen).

Weshalb ist risikobasiertes Schwachstellenmanagement so wichtig?

Wenn Sie sich die von den Herstellern behobenen Schwachstellen ansehen, sollten Sie bei deren Bewertung nicht nur den Schweregrad und den CVSS-Score beachten. Manchmal vermitteln die Algorithmen der Hersteller, die zur Definition des Schweregrads verwendet werden, ein falsches Gefühl von Sicherheit. Verfügt Ihr IT-Sicherheitsteam über keine zusätzlichen Metriken zur Risikobestimmung, dann können einige der wichtigsten Updates leicht übersehen werden.

Ein gutes Beispiel dafür findet sich in der Zero-Day-Liste dieses Monats. Zwei der CVEs werden von Microsoft nur als „wichtig“ eingestuft, obwohl sie bereits vor der Veröffentlichung des Updates aktiv ausgenutzt wurden. Der CVSSv3-Score für die kritische CVE ist sogar niedriger als für die beiden wichtigen CVEs. Laut einer Analyse von Gartner kann die Einführung eines risikobasierten Ansatzes für das Schwachstellenmanagement die Anzahl der Datenschutzverletzungen pro Jahr um bis zu 80 Prozent reduzieren.

Empfehlungen von Ivanti zur Priorisierung

Die höchste Priorität hat in diesem Monat das Windows OS-Update. Drei weitere Zero-Day-Schwachstellen werden behoben (CVE-2021-31979, CVE-2021-33771 und CVE-2021-34448). Für Unternehmen, die den Out-of-Band-Fix für PrintNightmare noch nicht installiert haben, wären das vier Zero-Day-Schwachstellen zusammen mit drei öffentlich gemeldeten Schwachstellen.

Microsoft Exchange verzeichnet zwei öffentlich bekannte Schwachstellen sowie die CVE-2021-31206, die vor einigen Monaten im Rahmen des Pwn2Own-Wettbewerbs bekannt wurde. Diese Schwachstelle sollten Sie analysieren und so schnell wie möglich beheben.

Auch Updates von Drittanbietern sollten mit hoher Priorität behandelt werden. Insbesondere PDF- und Browser-Anwendungen sind leichte Ziele für Angreifer, die Phishing-Attacken und andere benutzerorientierte Methoden verwenden. Das Update für Adobe Acrobat und den Acrobat Reader (APSB21-51) behebt 19 CVEs, von denen 14 als kritisch eingestuft werden. Die Updates von Mozilla für Firefox und Firefox ESR enthalten Korrekturen für neun CVEs (MFSA2021-28).

Für weitere Informationen klicken Sie hier.

Ivanti kommentiert Patch Tuesday im Januar

Wed, 13 Jan 2021 02:05:21 Z

Der Januar Patch Tuesday läutet das Jahr 2021 relativ ruhig ein. Unter den 83 behobenen CVEs sind allerdings einige von hoher Dringlichkeit. Während eine Schwachstelle bereits aktiv ausgenutzt wird (CVE-2021-1647), ist eine weitere öffentlich bekannt (CVE-2021-1648). Die Updates von Microsoft in diesem Monat betreffen Windows OS, Edge (HTML-basiert), Office, Visual Studio, .Net Core, .Net Repository, ASP .Net, Azure, Malware Protection Engine und SQL Server.

Neben Microsoft gab es diesen Monat eine Reihe von Adobe-Updates und ein Sicherheitsupdate für Mozilla Thunderbird, das als kritisch eingestuft wurde. Adobe Flash Player hat am 31. Dezember 2020 das Ende seiner Lebensdauer erreicht. Weitere Details dazu sind auf der End-of-Life-Page zusammengestellt.

Den vollständigen Kommentar zum Patch Tuesday im Januar von Chris Goettl, Senior Director of Product Management for Security Products finden Sie hier.

Patch Tuesday lässt es zum Jahresausklang ruhig angehen

Tue, 08 Dec 2020 23:41:13 Z

Der Patch Tuesday im Dezember ist der ruhigste des Jahres. Es wurden nur 58 einzelne CVEs behoben, von denen neun als kritisch eingestuft sind. Microsoft hat ein Advisory (ADV200013) veröffentlicht, das eine Anleitung zur Behebung einer Spoofing-Schwachstelle in DNS Resolver enthält. Ansonsten gab es aus Redmond in diesem Monat keine öffentlich bekannt gemachten oder bereits ausgenutzten Sicherheitslücken. Adobe veröffentlichte mehrere Updates mit geringem Risikopotential für Adobe Reader für Android und Adobe Connect. Das Adobe Reader Release (APSB20-67) vom 3. Dezember behebt 14 Sicherheitslücken, von denen vier als kritisch eingestuft wurden.

Den vollständigen Kommentar von Ivanti zum Patch Tuesday Dezember finden Sie hier.

Ivanti kommentiert Patch Tuesday – Weniger Schwachstellen und kein Browser-Update von Microsoft

Wed, 14 Oct 2020 12:17:01 Z

Microsoft hat zum Oktober Patch Tuesday erstmals seit langem weniger als 100 CVEs pro Monat veröffentlicht. So werden lediglich 87 verschiedene CVEs im Patch Tuesday Release für Oktober gelöst. Sechs dieser CVEs wurden öffentlich gemacht. Schenken Sie diesen sicherheitshalber besondere Beachtung.

Neuer Update-Leitfaden von Microsoft zum Patch Tuesday

Microsoft hat den Oktober Patch Tuesday für die Vorstellung der Vorabversion seines neuen Update-Leitfadens genutzt. Er bietet einige interessante Verbesserungen, wie die Schwachstellenansicht für einen schnellen Zugang zu weiteren risikofokussierten Informationen. Spalten wie „Exploited“ (Ausgenutzt) und „Publicly Disclosed“ (Öffentlich bekannt gegeben) ermöglichen ein schnelles Sortieren und Anzeigen, um zu sehen, ob Positionen mit hohem Risiko vorliegen. Wie etwa unsere sechs CVEs an diesem Patch Tuesday, die öffentlich bekannt gegeben wurden.

Was öffentliche Bekanntgaben von CVEs bedeuten

Eine öffentliche Bekanntgabe könnte mehrere Dinge bedeuten. Es ist möglich, dass eine Demonstration des Exploits bei einer Veranstaltung oder von Wissenschaftlern durchgeführt wurde. Genauso ist es aber auch denkbar, dass Proof-of-Concept-Code verfügbar gemacht wurde. Auf alle Fälle bedeutet eine öffentliche Bekanntgabe, dass die Bedrohungsakteure einen Hinweis bezüglich einer Schwachstelle erhalten, was ihnen verschafft einen Vorteil verschafft. Laut einer Forschungsstudie des RAND Institute beträgt die durchschnittliche Zeit bis zur Ausnutzung einer Schwachstelle 22 Tage. Wird ein Bedrohungsakteur frühzeitig über eine Schwachstelle informiert, könnte er einen Vorsprung von Tagen oder sogar Wochen haben, was bedeutet, dass ein Exploit möglicherweise nicht lange auf sich warten lässt. Dieser Risikoindikator hilft Unternehmen dabei, aus der Bedrohungsperspektive Prioritäten zu setzen.

Windows 10 steht am Patch Tuesday besonders im Fokus

In diesem Monat betreffen fünf der öffentlich bekannt gegebenen Updates Windows 10 und die entsprechenden Server-Editionen (CVE-2020-16908, CVE-2020-16909, CVE-2020-16901, CVE-2020-16885, CVE-2020-16938). Das sechste betrifft .Net Framework CVE-2020-16937.

Bemerkenswert am Oktober Patch Tuesday: Es werden keine Browser-Schwachstellen behoben. Zum Zeitpunkt der Veröffentlichung hatte Microsoft keine CVEs gegen IE oder Edge gemeldet und die Browser in diesem Monat nicht als betroffene Produkte aufgelistet.

Weitere wichtige CVEs zum Patch Tuesday Oktober:

CVE-2020-16947 ist eine Schwachstelle in Microsoft Outlook zur Remote-Code-Ausführung. Betroffene Versionen von Outlook können bereits durch Anzeigen einer speziell gestalteten E-Mail ausgenutzt werden. Das Vorschaufenster ist hier ein Angriffsvektor, sodass Sie nicht einmal die E-Mail öffnen müssen, um betroffen zu sein. Der Fehler besteht in der Analyse von HTML-Inhalten in einer E-Mail. Diese Schwachstelle sollte zum Patch Tuesday schnell behoben werden, da sie für Bedrohungsakteure ein attraktives Ziel darstellen wird.

CVE-2020-16891 ist eine Schwachstelle in Windows Hyper-V, ebenfalls zur Remote-Code-Ausführung. Dieser Patch behebt einen Fehler, der es Angreifern ermöglicht, ein speziell präpariertes Programm auf einem betroffenen Gastbetriebssystem auszuführen, um beliebigen Code auf dem Hostbetriebssystem auszuführen. Ein solcher Ausbruch aus dem Gastbetriebssystem wäre auch für Bedrohungsakteure sehr attraktiv.

Patch Tuesday im September: Cyberkriminelle auf der Lauer

Wed, 09 Sep 2020 11:05:00 Z

Der September Patch Tuesday bringt keine ausgenutzten oder öffentlich bekannten Schwachstellen. Dennoch sollte das kein Grund sein, sich in Sicherheit zu wiegen: Microsoft hat insgesamt 129 kritische CVEs zum Patch Tuesday geschlossen.

In diesem Monat haben sich Cyberkriminelle ungewohnt ruhig verhalten – der perfekte Anlass, sich zum Patch Tuesday den Aufräumarbeiten zu widmen. So hat Microsoft im Rahmen des Patch Tuesday-Updates in diesem Monat 129 Common Vulnerabilities and Exposures (CVEs) behoben, 23 davon kritische CVEs. Die meisten von ihnen wirken sich auf das Windows-Betriebssystem und die Browser aus. Hinzu kommen sieben kritische CVEs auf SharePoint.

Patch Tuesday mit Zeit zum Aufräumen

Auch wenn es zu diesem Patch Tuesday keine öffentlichen Bekanntmachungen oder ausgenutzten CVEs gibt, sollten Sie in einigen Bereichen aufmerksam hinsehen. Microsoft SharePoint weist diesen Monat eine Reihe kritischer Sicherheitslücken auf, darunter CVE-2020-1210 mit einem CVSS-Wert von 9,9. Bei Microsoft Exchange tritt eine CVE mit einem CVSS-Wert von 9,1 (CVE-2020-16875) auf, die eine Remote-Code-Ausführung ermöglicht, wenn ein Angreifer eine speziell gestaltete E-Mail an den betroffenen Exchange Server sendet. CVE-2020-0761 ist eine weitere Sicherheitslücke für eine Remote-Code-Ausführung. Sie wirkt sich auf das Active Directory aus, wenn es in DNS (ADIDNS) integriert ist. Diese Sicherheitslücke hat einen CVSS-Wert von 8,8.

Patch Tuesday Sicherheitsupdate für Google Chrome

Zum September Patch Tuesday hat Google für seinen Browser Chrome ein Sicherheits-Update veröffentlicht, das fünf Lücken schließt. Der Schweregrad gilt bei allen fünf als „high“. Dies ist die zweithöchste Bewertung für Google-Schwachstellen.

Ende von Adobe Flash wirft seine Schatten voraus

Für Adobe Flash gibt es zwar ein Update, das aber nicht sicherheitsrelevant ist. Allerdings naht das Ende der Unterstützung für Adobe Flash Player. Daher ist der Patch Tuesday der geeignete Anlass zu überlegen, wie Sie Adobe Flash aus Ihrer Umgebung entfernen können: Microsoft hat im vergangenen September eine EoS-Erklärung veröffentlicht, wonach Microsoft Edge Chromium Flash standardmäßig deaktivieren wird. Für Edge und Internet Explorer wird Flash, bevor es im Dezember 2020 ausläuft, nicht standardmäßig deaktiviert. Bis zum 31. Dezember 2020 entfernt Microsoft den Flash Player über ein Windows Update vollständig aus allen Microsoft-Browsern. Gehen Sie davon aus, dass in den nächsten Monaten ein Bereinigungstool verfügbar sein wird und wahrscheinlich eine Version der Microsoft-Browsern, die Flash entfernen.

Update-Prioritäten zum Patch Tuesday

Windows Betriebssysteme und Browser (Microsoft und Google)
Exchange Server
SharePoint Server

Patch Tuesday im August: Cyberkriminelle machen keine Sommerpause

Thu, 13 Aug 2020 10:15:38 Z

Auch im heißen August gilt es wachsam zu bleiben. Zum Patch Tuesday im August behebt Microsoft 120 verschiedene Schwachstellen. Auch Apple und Adobe liefern neue Sicherheitsupdates.

Jeden Monat, wenn wir die Analyse des Patch Tuesdays zusammenstellen und unseren Lesern mitteilen, erhalten wir viele Kommentare, die sich einfach mal eine Pause des Patch Tuesday wünschen. Aber die Schadecode-Entwickler und Cyberangreifer kennen keinen Urlaub. Auch die Corona-Pandemie hindert sie nicht, im Gegenteil, sie sind aktiv und gefährlich wie immer. Deshalb hat Microsoft zum Patch Tuesday im August 120 verschiedene Schwachstellen in Microsoft Windows, Edge, Internet Explorer, Office, SQL Server Management Studio, .Net Framework und einer Reihe weiterer Microsoft-Komponenten und -Entwicklungstools geschlossen. Adobe hat 26 CVEs in Acrobat und Reader behoben und Apple hat gerade 20 CVEs in iCloud gelöst.

17 kritische CVEs, zwei Zero-Day-Schwachstellen und eine öffentlich bekannte Schwachstelle

Microsofts Veröffentlichung zum Patch Tuesday im August umfasst 17 kritische und insgesamt 120 behobenen CVEs. Enthalten sind hierbei zwei Zero-Day-Schwachstellen, eine davon ist bereits öffentlich bekannt. Die Sicherheitslücken betreffen alle Windows-Betriebssystemversionen bis zurück zu Windows 7 und Server 2008 sowie den Internet Explorer auf allen Betriebssystemen.

Der August Patch Tuesday löst auch eine Sicherheitslücke in Windows Print Spooler Elevation of Privilege (CVE-2020-1337), die kürzlich für Schlagzeilen sorgte.

Außerdem hat Microsoft zum Patch Tuesday eine kritische Sicherheitslücke (CVE-2020-1380) in der Microsoft Scripting Engine behoben, durch die Angreifer willkürlich Code im Kontext des aktuellen Benutzers auszuführen könnten. Diese Schwachstelle betrifft den Internet Explorer in allen Windows-Editionen einschließlich Windows 7 und Server 2008. Die Sicherheitslücke kann genutzt werden, um einen Anwender über eine speziell gestaltete oder manipulierte Website, auf der vom Benutzer bereitgestellte Inhalte oder Werbung möglich sind und über Anwendungen oder Microsoft Office-Dokumente, die die IE-Rendering-Engine hosten, ins Visier zu nehmen. Die Limitierung der Privilegien eines Benutzers würde die Zugriffsmöglichkeiten eines Angreifers über diese Schwachstelle einschränken. Die Schwachstelle scheint sich auch auf die neueren Betriebssystemversionen auszuwirken.

Zum Patch Tuesday im August auf die richtige Priorisierung der Risiken achten

Microsoft hat eine wichtige Schwachstelle (CVE-2020-1464) in Microsoft Windows behoben, die es ermöglichen könnte, Sicherheitsfunktionen zu umgehen und unsachgemäß signierte Dateien zu laden. Diese Schwachstelle wurde bei Angriffen entdeckt und öffentlich bekannt. Interessanterweise wird die Schwachstelle nur als „Important“ eingestuft und hat eine CVSSv3-Basisbewertung von 5,3, obwohl sie bereits aktiv ausgenutzt wird. Dies ist ein großartiges Beispiel dafür, wie durch die Priorisierung Dringlichkeitsstufen verfehlt werden können. Diejenigen, die auf der Grundlage des Anbieter-Schweregrads „Critical“ oder CVSS-Scores eines bestimmten Levels oder höher agieren, sollten sicherstellen, dass sie über andere Metriken verfügen, um bereits ausgenutzte oder öffentlich bekannte Schwachstellen zu beheben.

Eine weitere bemerkenswerte Schwachstelle, die beim Patch Tuesday im August behoben wurde, ist in Netlogon (CVE-2020-1472). Dies ist ein zweiteiliges Update. Der zweite Teil wird im Februar 2021 erscheinen, aber Microsoft weist darauf hin, dass Sie sich bereits auf dieses Ereignis vorbereiten sollten. Die Sicherheitsanfälligkeit würde es einem nicht authentifizierten Angreifer ermöglichen, MS-NRPC zu verwenden, um eine Verbindung zu einem Domain Controller herzustellen und so Zugang zu einem Domain Administrator zu erhalten. Microsoft führt eine Änderung am Secure Channel von Netlogon ein, um diese Schwachstelle zu beheben, aber die Änderung könnte sich auch auf Ihre Umgebung auswirken. Beginnend mit dieser Version wurden Ereignis-IDs skizziert, nach denen Sie suchen und auf die Sie reagieren sollten, da diese von der kommenden Änderung im Februar betroffen sind. Weitere Einzelheiten hierzu finden Sie in diesem Beitrag von Microsoft.

Patch Tuesday im Juli: Von DNS-Servern und Würmern

Wed, 15 Jul 2020 12:12:28 Z

Microsoft behebt zum Patch Tuesday im Juli 123 CVEs. Besondere Aufmerksamkeit sollten Sie auf die extrem kritische Sicherheitslücke CVE-2020-1350, die als „wurmfähig“ gilt. Oracle hat seine vierteljährliche CPU angekündigt und Adobe wartet mit fünf Bulletins auf.

Zum Patch Tuesday im Juli gab es von Microsoft eine eher typische Aufstellung von Updates für Betriebssystem, Browser und Office. Zusätzliche Entwicklungskomponenten wie ChakraCore, Visual Studio, Open Source Software, Azure DevOps und .Net Framework sind darin ebenfalls enthalten. Das an sich ist nicht ungewöhnlich – wären darunter nicht auch Patches für zwei kritische Sicherheitslücken, die SSUs (CVE-2020-1346) und den Windows DNS Server betreffen (CVE-2020-1350). Gerade die letztgenannte Lücke erfordert von Ihnen schnelles Handeln.

Microsoft schließt zum Juli Patch Tuesday 123 CVEs

Insgesamt hat Microsoft im Juli 123 einzigartige Schwachstellen behoben, von denen 18 als kritisch eingestuft wurden. Darunter ist auch CVE-2020-1463, die bereits ausgenutzt wurde. Eine Premiere: Microsoft hat Servicing Stack Updates (SSUs) für alle Windows-Versionen in den Juli Patch Tuesday aufgenommen und behebt so eine kritische Schwachstelle: Bei CVE-2020-1346 handelt es sich um eine "Elevation of Privilege"-Lücke im Windows Modules Installer. Sie könnte es einem Angreifer ermöglichen, höhere Privilegien auf einem System zu erlangen. In diesem Fall müsste der Angreifer einen Code auf dem Zielsystem ausführen. Diese Schwachstelle betrifft alle Windows-Betriebssysteme, einschließlich Windows 7, Server 2008 und 2008 R2.

Wurmanfällige Sicherheitslücke zum Patch Tuesday geschlossen

Wie erwähnt, weist der Windows DNS Server eine extrem kritische Sicherheitslücke (CVE-2020-1350) auf, die durchaus „wurmfähig“ ist. Das bedeutet, dass ein Angreifer diese Lücke ohne Authentifizierung remote ausnutzen und sich somit sehr schnell auf alle DNS-Server in der IT-Umgebung ausbreiten kann. Die CVE hat eine CVSS-Basisbewertung von 10.0, und Microsoft hat einige strenge Richtlinien zur Behebung dieser Schwachstelle bereitgestellt. In einem Blogeintrag des MSRC rät Microsoft zum Patch Tuesday denjenigen IT-Teams, die das Update nicht schnell bereitstellen können, dringend einen registrierungsbasierten Workaround zu verwenden. Damit können Sie das Problem zumindest abmildern, bis das Update aufgespielt wird. Diese Problemumgehung selbst erfordert keinen Neustart des Systems.

Die in diesem Monat öffentlich bekannt gegebene Sicherheitslücke (CVE-2020-1463) erlaubt ebenfalls eine Erhöhung von Nutzerprivilegien. In diesem Fall handelt es sich um eine Sicherheitslücke in der Windows SharedStream Library, die Windows 10 und Server 2016 und höher betrifft. Die Sicherheitsanfälligkeit könnte es Angreifern ermöglichen, Code mit höheren Berechtigungen auszuführen. Der Angreifer müsste sich dazu lokal authentifizieren.

Alle 18 kritischen CVEs betreffen das Windows-Betriebssystem, IE, Office, SharePoint, .Net Framework und Visual Studio. IT-Teams sollten sich um Dinge wie Betriebssystem, Browser und Office mit Priorität widmen. Gleichfalls sollten Sie aber auch SharePoint, .Net und Visual Studio nicht vernachlässigen.

Stellen Sie zum Patch Tuesday Ihre Risikobewertung auf den Prüfstand

Unglücklicherweise wissen Hacker leider auch, dass sich Administratoren und Sicherheits-Teams am Patch Tuesday zuerst um Schwachstellen kümmern, die von Microsoft als „kritisch“ eingestuft werden. Kriminelle fokussieren sich daher immer häufiger auf CVEs aus der Kategorie „wichtig“: Die Zero-Day-Exploits der letzten Monate sind ein Beleg dafür. Der Schweregrad einer CVE zeigt also nicht verlässlich an, wie hoch das Risiko eines Angriffs ist. IT-Teams sollten daher in ihre Patch-Strategie einen weiteren Indikator hinzufügen: Die Angabe „Exploitability Assessment“ gibt einen guten Hinweis, mit welcher Wahrscheinlichkeit eine Schwachstelle ausgenutzt wird.

Patch Tuesday Updates von Oracle & Co.

Oracle hat seine vierteljährliche CPU ebenfalls angekündigt. Hier die Highlights zum Patch Tuesday im Juli: Oracle Java SE wird 11 Schwachstellen beheben, die alle remote und ohne Authentifizierung ausnutzbar sind. Der höchste CVSS v3.1-Basiswert ist 8.3. Fusion-Middleware löst 53 CVEs auf, von denen sich 49 ebenfalls ohne Authentifizierung remote ausnutzen lassen. Die höchste CVSS v3.1-Basisbewertung liegt bei 9,8. MySQL behebt zum Patch Tuesday 40 Schwachstellen. Auch hier lassen sich sechs davon aus der Ferne und ohne Authentifizierung nutzen. Die höchste CVSS v3.1-Basisbewertung ist 9.8. Weitere Einzelheiten über das Oracle-Release gibt die Ankündigung hier.

Adobe veröffentlicht am Juli Patch Tuesday fünf Bulletins

Adobe hat zum Patch Tuesday fünf Bulletins veröffentlicht, aber nur eines enthielt eine kritische Sicherheitslücke. Adobe Creative Cloud Desktop Application hat vier CVEs behoben, darunter CVE-2020-9682, die als kritisch eingestuft wurde. Parallel hat das Unternehmen ein Flash Player-Update veröffentlicht – allerdings wurden in dieser Version keine CVEs gemeldet.

Google behebt am Patch Tuesday Schwachstellen in Chrome

Google hat sich dem Reigen angeschlossen und ein Google Chrome-Update geliefert, das 38 Schwachstellen behebt, darunter mindestens eine kritische und viele hohe CVEs (Chrome 84.0.4147.89) Aus Sicht von Ivanti sollten Sie in diesem Monat ein Update für Chrome und Java mit hoher Priorität behandeln.

Der vierte Patch Tuesday in Folge mit über 100 CVEs

Wed, 10 Jun 2020 10:44:31 Z

Microsoft behebt am Patch Tuesday im Juni 129 Common Vulnerabilities and Exposures – damit ist der Juni der vierte Patch Tuesday mit mehr als 100 CVEs in Folge. Die gute Nachricht: Es gibt keine öffentlich bekannt gemachten oder ausgenutzten CVEs, um die Sie sich kümmern müssten.

Die nächste gute Nachricht ist, dass 98 der CVEs durch die Bereitstellung von Updates des Betriebssystems und des Browsers behoben wurden. Die restlichen 31 verteilen sich auf Office, SharePoint, Defender, Endpoint Protection und Entwickler-Tools wie Visual Studio, ChakraCore und Azure Dev Ops. Insgesamt 11 CVEs wurden zum Patch Tuesday im Juni als kritisch eingestuft. Adobe hat diesen Patch Tuesday zur Veröffentlichung eines Sicherheitsupdates für eine kritische CVE in Flash Player genutzt. Stellen Sie also sicher, dass Sie diese Updates für den Juni Patch Tuesday auf dem Zettel haben.

US Homeland Security meldet sich am Patch Tuesday zu Wort

Eine Empfehlung des US-CERT (United States Computer Emergency Readiness Team) weist zum Patch Tuesday im Juni auf die im März 2020 geschlossene CVE-2020-0796 hin. Die Schwachstelle wurde bereits vor dem Update zum März Patch Tuesday öffentlich gemacht. Nun gibt es funktionale Proof-of-Concept-Codebeispiele, mit denen Angreifer die Schwachstelle in ungepatchten Systemen ausnutzen können. Die CVE wurde in Windows 10 1903 und späteren Systemen in einer aktualisierten Version von SMBv3 eingeführt. Stellen Sie daher sicher, dass das Betriebssystem-Update vom März Patch Tuesday und weitere Updates für Windows 10 1903 und dessen Nachfolgesysteme ausgerollt sind, um die Sicherheitslücke zu schließen. Einschließlich des Juni-Updates enthielten die letzten vier Betriebssystem-Updates die Korrektur dieser CVE.

RAND-Report zeigt: Zeit ist im Patch Management der entscheidende Faktor

Die Empfehlung des US-CERT erinnert an einige interessante Statistiken über die Geschwindigkeit in der Bedrohungsakteure funktionale Exploits entwickeln, sowie über deren durchschnittliche Haltbarkeit. Einem RAND-Report zufolge beträgt die durchschnittliche Zeit zur Ausnutzung einer Schwachstelle 22 Tage. Im Jahr 2019 erhielten wir einen interessanten Einblick in diesen Prozess, als BlueKeep (CVE-2019-0708) angekündigt wurde. Unter den Sicherheitsforschern entbrannte ein öffentlicher Wettlauf um die Ausnutzung des nächsten "WannaCry". Das Update für BlueKeep wurde am 14. Mai 2019 veröffentlicht. Nur 14 Tage später, am 28. Mai 2019, wurden von mehreren unabhängigen Forschungsteams funktionelle Exploits produziert. Eine weitere interessante Aussage aus dem RAND-Report ist, dass die durchschnittliche Haltbarkeit eines Exploits etwa sieben Jahre beträgt. Beweise dafür finden Sie in einem von Recorded Future veröffentlichten Bericht über die Top 10 der im Jahr 2019 ausgenutzten Schwachstellen. Viele der Schwachstellen in der Top-10-Liste sind zwei bis drei Jahre alt, aber auch CVE-2015-2419 und CVE-2012-0158 haben es auf die Liste geschafft.

Patch Management im Home Office bleibt zum Juni Patch Tuesday eine Herausforderung

Die Verlagerung zur Remote-Arbeit in den vergangenen Monaten erschwerte es Unternehmen, mit einer konsistenten Bereitstellung von Patches auf dem aktuellen Sicherheits-Stand zu bleiben. In vielen Unternehmen kommen Patch-Management-Lösungen zum Einsatz, die für Updates auf VPN-Zugängen basieren. Um das Unternehmensnetz zu entlasten, sollten Sie Lösungen in Betracht ziehen, mit denen Software-Updates ohne die Notwendigkeit eines VPN-Tunnels verwaltet werden können.

Bleiben Sie bei Windows 10 up to date

Lassen Sie uns zum Abschluss dieses Patch Tuesdays einen Blick darauf werfen, wie es mit Windows 10 2004 weitergeht. Der neueste Windows-Zweig ist seit einem Monat verfügbar und es wurden bereits eine Reihe von Problemen gemeldet. Sie finden eine umfassende Liste mit aktuelle bekannten und gelösten Problemen auf docs.microsoft.com.

Der zweite Patch Tuesday im Corona-Shutdown

Wed, 13 May 2020 14:14:08 Z

Mit dem Patch Tuesday im Mai stehen Unternehmen erneut vor der Herausforderung die Patches Remote auszurollen. Ivanti empfiehlt die Kriterien für die Priorisierung von CVEs zu erweitern.

Wie gewohnt starten wir den Patch Tuesday in Redmond: Microsoft veröffentlicht und behebt insgesamt 111 CVEs, von denen 16 als kritisch eingestuft werden. Diesen Monat gibt es keine bereits veröffentlichten oder ausgenutzten Schwachstellen. Neben den regulären Updates für das Betriebssystem, Browser, Office und SharePoint, hat Microsoft zum Patch Tuesday im Mai auch Updates für .NET Framework, .NET Core, Visual Studio, Power BI, Windows Defender und Microsoft Dynamics im Gepäck.

Mai Patch Tuesday: Kritische Schwachstellen sind nicht zwangsläufig die dringlichsten

Die meisten kritischen Sicherheitslücken an diesem Patch Tuesday werden durch die Updates für Betriebssystem und Browser behoben. Besondere Beachtung sollten Sie den vier kritische Sicherheitslücken in SharePoint und einer in Visual Studio schenken. Zehn der 111 CVEs an diesem Patch Tuesday trugen die Exploit-Bewertung 1. Dies bedeutet, dass eine Ausnutzung dieser Schwachstelle als wahrscheinlich gilt. Bemerkenswert und oft übersehen: Sieben der zehn CVEs mit einem höheren Risiko der Ausnutzung werden nur als wichtig eingestuft. Es ist gängige Praxis, die kritischen Schwachstellen als die dringlichsten zu behandeln. Doch viele der Schwachstellen, die letztendlich ausgenutzt werden, wurden zuvor lediglich als wichtig bewertet.

Stellen Sie Ihre Risikoparameter zum Patch Tuesday auf den Prüfstand

Nutzen Sie also den Patch Tuesday im Mai dazu, Ihre Parameter für die Priorisierung von CVEs einer Neubewertung zu unterziehen. Wenn sich diese auf die Risikobewertung des Anbieters oder sogar CVSS-Punktzahlen über einem bestimmten Niveau erschöpft, sollten Sie Ihre Kennzahlen neu bewerten. Beziehen Sie weitere Risikometriken ein, um Ihren Priorisierungsprozess zu erweitern, wie z.B. öffentlich bekannt gegeben, ausgenutzt (offensichtlich) und das Exploitability Assessment von Microsoft.

Vorbedingung für Microsoft ESU Nutzer

Für Nutzer einer Microsoft ESU für eine erweiterte Abdeckung für Windows 7, Server 2008 oder Server 2008 R2, gibt es an diesem Patch Tuesday eine Vorbedingung zu beachten. Bevor die Updates des Patch Tuesdays ausgerollt werden können, müssen die neuen Servicing Stack Updates (SSUs) bereitgestellt werden.

Patch Tuesday Updates von Adobe

Die Acrobat- und Reader-Updates von Adobe am Mai Patch Tuesday beheben 24 eindeutige CVEs, von denen 12 als kritisch eingestuft werden. Auch in der Version von Adobe gibt es keine öffentlich bekannt gemachten oder ausgenutzten Sicherheitslücken. Das Adobe Flash Player-Update ist in diesem Monat nicht sicherheitsrelevant.

Prioritäten für den Patch Tuesday im Mai:

Windows OS
Web-Browser
Office und vor allem SharePoint
Adobe Acrobat und Reader

Neubewertung der Kriterien für die Priorisierung von CVEs. Erfassen Sie die richtigen Risikokennzahlen für eine effektive Priorisierung?

Microsoft mit Frühjahrsputz zum Patch Tuesday im April

Tue, 21 Apr 2020 23:00:01 Z

Microsoft schließt zum Patch Tuesday 113 Schwachstellen und CVEs, von denen 19 als kritisch eingestuft werden. Oracle nutzt den Patch Tuesday im April für sein vierteljährliches Critical Patch Update.

Der Frühling ist traditionell die Zeit des Großreinemachens und ganz offensichtlich hat diese Stimmung auch Redmond erfasst. Die Updates zum Patch Tuesday im April umfassen drei Zero-Day-Schwachstellen und zwei allgemeine Veröffentlichungen. Alle drei Zero-Day- Schwachstellen betreffen die Versionen Windows 7, Server 2008 und Server 2008 R2. Laufen bei Ihnen immer noch diese Versionen des Windows-Betriebssystems? Dann wird es spätestens an diesem Patch Tuesday Zeit, sich mit dem Support für Extended Security Updates (ESU) zu befassen.

Insgesamt sind die Updates von Microsoft zum Patch Tuesday ein echter Rundumschlag und betreffen Windows, Internet Explorer, Edge und Edge (Chromium), Microsoft Office, SharePoint, Windows Defender, Visual Studio, Microsoft Dynamics, Microsoft Apps für Android und Mac.

Die Zero-Day-Schwachstellen verdienen am Patch Tuesday im April eine besondere Betrachtung:

Patch Tuesday im April schließt kritische CVEs in Adobe Font Manager Library

Microsoft schließt zum Patch Tuesday zwei kritische Sicherheitslücken (CVE-2020-1020 und CVE-2020-0938) in der Adobe Font Manager Library, die bereits aktiv ausgenutzt werden. CVE-2020-1020 wurde ebenfalls bereits öffentlich gemacht, was die Wahrscheinlichkeit von Angriffen deutlich erhöht. Die Schwachstelle ermöglicht es, Code per Fernzugriff auszuführen und Programme zu installieren, Daten anzuzeigen, zu ändern oder zu löschen sowie neue Konten mit vollen Administratorrechten zu erstellen. Angriffe über diese CVE laufen über den Nutzer, etwa über ein imitiertes Dokument zur Dateneingabe, und können über das Windows Vorschaufenster ausgenutzt werden.

Patch Tuesday April bringt Update für Windows Kernel

Microsoft hat den Patch Tuesday im April außerdem dazu genutzt, eine wichtige Sicherheitslücke im Windows-Kernel (CVE-2020-1027) zu beheben, über die sich Privilegien erhalten lassen. Sie nutzt dabei die Art und Weise aus, wie der Windows-Kernel mit Objekten im Arbeitsspeicher umgeht. Die CVE erlaubt dabei, die Berechtigungen dieser Objekte zu erhöhen und die Kontrolle über das betroffene System zu übernehmen. Angreifer benötigen dazu eine lokale Authentifizierung, um eine speziell gestaltete Anwendung auszuführen.

Patch Tuesday Update für Microsoft OneDrive

Ebenfalls betroffen ist an diesem Patch Tuesday der Filehosting-Dienst OneDrive. Die behobene CVE-2020-0935 ist ebenfalls bereits öffentlich und auch hier geht es im Kern um die Ausführung einer gefälschten Anwendung, um die Kontrolle zu übernehmen. Die Update-Funktion von OneDrive überprüft und aktualisiert die OneDrive-Binärdatei regelmäßig, so dass die meisten Kunden bereits vor dieser Schwachstelle geschützt sind.

Oracle veröffentlicht am Patch Tuesday vierteljährliches Critical Patch Update

Oracle nutzt den Patch Tuesday im April zur Veröffentlichung seines vierteljährlichen Critical Patch Updates (CPU). Diese CPU behebt 405 neue Sicherheitslücken in mehreren Produkten einschließlich Java SE.

Ivanti empfiehlt IT-Teams in diesen Monat, sich auf das Windows-Betriebssystem und Browser-Updates sowie Oracle Java als oberste Priorität konzentrieren.

Patch Tuesday im März bringt Updates für Windows, Browser und Office

Thu, 12 Mar 2020 16:06:35 Z

Zum Patch Tuesday im März hat Microsoft 115 verschiedene Schwachstellen und Gefahrenpotentiale (vulnerabilities and exposures, CVEs) behoben, von denen 26 als kritisch eingestuft wurden. Die gute Nachricht zum Patch Tuesday: Es gibt keine bekannten ausgenutzten Schwachstellen.

In diesem Monat gibt es Patches für Windows, Edge (HTML und Chromium), ChakraCore, Internet Explorer, Microsoft Exchange Server, Microsoft Office, Office Services und Webanwendungen, Azure DevOps, Windows Defender, Visual Studio, Open Source Software, Azure und Microsoft Dynamics.

Fokus am Patch Tuesday liegt auf Windows-Betriebssystem und Browser

Die große Mehrheit der CVEs liegt in diesem Monat mit 79 CVEs im Windows-Betriebssystem und im Browser (18 CVEs).

Microsoft hat für die meisten Windows-Betriebssystem-Versionen Service-Stack-Updates veröffentlicht. Die einzigen Ausnahmen sind Windows 10 Version 1703, Server 2008 und Windows 7 2008 R2.

Unsicheren Remote Desktop Connection Manager jetzt austauschen

Microsoft hat an diesem Patch Tuesday eine Schwachstelle für den Remote Desktop Connection Manager (CVE-2020-0765) gemeldet. Allerdings ist nicht geplant, ein Update zur Behebung des Problems zu veröffentlichen. Denn dieses Produkt ist veraltet und gilt als überholt. Die Handlungsempfehlung am Patch Tuesday lautet daher, große Vorsicht walten zu lassen, wenn Sie Remote Desktop Connection Manager weiterhin verwenden. Allerdings empfiehlt Microsoft, jetzt auf Remote Desktop-Clients mit aktuellem Support zu wechseln.

Die Gefahrenstellen im OS im Detail

Microsoft hat zum Patch Tuesday im März mehrere Schwachstellen bei der Offenlegung von Informationen im Windows-Betriebssystem in Komponenten wie GDI, Windows Graphics Component, Win32k, Windows Modules Installer Service, Windows Network Driver Interface Specification und Connected User Experiences and Telemetry Service behoben. Über diese Schwachstellen könnten Angreifer Daten aus dem Dateisystem, aus nicht initialisiertem Speicher oder sogar aus Speicherinhalten im Kernelbereich von einem User-Mode-Prozess auslesen. Einige dieser Schwachstellen könnten es einem Angreifer sogar ermöglichen, Informationen zu sammeln, mit denen die Adressierung des Speichers vorhersagbar ist.

Eine Sicherheitslücke bei der Remotecode-Ausführung in Microsoft Word (CVE-2020-0852) lässt sich über den Vorschaubereich in Outlook ausnutzen, wodurch dieser zu einem interessanteren Ziel für Angreifer werden kann.

Firefox-Schwachstellen jetzt patchen

Mozilla hat am Patch Tuesday Updates für Firefox und Firefox ESR veröffentlicht, die insgesamt 12 verschiedene CVEs beseitigen. Beide werden von Mozilla als hoch eingestuft, das ist nur eine Stufe unter der maximalen Stufe kritisch. Die schlimmste Schwachstelle könnte die Ausführung von beliebigem, willkürlichem Code zulassen.

Ivanti empfiehlt in diesem Monat allen IT-Verantwortlichen: Konzentrieren Sie sich an diesem Patch Tuesday auf die Updates des Windows-Betriebssystems und des Browsers. Außerdem haben die Updates des Office-Pakets oberste Priorität.

Patch Tuesday Februar: Eine Atempause für die IT

Thu, 13 Feb 2020 13:42:17 Z

Microsoft behebt zum Patch Tuesday im Februar 99 CVEs. Die gute Nachricht: Der Großteil wird mit wenigen Microsoft-Updates behoben, die mit der Aktualisierung des Betriebssystems ausgeliefert werden. Neben Microsoft gibt es zum Patch Tuesday auch Updates von Adobe und Mozilla.

Im Schnitt beheben die Windows Betriebssystem-Updates zum Patch Tuesday bereits die Hälfte der 99 bekannten Sicherheitslücken. Bei Windows 10 sind es in Verbindung mit IE und Edge sogar 88 CVEs. Sie sollten den Patch Tuesday daher vor allem nutzen zu prüfen welche der CVEs Sie mit besonderer Dringlichkeit behandeln müssen.

Der Patch Tuesday wartet mit einer Zero-Day Schwachstelle auf (CVE-2020-0674), die erstmals im letzten Monat mit einem Sicherheitshinweis (ADV200001) versehen wurde. Fünf der CVEs (einschließlich des Zero-Day) wurden öffentlich bekannt gegeben. Angreifern stehen somit genügend Informationen zur Verfügung herauszufinden, wie sie ausgenutzt werden können. Durch die Aktualisierung des Betriebssystems oder der Browser mit ein paar Patches pro System können Sie den Großteil des Risikos an diesem Patch Tuesday ausräumen.

Die gute Nachricht zum Patch Tuesday – wenig Arbeit für die IT!

Die wirklich gute Nachricht bei all dem ist, dass die 99 CVEs an diesem Patch Tuesday nicht viel zusätzliche Arbeit für die Administratoren bedeuten. Die regulären Updates gelten weiterhin. Betriebssystem, Browser und Office werden die meisten Ihrer Schwachstellen von der Microsoft-Seite aus beheben. Lediglich Administratoren, die sich um SQL und Exchange kümmern, erhalten diesen Monat ein wenig zusätzliche Arbeit, da beide Produkte in den veröffentlichten Updates enthalten sind.

Zwei Versionen von Microsoft Edge

Im Februar 2020 gibt es die ersten Sicherheitsupdates für die neue Edge-Chromium-Browser-Edition! Es existieren nun zwei Editionen von Edge - die in Windows 10 integrierte HTML-Version und die neue Chromium-Edition, die Sie auf Wunsch installieren können.

Microsoft kündigt am Patch Tuesday erweiterten Support an

Eine weitere bemerkenswerte Nachricht an diesem Patch Tuesday – nennen wir es Diskrepanz – ist die Ankündigung erweiterten Supportes. Windows 7, Server 2008 und 2008 R2 ESU-Updates werden noch öffentlich dokumentiert und sind im Standard-WSUS-Katalog aufgeführt. Dies bedeutet allerdings nicht, dass jeder Zugang hat. Sie benötigen nach wie vor eine ESU bei Microsoft, um die spezifischen Kriterien für die kostenlosen Optionen zu erfüllen, die Microsoft in den Windows 7 ESU-FAQ dargelegt hat. Außerdem gibt es einen ESU-Lizenzvorbereitungs-Patch, der Folgendes besagt:

"Dieses Update bietet den vollständigen Satz an Lizenzierungsänderungen, um die Installation des ESU MAK-Zusatzschlüssels zu ermöglichen, der einer der Schritte zur Vorbereitung der Installation von erweiterten Sicherheitsupdates ist. (Für die zu befolgenden Schritte siehe KB4522133). Nach der Installation dieses Updates ist ein Neustart erforderlich."

Dieser zusätzliche Patch zur Lizenzvorbereitung bedeutet, dass Sie zum Patch Tuesday vier Dinge bezüglich Ihrer ESU-Ziele überprüfen müssen, um sicherzustellen, dass Sie in der Lage sind, ohne Probleme zu patchen. Sie müssen sicherstellen, dass die SHA-2-Support-Updates angewendet werden, dass Sie die Voraussetzungen für das Service Stack-Update erfüllen, dass Sie diesen neuen Patch zur Lizenzvorbereitung auf die Systeme übertragen haben und dass Sie Ihren ESU-Lizenzschlüssel installiert haben.

Patch Tuesday News von Adobe und Mozilla

Adobe hat an diesem Patch Tuesday 17 CVEs für Adobe Reader und Acrobat (APSB20-05) und einen CVE für Flash Player (APSB20-06) behoben. Damit bringt der Patch Tuesday im Februar das erste Sicherheitsupdate für Flash Player im Jahr 2020 und auch das erste seit September 2019. Das Patch Tuesday Update für Adobe Acrobat Reader umfasst 12 kritische CVEs, und auch die CVE für Flash Player gilt als kritisch. Wir empfehlen, diesen beiden Updates an diesem Patch Tuesday Vorrang einzuräumen. Microsofts Veröffentlichung von Flash Player deckt die neuesten Ausgaben von Windows ab. Das Flash Player-Update wird nur unter Windows 8.1 und Server 2012 und höher unterstützt.

Mozilla hat Updates für Firefox, Firefox ESR und Thunderbird veröffentlicht und löst 6, 5 bzw. 7 CVEs auf. Die beiden Firefox-Aktualisierungen werden von Mozilla mit einem hohen Schweregrad und die Thunderbird-Updates mit einem moderaten Schweregrad bewertet. Diese Updates sind zwar nicht dringend, aber Sie sollten sie im Rahmen Ihrer normalen monatlichen Wartungsarbeiten durchführen lassen.

Patch Tuesday Januar: Letzter Patch für Windows 7

Mon, 20 Jan 2020 14:24:58 Z

Abgesehen vom Ende von Windows 7 und einer großen Krypto-Schwachstelle, startet der Patch Tuesday im Januar ruhig ins neue Jahr.

Die wichtigste Nachricht an diesem Patch Tuesday ist die letzte öffentliche Patch-Veröffentlichung für Windows 7, Server 2008 und Server 2008 R2. Ansonsten steht Ihnen nur noch der Patch für eine große Krypto-Schwachstellen bevor und ein paar kleinere Updates von Microsoft. Diese wurden für Windows, Internet Explorer, Office, .Net und eine Vielzahl von Entwickler-Tools veröffentlicht. Insgesamt beheben sie 49 verschiedene Sicherheitslücken. Besonders interessant ist dabei die CVE-2020-0601, die Microsoft-Krypto-Schwachstelle, die bereits vor der Verfügbarkeit des Updates für Schlagzeilen sorgte. Die zweite Schwachstelle, die wir in den Blick nehmen ist CVE-2020-0620, die etwas niedriger eingestuft wird, aber dennoch beträchtliche Risiken birgt.

Fälschung von Code-Signatur-Zertifikaten möglich

Was Sie diesen Patch Tuesday dringend beachten sollten, ist die CVE-2020-0601. Sie betrifft nur Windows 10 und verwandte Serververzweigungen. Die Sicherheitslücke ermöglicht es Angreifern, ein Code-Signatur-Zertifikat auf einer Anwendung oder Datei zu fälschen. Wenn ein Angreifer ein System so austricksen kann, dass es glaubt, eine Datei sei ordnungsgemäß signiert, kann er viele Sicherheitsmaßnahmen umgehen. Die Sicherheitsanfälligkeit wird von Microsoft nur als Level „wichtig“ eingestuft, aber es gibt viele Beispiele für CVEs vergangener Patch Tuesdays mit dieser Sicherheitsstufe, die in der Praxis ausgenutzt werden. Aufgrund der Art dieser Schwachstelle raten wir Ihnen dringend dazu, diese am Patch Tuesday mit höchster Priorität zu behandeln und umgehend zu beheben.

Manipulierter Dateiumgang von Microsoft Cryptographic Services

CVE-2020-0620 betrifft Windows 7, Server 2008 und spätere Ausgaben von Windows. Oder anders gesagt: so ziemlich alles, was Patches derzeit abdecken. Durch diese CVE wird es einem Angreifer möglich, die Art und Weise zu manipulieren, wie Microsoft Cryptographic Services mit Dateien umgeht, also wie das System die Funktionen zum Verschlüsseln und Entschlüsseln von Daten ausführt.

Der Angreifer benötigt hierfür lediglich Ausführungsrechte auf dem System des Opfers. Aber die Mühe würde sich für den Cyber-Kriminellen lohnen, denn durch die Ausnutzung dieser Sicherheitslücke kann er seine Privilegstufe erhöhen und somit ein Vertrauensmodell umgehen, das viele Sicherheitstechnologien verwenden. Sich Ausführungsrechte zu verschaffen, ist für die meisten Hacker ein relativ einfaches Unterfangen. Auch hier ist unsere Empfehlung, dass Sie diese Patch-Tuesday-Schwachstelle mit hoher Priorität behandeln und umgehend beheben.

Der letzte Patch Tuesday für Windows 7, Server 2008 und Server 2008 R2

Mit diesen Patch Tuesday erhalten Windows 7, Server 2008 und Server 2008 R2 ihre letzten öffentlichen Patches. Wenn Sie diese Systeme dennoch weiterhin nutzen, empfiehlt Ivanti Ihnen folgendes zu beachten und vorzubereiten:

Ist Ihre ESU-Vereinbarung abgeschlossen?
Sind all Ihre Systeme, die weiterhin unterstützt werden, mit dem ESU-Schlüssel konfiguriert?
Wird das neueste Service-Stack-Update auf Ihre Systeme angewandt? (Microsoft hat gerade mit der Januar-Veröffentlichung eine aktualisierte SSU für diese Plattformen herausgegeben. Sie könnte eine Voraussetzung für die Fortsetzung des Supports sein)
Wird das SHA2-Cert-Update angewendet?

Ist keine ESU geplant, sollten Sie Schritte zur Risikominimierung einleiten:

Updaten Sie alle Systeme auf den Patch Level des Januar Patch Tuesdays 2020.
Virtualisieren Sie die Arbeitslasten und beschränken Sie den Systemzugriff auf das notwendige Personal.
Kappen Sie den direkten Internetzugang dieser Systeme.
Isolieren Sie diese Systeme in ein Netzwerksegment, das von anderen Systemen getrennt ist.
Führen Sie zusätzliche Sicherheitskontrollen für diese Systeme ein: Sperren Sie Richtlinien für die Anwendungskontrolle. Das verhindert, dass Nutzer unerwünschte Anwendungen ausführen – etwa solche, die auf dem alten Betriebssystem basieren.

Patch Tuesday lässt wenig Zeit für Besinnlichkeit

Thu, 12 Dec 2019 14:02:10 Z

Bevor es in die Weihnachtsfeiertage geht, erwartet uns noch ein letzter Patch Tuesday. Diesmal wird Adobe Reader wieder sicherer und Microsoft läutet einen Abschied ein.

Halbzeit im Adventskalender – und hinter dem 12. Türchen verbirgt sich der Rückblick auf den letzten Patch Tuesday des Jahres. Für alle Fans von Windows 7, Server 2008 und Server 2008 R2 sind das allerdings keine guten Nachrichten, denn der Support wird eingestellt. Außerdem hat Microsoft Details zu einer XP SP3-Schwachstelle (CVE-2019-1489) veröffentlicht, aber dazu keinen Patch bereitgestellt. Ansonsten gibt es von Microsoft aber gute Nachrichten, denn zum Dezember Patch Tuesday wurden 36 Schwachstellen behoben, von denen bereits eine aktiv für Angriffe ausgenutzt wird (CVE-2019-1458).

Google bringt zum Patch Tuesday ein Update für Chrome, welches 51 Schwachstellen behebt. Aber das am stärksten betroffene Programm an diesem Patch Tuesday ist ohne Zweifel Adobe Reader mit ganzen 21 behobenen Schwachstellen. Außerdem gibt es eine neue Version des Adobe Flash Players – allerdings ohne sicherheitsrelevante Neuerungen.

Adobe schließt zum Patch Tuesday kritische Sicherheitslücken

Adobe brachte Updates für Adobe Acrobat Reader, Flash Player, Photoshop, Brackets und ColdFusion heraus. Dabei ist aber das Flash-Update nicht wirklich sicherheitsrelevant, die von Photoshop und Brackets jedoch schon. Diese lösen drei CVEs mit Priorität 3. ColdFusion behebt einen CVE und wird von Adobe mit Priorität 2 eingestuft.

Aber am spannesten dürfte an diesem Patch Tuesday Acrobat Reader sein. Hier werden ganze 21 CVEs gestoppt. Davon sind 14 kritisch. Der schwerste davon erlaubt eine beliebige Ausführung von Code auf dem betroffenen System.

Microsoft veröffentlicht verwirrende CVE – die wohl bereits ausgenutzt wird

Microsoft hat einen CVE für Windows XP SP3 (CVE-2019-1489) veröffentlicht. Hier wird im Bulletin dokumentiert, dass Windows XP keinen Support mehr hat. Die Art und Weise, wie dieser CVE dokumentiert wird, ist aber etwas irreführend. Denn das “Microsoft Exploitability Assessment for Latest Software Release and Older Software Release” ist 0. Dieser Wert bedeutet normalerweise, dass die Schwachstelle ausgenutzt wird. Doch diesen Status setzt das Bulletin auf "Nein".

Beim Zero-Day dieses Patch Tuesdays (CVE-2019-1458) ist das Exploitability Assessment for Older Software Release "0 - Exploitation Detected". Dies weist darauf hin, dass auch die oben genannte Schwachstelle bereits für Attacken genutzt wird.

Der Abschied-Patch von Windows 7 und das Problem mit der Bedrohungseinstufung

Microsoft hat auch Servicing-Stack-Updates für Windows 7, Server 2008, Server 2008 R2 und Server 2012 zum Patch Tuesday im Dezember veröffentlicht. Außerdem kümmert sich das Unternehmen um den bereits erwähnten CVE-2019-1458. Hierbei handelt es sich um eine Schwachstelle bei Win32k, die zu einer Berechtigungserweiterung im Windows-Betriebssystem führt. Die Schwachstelle wird nur als wichtig eingestuft und hat einen CVSSv3-Basiswert von 7,8.

Damit handelt es sich um eine weitere von vielen Schwachstellen in diesem Jahr, die nicht als kritisch eingestuft wurden, obwohl sie für Angriffe genutzt werden. Das sollten Sie an diesem Patch Tuesday im Hinterkopf behalten, wenn Sie beim Schwachstellenmanagement die Bedeutung des Anbieters oder den CVSS-Score als Kriterium für die Priorisierung der Aktualisierung verwenden. Dann sollten Sie Ihre Kriterien neu bewerten, um sicherzustellen, dass ausgenutzte Schwachstellen wie diese nicht in Ihrer Priorisierungsliste untergehen.

Spear-Phishing bei Visual Studio zum Patch Tuesday verhindern

Am Patch Tuesday in diesem Monat wurden auch Schwachstellen in Visual Studio geschlossen. Die CVEs wirken sich alle auf die Git-Funktionalität aus. Damit können Entwickler ein Repository aufrufen, um ein bestimmtes Modul in das Projekt zu integrieren. In diesen Szenarien müsste ein Angreifer einen Entwickler davon überzeugen, ein bösartiges Repository zu klonen. Dies mag schwierig sein, aber dafür erwartet die Hacker eine lukrative Belohnung: nämlich eine Spear-Phishing-Eskalation bei einer Entwickler-Gruppe.

Also ganz hypothetisch könnten Angreifer einen Softwareanbieter oder Dienstleister ins Visier nehmen. Wenn sie genug über die Plattform des Anbieters wissen und Zugriff auf eine Liste von E-Mail-Adressen von Entwicklern haben, könnten sie eine Spear-Phishing-Kampagne erstellen, um die Benutzer davon zu überzeugen, auf ihr bösartiges Repository zuzugreifen. Es geschieht sehr häufig, dass Entwickler Code austauschen oder jemanden bitten, ein Problem zu beheben. Wenn sich ein unvorsichtiger Entwickler mit dem gefährlichen Repository verbindet, erhält der Angreifer die Kontrolle über die gesamte Entwicklungsumgebung des Unternehmens.

Warnung zum Patch Tuesday: Drittanbieter geraten ins Visier

Auch Drittanbieter geraten vermehrt in das Fadenkreuz der Cyberkriminellen. Denn sie können mit einem koordinierten Angriff auf den Anbieter viele Ziele gleichzeitig erreichen. Ein alarmierendes Beispiel: die jüngsten Ransomware-Angriffe im Gesundheitswesen und im Gastgewerbe. Hier waren Anbieter das Ziel, die viele kleine Unternehmen unterstützen. Diese Angriffe schaffen zahlreiche Opfer, um eine größere Gesamtsumme an Lösegeld zu erpressen. So nehmen auch Unternehmen Schaden, die alleine kein lohnendes Ziel abgeben würden.

Patch Tuesday legt im November den Jahres-Endspurt ein

Wed, 20 Nov 2019 18:33:18 Z

Microsoft hat Updates für Windows, Internet Explorer und Edge-Browser, Microsoft Office und Office 365, Exchange Server, ChakraCore, Secure Boot, Visual Studio und Azure Stack veröffentlicht. Insgesamt hat Microsoft an diesem Patch Tuesday 75 Schwachstellen behoben, darunter eine Zero-Day IE- (CVE-2019-1429) und eine Excel-Schwachstelle (CVE-2019-1457). Patch Tuesday offenbart kritische Sicherheitslücke beim Internet Explorer Der Internet Explorer steht an diesem Patch Tuesday wieder ganz oben auf der Patch-Liste. Hier wurde eine kritische Sicherheitslücke (CVE-2019-1429) behoben, die es Hackern ermöglicht aus der Distanz beliebigen Code im Kontext des aktuellen Benutzers ausführen. Die Schwachstelle gewährt allerdings nur gleichberechtigten Zugriff auf den aktiven Benutzerbereich. Mit einer differenzierten und ordnungsgemäßen Berechtigungsverwaltung erschweren Sie es Angreifern, die volle Kontrolle über das System zu übernehmen. Cyberkriminelle könnten eine Website oder ein ActiveX-Steuerelement, das mit "sicher zur Initialisierung" gekennzeichnet ist, in eine Anwendung oder ein Office-Dokument einbetten, das die IE-Rendering-Engine hostet. Sicherheitsschulungen zu gängigen Phishing- und anderen benutzerorientierten Angriffsmethoden reduzieren das Risiko einer Ausnutzung dieser Schwachstelle. Da solche Angriffe bereits stattfinden, sollten Sie den Patch umgehend installieren. Dieser behebt die Schwachstelle vollständig. Noch ein Browser-Update zum Patch Tuesday: Google Chrome Das Aufregendste außerhalb von Microsoft ist bei diesem Patch Tuesday eindeutig das jüngste Google Chrome Zero-Day Update (CVE-2019-13720). In letzter Zeit scheinen Exploits bei Browsern im Trend zu sein. Im September gab es bereits einen Internet Explorer Zero-Day (CVE-2019-1367), gefolgt von einem Google

Chrome Zero-Day, der am 1. November veröffentlicht wurde sowie den oben genannten IE Zero-Day (CVE-2019-1429). Also nutzen Sie den Patch Tuesday, um Ihre Browser auf den neuesten Stand zu bringen! Das Chrome-Update (78.0.3904.87) behebt zwei Schwachstellen, von denen eine die bereits erwähnte CVE-2019-13720 ist. Bei dieser Schwachstelle handelt es sich um eine nachträgliche Ausnutzung der Speicherbeschädigung, die es einem Angreifer ermöglicht, bösartigen Code auszuführen – ähnlich wie beim Internet Explorer. Excel-Schwachstelle zum Patch Tuesday entdeckt Von den Browsern kommen wir nun zu den Tabellen. Microsoft hat die bereits bekannte Schwachstelle (CVE-2019-1457) in Excel behoben, mit der sich Sicherheitsfunktionen umgehen lassen. Ein Angreifer kann dadurch recht einfach ein Control in Excel-Arbeitsblätter einbetten, um ein Makro auszuführen. Noch gibt es keinen bekannten Fall, dass diese Schwachstelle ausgenutzt wird. Allerdings dürften aufgrund der Veröffentlichung der CVE Exploits in Entwicklung sein. Also dringend patchen! Adobe hat an diesem Patch Tuesday Prio 3 Adobe hat Sicherheitsupdates für Animate CC, Illustrator CC, Media Encoder und Bridge CC veröffentlicht, die insgesamt 11 Schwachstellen beheben. Alle sind mit Priorität 3 eingestuft. Microsoft Servicing Stack Updates Wenn Sie unseren Beitrag zum Oktober Patch Tuesday gelesen haben, erinnern Sie sich bestimmt an die breite Veröffentlichung von Microsoft Servicing Stack Updates (SSU). Gut, denn für November gibt es aktualisierte SSUs für alle Versionen außer Windows 10 1703. Wie bereits berichtet, werden die Update-Dienste unter Windows irgendwann zur Grund-Voraussetzung für zukünftige Updates auf den jeweiligen Systemen. Microsoft veröffentlicht die SSU in der Regel mindestens alle paar Monate, bevor die Änderungen vollständig in Kraft treten. Erwägen Sie, diesen Monat einen konservativen Ansatz zu wählen. Wir empfehlen: Machen Sie einige einfache Tests und sehen Sie, was im Dezember passiert, bevor Sie es mit ihrem SSU-Rollout übertreiben. Diese Termine sollten Sie sich zum Patch Tuesday vormerken Es gibt einige Windows-Endtermine, die Sie sowohl für diesen Monat als auch für Januar im Hinterkopf behalten sollten. Wenn Sie weiterhin mit Windows 7 oder Server 2008/2008 R2 arbeiten wollen, sollten Sie auch einige zusätzliche Details aus dem Microsoft Blogbeitrag vom 17. Oktober beachten. Dieser erklärt Ihnen, wie Sie Zugang zum verlängerten Support erhalten und sicherstellen, dass Ihre Systeme darauf vorbereitet sind. Windows 10 Branch 1803 in den Versionen Home, Pro und Pro für Workstations hat zum November Patch Tuesday sein letztes Sicherheitsupdate erhalten. Falls Sie mit Enterprise und Education Editionen arbeiten, haben Sie noch bis zum 10. November 2020 Zeit für den Übergang. Das nächste Windows-Enddatum ist dann der 8. Januar, wenn Windows 7 und Server 2008 und 2008 R2 ihr unvermeidliches Ende erreichen. Oder ist das etwa doch nicht das Ende? Für einige Fälle gibt es tatsächlich die

Möglichkeit, Updates für diese Plattformen gegen Gebühr oder sogar kostenlos durchzuführen. Lesen Sie die Details auch hier im Microsoft Blogbeitrag vom 17. Oktober. Darin erfahren Sie, wie Sie erweiterte Sicherheitsupdates für berechtigte Windows-Geräte erhalten. Haben Sie dies alles erledigt, können Sie beruhigt ins Weihnachtsshopping starten – zumindest bis zum letzten Patch Tuesday des Jahres im Dezember.

Der Patch Tuesday im Oktober: Die Ruhe vor dem Sturm?

Fri, 11 Oct 2019 13:24:30 Z

Wenn man vom IE-Zero-Day und seinen Druckproblemen absieht, verläuft der Patch Tuesday im Oktober relativ ruhig. Stellenweise fast schon zu ruhig.

Microsoft hat zum Patch Tuesday Updates für Microsoft Windows, die Browser Internet Explorer und Edge, Microsoft Office und Office 365, SQL Server sowie für einige Development Tools veröffentlicht. Darüber hinaus erhalten die meisten Windows-Betriebssysteme ein weiteres Service Stack Update. Microsoft hat insgesamt 59 Schwachstellen behoben, die noch nicht öffenlich bekannt waren. Man könnte also fast von einem ruhigen Patch Tuesday sprechen, wenn nicht die Angst vor dem IE-Zero-Day wäre.

IE-Zero-Day und die dazugehörigen Druckerprobleme

Vergessen Sie bei den Updates zum Patch Tuesday im Oktober auf keinen Fall IE-Zero-Day, das ursprünglich am 23. September veröffentlicht wurde. Microsoft hat das Internet-Explorer-Zero-Day (CVE-2019-1367) für Windows 10 durch kumulative Updates für 1903 bis 1703, Server 2019 und Server 2016 freigeschaltet. Allerdings müssen die Rollups für Systeme vor Windows 10 manuell heruntergeladen werden. Am 24. September wurden optionale kumulative Non-Security-Updates für Windows 10 und monatliche Rollup-Previews für Systeme vor Win10 veröffentlicht. Obwohl Microsoft dies nicht an die große Glocke gehängt hat, wurde die IE Zero Day Fix in diese Non-Security-Updates aufgenommen. Am dritten Oktober folgten neue Sicherheitsupdates, kumulative Updates des IE und eine neue Version der monatlichen Rollup-Updates. Diese beheben die Druckprobleme, die in Verbindung mit den Security-Updates häufig gemeldet wurden. Nach dieser Update-Runde gab es zwar immer noch Berichte über Druckerprobleme, aber pünktlich zu den Veröffentlichungen am Patch Tuesday am 8. Oktober wurde diese zusätzliche Version dem IE CVE hinzugefügt.

Die Sicherheitsupdates beheben ein bekanntes Druckerproblem, das nach der Installation eines der Sicherheitsupdates, kumulativen Updates des IE oder monatlichen Rollups vom 23. September oder 3. Oktober auftrat. Wenn Sie die betreffenden Updates bereits installiert haben, sollten Sie den Patch Tuesday nutzen, um die aktuellen Sicherheitsupdates für Oktober zu installieren und damit alle potenziellen Druckprobleme zu beheben.

Inventur zum Patch Tuesday: Adobe Flash Player entfernen

Für Adobe Flash Player wurden bei diesem Patch Tuesday keine Updates veröffentlicht. Das ist jetzt bereits der dritte Patch Tuesday dieses Jahres, den Flash verstreichen lässt, ohne Sicherheitslücken zu schließen. Wenn Sie Flash nicht bereits aus Ihrer Umgebung entfernt haben, ist es ratsam, spätestens jetzt damit zu beginnen.

Microsoft zeigt sich zum Patch Tuesday solide

Microsoft ist da verlässlicher was den Patch Tuesday angeht: Das Unternehmen hat Servicing Stack Updates (ADV99000001) für alle aktuellen Systeme außer Windows 7, Server 2008 und Server 2008 R2 veröffentlicht. Die SSUs sind getrennt von den regelmäßigen, kumulativen und reinen Securityupdates, die von Microsoft veröffentlicht werden. Update-Services bei Windows werden zur Voraussetzung für zukünftige Updates beteiligter Systeme. Microsoft veröffentlicht die SSU in der Regel bereits ein paar Monate bevor die Änderungen vollständig in Kraft treten. In Anbetracht der Tatsache, dass Microsoft im September gerade einen vollständigen Satz an SSUs für alle Windows-Betriebssysteme veröffentlicht hat, gibt es einige weitreichende Änderungen, die auf den Weg gebracht wurden. Wir empfehlen, sich etwas Zeit zu nehmen, um diese SSUs zu prüfen und sich auf die Einführung vorzubereiten. Aber Sie sollten mit Vorsicht vorgehen, da alle SSUs bis auf zwei gerade ein weiteres Update erhalten haben. Außerdem könnte das Oktober-Set auch die SSUs vom September vollständig ersetzen, wenn Microsoft sie als Voraussetzung durchsetzt.

Außerdem gibt es im Oktober eine weitere Oracle-CPU-Version. Prüfen Sie also am 15. Oktober, ob neue Versionen von Oracle zur Verfügung stehen.

Der Patch Tuesday im September: Stellen Sie Ihre Prozesse auf den Prüfstand

Wed, 11 Sep 2019 13:25:34 Z

Wie der August bleibt auch der September in Sachen Updates ruhig. Das heißt aber nicht, dass die Angriffsgefahr sinkt – im Gegenteil. Deshalb sollten Unternehmen den Patch Tuesday dafür nutzen, ihre grundlegenden Sicherheitsprozesse zu beleuchten.

Zum Patch Tuesday in diesem Monat hat Microsoft insgesamt 79 CVEs geschlossen. Zwei von ihnen sind Zero Days, drei davon öffentlich bekannte Schwachstellen, die allesamt Windows-Betriebssysteme betreffen. Bei den beiden Zero Days können sich Angreifer Zugang zu erweiterten Nutzungsrechten verschaffen. Microsoft hat sie in Windows 10 Workstation und Server-Betriebssystemen sowie den älteren Betriebssystemen geschlossen. Die erste Zero-Day-Schwachstelle, CVE-2019-1215, befindet sich in der Winsock-Komponente und die zweite, CVE-2019-1214, im Treiber Windows Log Common File System.

Stack Updates zum Patch Tuesday

Microsoft passt seinen Prozess für Software-Updates weiter an und veröffentlicht zum Patch Tuesday Service Stack Updates für alle Betriebssysteme. Normalerweise beziehen sich diese nur auf einige Windows-Versionen. Insofern ist es ungewöhnlich, dass diesmal alle Betriebssysteme betroffen sind. Umso wichtiger ist es, dass Sie in Ihrem Unternehmen folgende Aspekte bei Stack Updates beachten: Sie werden zwar als kritisch eingestuft, schließen aber an sich keine Schwachstellen. Sie sind kein Teil der kumulativen Update-Kette. Stack Updates sind wichtige Aktualisierungen für das generelle Update-System von Microsoft im Betriebssystem. Die Änderungen sollten Sie zum Patch Tuesday trotzdem umsetzen, denn ohne aktuelle Service Stack Updates werden Sie die üblichen Windows Updates nicht durchführen können.

Die Sicherheits-Updates am Patch Tuesday

Microsoft stellt zum Patch Tuesday auch in diesem Monat die üblichen Aktualisierungen für Betriebssysteme und Anwendungen zur Verfügung. In den Betriebssystemen vor Windows 10 werden 37 CVEs geschlossen und 57 CVEs für die neuesten Windows-10-Updates. Ein weiteres Update schließt sieben CVEs in allen Versionen von SharePoint Server. Zudem stehen wichtige Updates für Office und Exchange Server bereit. Im Einklang mit dem üblichen zweimonatlichen Release-Rhythmus hat Microsoft auch Updates für .NET veröffentlicht. Diese Updates stehen jedoch nur für die 2012-Version und neuere Varianten von Betriebssystemen zur Verfügung.

Ransomware-Trends

Obwohl sich derzeit glücklicherweise wenig in Sachen Cyber-Angriffen tut, zeichnet sich in diesem Jahr dennoch ein Anstieg von Ransomware-Angriffen auf öffentliche Systeme ab. Ivanti-CISO Phil Richards gibt in diesem Blogbeitrag einen Überblick zur Art der Angriffe. Bei diesen handelt es sich um gezielte, präzise und schnelle Attacken, verbunden mit sehr hohen Lösegeldforderungen.

Sicherheitsappell zum Patch Tuesday

Regelmäßig gibt Ivanti zum monatlichen Patch Tuesday auch Update-Tipps. Die harte Realität ist aber: Manchmal genügen diese Maßnahmen nicht oder erfolgen schlicht zu spät. Deshalb sollten Sie sich diese grundlegenden, sicherheitsrelevanten Fragen stellen: Sind Sie wirklich darauf vorbereitet, angemessen auf Cyber-Angriffe zu reagieren? Verfügen Sie über Ressourcen zur Erkennung, Isolation und Eindämmung der Gefahren? Können Sie auf einen Recovery-Prozess inklusive Systemwiederherstellung oder -abbild und Datensicherungs-Backups zurückgreifen? Inwiefern sind Ihre PR-und Rechtsabteilungen eingebunden? Schließlich sollten Sie sicherstellen, dass Sie Schritte zur Behandlung von Rechts- und PR-Fragen einbeziehen. Es ist essenziell, dass alle Beteiligten wissen, wie und welche Informationen innerhalb und außerhalb Ihres Unternehmens ausgetauscht werden. Nehmen Sie den Patch Tuesday zum Anlass, Ihre Prozesse zu prüfen und anzupassen!

Patch Tuesday im August – Zeit für eine IT-Inventur!

Tue, 13 Aug 2019 22:19:45 Z

Nach der großen Update-Welle im Juli wirkt der Patch Tuesday im August übersichtlicher, zumindest was Microsoft betrifft. Ivanti rät: Das ist genau der richtige Zeitpunkt, die Patch-Gruppen zu aktualisieren und neue Geräte zuverlässig einzubinden. Adobe hat zum Patch Tuesday acht wichtige Updates veröffentlicht. Insbesondere Nutzer von Creative Cloud oder Experience Manager sollten schnell handeln.

Microsoft Betriebssystem-Updates mit Prio 1

Zum Patch Tuesday im August stellt Microsoft eine Reihe von Sicherheits-Updates für Betriebssysteme und Anwendungen zur Verfügung. Auf der Betriebssystemseite sind es 35 CVEs für Server 2008 und 78 CVEs für die neuesten Windows-10-Updates. Außerdem gibt es Updates für Office und SharePoint. Alle Betriebssystem-Updates sollten Sie wegen kritischen Schwachstellenbewertungen und der Möglichkeit der Remote-Code-Ausführung mit höchster Priorität behandeln.

In den letzten vier Wochen gab es viele RDP-Sicherheitslücken. Stellen Sie zum Patch Tuesday also sicher, dass diese Updates bald genutzt werden.

Patch Tuesday: Wurmangriffe ausschließen

Microsoft verweist über sein Response Center auf zwei Sicherheitslücken, die sich über einen Wurmangriff ohne Interaktion des Nutzers ausbreiten können. Für CVE-2019-1181 und -1182 stehen Patches bereit.

Eine weitere gefährliche Schwachstelle ist CVE-2019-9506 mit dem Titel Encryption Key Negotiation of Bluetooth Vulnerability, die einen CVSS-Score von 9,3 aufweist. Angreifer brauchen eine spezielle Hardware, erhalten aber über die Bluetooth-Reichweite drahtlosen Zugriff. Microsoft bietet zum Patch Tuesday ein Update zur Lösung der Schwachstelle, nur ist diese neue Funktionalität standardmäßig deaktiviert. Sie müssen die Funktionalität aktivieren, indem Sie ein Flag in der Registry setzen.

Insgesamt hat Microsoft zum Patch Tuesday 93 einzelne CVEs gelöst. Überraschenderweise gab es keine Zero-Days oder öffentlich bekannt gegebene Schwachstellen. Das war schon lange nicht mehr der Fall.

Wichtige Adobe Updates

Insgesamt acht Updates stellt Adobe zum Patch Tuesday bereit. Wenn Sie Nutzer von Creative Cloud oder Experience Manager sind, sollten Sie die Sichersheitswarnungen aufmerksam lesen, da mehrere der Lücken als kritisch eingestuft werden. Adobe hat auch Updates für Acrobat und Acrobat Reader mit Details unter APSB19-41 veröffentlicht. Dieses Update für Windows und MacOS behebt 76 Schwachstellen. Außerdem gibt es Updates für die Produktversionen Continuous, Classic 2015 und Classic 2017. Zusätzlich steht auch ein nicht sicherheitsrelevantes Update für Flash zur Verfügung.

Patch Tuesday – der richtige Anlass für eine IT-Inventur

An diesem Patch Tuesday bleibt den IT-Teams Luft für weitergehende Themen: Ivanti empfiehlt, die Patch-Gruppen auf den neuesten Stand zu bringen. IT-Systeme sind oft in feste Patch-Gruppen aufgeteilt, die monatlich abgearbeitet werden. Schnell wird dabei das IT-Gesamtbild innerhalb einer komplexen Organisation übersehen, in der sich IT-Geräte ständig verändern. Ohne kontinuierlichen Austausch im Unternehmen oder dynamische Einstellungen in den Patch-Produkten fallen IT-Systeme im Zweifel durch Ihr Patch-Raster. Die gute Nachricht dabei ist: die Patch-Tools haben bereits umfangreiche Erkennungsfunktionen und helfen dabei, die neuesten Systeme im Netzwerk zu identifizieren. Ebenso gibt es eine ganze Reihe von Netzwerk- und Systemwerkzeugen, die dabei unterstützen, alle Systeme aufzuspüren. Entscheidend ist dabei auch die enge Abstimmung mit dem Security Operations-Team. Die von ihnen verwendeten Schwachstellen-Scanner verfügen ebenfalls über eine integrierte Geräteerkennung. Damit stellen Sie sicher, dass alle Patch-Gruppen wirklich aktuell sind und Ihr Unternehmen kommende Sicherheitsangriffe schnell und umfassend abwehren kann.

Ivanti Patch Tuesday im Juli – Von Sommerloch bei Microsoft keine Spur

Thu, 11 Jul 2019 20:18:03 Z

Trotz der zwischenzeitlichen Hitzewelle ist von einem Sommerloch keine Spur. Vielmehr hat Microsoft einen wahren Update-Rundumschlag gestartet.

Insgesamt nimmt sich das Unternehmen zum Patch Tuesday 77 individuelle CVEs vor, darunter zwei Zero-Day-Schwachstellen mit bereits gemeldeten Attacken und sechs öffentlich bekannte Sicherheitslücken. Dafür gibt es Updates für Windows-OS, Office, .Net, SQL, VSTS und einen Hinweis für Microsoft Exchange Server. Zusätzlich stehen Updates für die Entwicklungsbinärdateien zur Verfügung: Azure IoT Edge, Azure Kubernetes Service, Azure Automation, Azure DevOps Server, ASP.Net Core, .Net Core und Chakra Core.

Beginnen wir die Patch Tuesday Analyse mit den bereits gemeldeten Attacken. Bei (CVE-2019-0880) wird eine Sicherheitslücke in der Rechtevergabe von splwow64 ausgenutzt, um sich eine Erweiterung der Berechtigungen zu erschleichen. Betroffen sind Windows 8.1, Server 2012 und nachfolgende Betriebssysteme. Angreifer können ihre Berechtigungsstufe von einer niedrigen auf eine mittlere Integrität hochstufen. Sobald dies geschehen ist, können Angreifer eine andere Schwachstelle ausnutzen, über die sie auch Codes ausführen können.

Angriffe auf die Rechtevergabe liegen anscheinend im Trend: denn auch bei (CVE-2019-1132) geht es wieder genau darum. In diesem Fall liegt die Schwachstelle bei Win32k und rückt damit Windows 7, Server 2008 und Server 2008 R2 ins Visier der Angreifer. Wenn es Hackern gelingt, sich am System anzumelden, dann können sie über eine weitere Schwachstelle die volle Kontrolle über das System übernehmen.

Wenig Neues zum Patch Tuesday außerhalb von Microsoft

Außerhalb von Microsoft gibt es an diesem Patch Tuesday nur eine überschaubare Anzahl von News. Mozilla veröffentlichte Updates für Firefox, wobei ESR ganze 21 Schwachstellen behebt. Die Patches werden als dringend eingestuft und beziehen sich auf Sicherheitslücken, die in Offenlegung von Informationen, Sandbox Escapes und Remote Code-Ausführung münden können.

Java verändert zum Patch Tuesday den Update-Prozess

Aber auch bei den Development Tools gibt es Neuigkeiten zum Patch Tuesday. Da die Branche den Wandel zu DevOps und die Integration mit Development-Binaries wie Java fortsetzt, gibt es einiges, dass Sie bei der Verwaltung der Schwachstellen in Ihrer Umgebung zu beachten haben. Java 11 änderte den Update-Prozess und verzichtet künftig auf Java Runtime Environment (JRE) und Java Development Kit (JDK). Bei Java-8-Anwendungen wurde die Applikation von einem Entwickler mit dem JDK erstellt. Wenn die Anwendung auf einem System implementiert wurde, musste anschließend Java JRE ausgeführt werden. In der Regel erforderte es keine Änderung, wenn Oracle ein Update veröffentlichte, allerdings musste die JRE-Instanz aktualisiert werden, um Schwachstellen zu beseitigen. Mit Java 11 werden die JRE-Komponenten direkt integriert. Bei Java 11 Updates, die Schwachstellen beheben, müssen Entwickler ihre Version des JDK aktualisieren und die Anwendung erneut erstellen, wenn sie die darin enthaltenen JRE-Komponenten einbinden wollen.

Und damit schießt sich der Kreis zum Patch Tuesday diesen Monat auch wieder mit Microsoft. Denn auch hier wurde fleißig an Updates für Entwicklungstools geschraubt, darunter.Net Core und ASP.Net Core. Auch dort muss die die SDK-Komponente aktualisiert und anschließend die Anwendung neu erstellt werden, um die Schwachstellen zu beheben. Weitere Beispiele für diese Art der Development-Binaries sind Apache Struts, ChakraCore, ASP.NET CORE, Open Enclave SDK und viele andere.