Mitarbeiterzentrierte Cyber-Security Der Patch Tuesday allein reicht nicht!

Von Kev Breen

Anbieter zum Thema

An jedem zweiten Dienstag im Monat veröffentlicht Microsoft Security-Updates für das Windows-Betriebssystem und andere Software. Kev Breen, Director of Cyber Threat Research bei Immersive Labs, über Muster, Schwerpunktbereiche für Microsoft und Angreifer sowie mögliche zukünftige Trends.

„Patchen im 30-Tage-Rhythmus reicht nicht mehr aus.“ meint Kev Breen, Director of Cyber Threat Research bei Immersive Labs. Unternehmen müssten beim Patchen aller Software-Produktlinien proaktiver agieren.
„Patchen im 30-Tage-Rhythmus reicht nicht mehr aus.“ meint Kev Breen, Director of Cyber Threat Research bei Immersive Labs. Unternehmen müssten beim Patchen aller Software-Produktlinien proaktiver agieren.
(Bild: Rawpixel.com - stock.adobe.com)

Die meisten Patch Tuesday Updates beheben Schwachstellen im Windows Desktop- und Server-Betriebssystem. Sie adressieren aber auch Probleme in Microsoft Office Anwendungen, Azure Hybrid Cloud Anwendungen und dem Visual Studio Code-Editor. Die Updates decken unterstützte Windows Systeme ab, einschließlich Windows Betriebssystemen, die das Ende ihrer Lebensdauer erreicht haben, aber durch das Extended Security Update Programm von Microsoft geschützt sind.

Das Microsoft Security Response Center veröffentlicht Bulletins unter Verwendung der CVE-Identifikationsnummern (Common Vulnerabilities and Exposures) für jede Schwachstelle auf der Security-Update-Guide-Website. Jedes Bulletin enthält Informationen zur Behebung und einen Link zu einem Knowledge-Base-Artikel mit weiteren Details zum Update.

Einige der Schwachstellen, auf die Microsoft im Rahmen des Patch Tuesday im August hingewiesen hat, wurden von externen Researchern im Rahmen des Microsoft Bug Bounty Programms identifiziert. Andere wurden entdeckt, nachdem sie von Angreifern in freier Wildbahn ausgenutzt worden waren.

Status quo

Mehr als die Hälfte des Jahres liegt nun hinter uns und es zeichnen sich bereits jetzt einige interessante Unterschiede im Vergleich zum letzten Jahr ab.

Werfen wir zunächst einen Blick auf die Kategorie „Exploitation Detected“, die Microsoft für jede Schwachstelle vergibt, die Angreifer bereits ins Visier genommen haben. Diese Kategorie stellt derzeit das größte Risiko dar, da die Schwachstellen gemeldet werden, während sie in freier Wildbahn bereits aktiv ausgenutzt werden.

Bis dato gab es in diesem Jahr sieben Schwachstellen, die zum Zeitpunkt der Veröffentlichung der Patches als in freier Wildbahn ausgenutzt gekennzeichnet waren. Zum Vergleich: Im vergangenen Jahr waren es zu diesem Zeitpunkt bereits 21. Das bedeutet allerdings nicht zwingend, dass es weniger Schwachstellen gibt – ganz im Gegenteil. Ein Blick auf die Gesamtzahl der Schwachstellen zeigt einen leichten Anstieg von 606 im Vorjahr auf bisher etwa 659 in diesem Jahr. Das bedeutet, dass es für Angreifer entweder schwieriger ist, Kapital aus diesen Bugs zu schlagen, bevor sie identifiziert und gepatcht werden können, oder dass sie sich umorientiert haben und andere Teile der Supply Chain ins Visier nehmen.

Bricht man die Arten von Schwachstellen herunter, zeigt sich eine Verschiebung: Im letzten Jahr machten Remote Code Execution (RCE) Bugs rund 37 Prozent aller gemeldeten Schwachstellen aus, gefolgt von Privilege Escalation Bugs mit auf das Jahr gesehen 29 Prozent.

Im Jahr 2022 entfallen 33 Prozent der gemeldeten Schwachstellen auf Remote Code Execution – einen Angriffsvektor, über den sich Hacker einen ersten Zugang verschaffen –, während Privilege Escalation – ein Angriffsvektor, der zum Einsatz kommt, nachdem ein Host oder ein Service bereits kompromittiert wurde – derzeit mit 42 Prozent zu Buche schlägt.

Implikationen

Sowohl Researcher als auch Angreifer suchen nach wie vor nach Exploits und Schwachstellen in den Microsoft Produktlinien. Die Ressourcen der Angreifer sind begrenzt. Eine mögliche Erklärung für die geringere Anzahl von Exploits in freier Wildbahn, die speziell auf Microsoft Produkte abzielen, könnte daher sein, dass die Angreifer ihren Fokus von den internen Komponenten eines Netzwerks darauf verlagert haben, die Supply Chain und Geräte am Netzwerk-Edge zu kompromittieren.

Ein weiterer interessanter Trend, den wir häufig beobachten: Wird eine Schwachstelle in einer bestimmten Microsoft Komponente entdeckt – insbesondere, wenn diese Schwachstelle in freier Wildbahn ausgenutzt wird –, können wir vorhersagen, dass in den folgenden Monaten weitere Schwachstellen in diesen Produktlinien entdeckt werden, da sowohl Angreifer als auch Researcher sich eingehender damit befassen. Das gilt zum Beispiel für den Print Spooler, Exchange Server und die neueren MSDT-Schwachstellen, bei denen mehrere Monate nach der ersten Meldung weitere Sicherheitslücken gemeldet und gepatcht werden.

Natürlich ist sich auch Microsoft im Klaren darüber, dass seine Produktlinien aktiv von Angreifern ins Visier genommen werden und dass schnelles und zuverlässiges Patchen der Schlüssel ist, wenn es darum geht, Bedrohungen effektiv zu managen. Aus diesem Grund und um IT-Security-Teams zu entlasten hat das Unternehmen Auto Patch eingeführt. Obwohl Auto Patch nur für Enterprise-Kunden verfügbar ist, zeigt es, wie ernst Microsoft die Bedrohung nimmt.

Wissen, was läuft

Täglich die wichtigsten Infos aus dem ITK-Markt

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Ausblick

Im Großen und Ganzen gilt aber auch in Zukunft: Angreifer haben den First Mover Advantage und Security-Teams müssen ständig auf der Hut sein.

Patchen im 30-Tage-Rhythmus reicht da nicht mehr aus. Unternehmen müssen proaktiver agieren, und das gilt nicht nur für das Patchen von Microsoft Produkten, sondern für alle Software-Produktlinien. IT- und Security-Teams müssen mit neuen Bedrohungen und Trends Schritt halten, um zu wissen, wo Angreifer am ehesten zuschlagen und wie sie am effektivsten reagieren können, wenn der Ernstfall eintritt.

Fazit

Die Geschäftsrisiken zu kennen und zu verstehen und Widerstandsfähigkeit gegenüber Cyber-Bedrohungen aufseiten der Mitarbeiter aufzubauen, ist dabei von entscheidender Bedeutung. Unternehmen müssen heute in der Lage sein, die Fähigkeit Ihrer Teams, Bedrohungen abzuwehren, zu bewerten, zu optimieren und zu belegen. Mitarbeiterzentrierte Cyber-Security, die die unternehmensweite Cyber-Kompetenz in den Vordergrund stellt und misst, bietet dafür einen gangbaren Ansatz.

Über den Autor: Kev Breen ist Director of Cyber Threat Research bei Immersive Labs. Er unterstützt Unternehmen dabei, die Widerstandsfähigkeit gegenüber Cyber-Bedrohungen aufseiten ihrer Mitarbeiter zu bewerten, aufzubauen und zu belegen. Als anerkannter Experte für aktuelle und neu aufkommende Bedrohungen blickt er auf über zwei Jahrzehnte Erfahrung in den Bereichen IT und Cyber-Security, unter anderem als Funktechniker beim britischen Militär und Malware-Analyst beim britischen Verteidigungsministerium, zurück. Neben umfangreicher Forschung im Bereich Open Source entwickelt er etwa Toolkits zur Analyse und Entschlüsselung von Malware.

(ID:48584639)