Microsoft hat in diesem Jahr bereits 1.000 Lücken mit einem Eintrag in der CVE-Datenbank mit Patches geschlossen. Beeindruckend einerseits. Andererseits aber auch furchteinflößend: Schließlich waren es im gesamten Jahr 2021 insgesamt 1.200 CVEs, die gepatcht wurden. Damit ist dieses Jahr ein neuer Höchstwert nicht nur möglich, sondern sogar wahrscheinlich. Denn auch außerhalb der Microsoft-Welt, ist die Anzahl der gemeldeten Sicherheitslücken in den vergangenen Jahren in die Höhe geschnellt, wie eine Übersicht des NIST gut zeigt: 2015 und 2016 lag der Wert der dort erfassten Sicherheitslücken noch bei jeweils knapp unter 6.500, 2021 schon bei 18.378.
Das sind Höchstwerte, die man lieber gar nicht haben will. Denn neben Dutzenden von "ganz normalen" sind unter den 79 Sicherheitslücken des aktuellen Patch Tuesday auch wieder fünf, die als kritisch eingestuft werden. Zwei weitere sind Zero-Day-Lücken. Eine dieser Schwachstellen (CVE-2022-37969) wird bereits von Angreifern ausgenutzt.
Anwender haben also keine Zeit zu verlieren. Die ausgenutzte Zero-Day-Lücke steckt laut Security-Anbieter Qualys im CLFS-Treiber (Common Log File System) von Microsoft, einem Allzweck-Subsystem für die Protokollierung, das mit dem Betriebssystem Windows 2003 R2 eingeführt wurde. Es ist inzwischen sehr wichtig geworden und wird mit allen späteren Versionen ausgeliefert. "Da diese Sicherheitslücke von vier verschiedenen Cybersecurity-Unternehmen an Microsoft gemeldet wurde, ist eine häufige Ausnutzung sehr wahrscheinlich. Insbesondere bei APT-Gruppen und Malware-Autoren, die sich über die Schwachstelle erhöhte Rechte verschaffen", teilt Qualys mit.
Auch die zum aktuellen Patch Tuesday geschlossene Sicherheitslücke mit dem Namen "Spectre-BHB" (CVE-2022-23960) verdient besondere Beachtung. Sie betrifft ARM64-basierte Systeme. "Bei dieser Schwachstelle handelt es sich um eine Variante von Spectre v2, die sich seit ihrer Entdeckung im Jahr 2017 immer wieder neu erfunden hat und verschiedene Prozessorarchitekturen betrifft", erklärt Bharat Jogi, Director of Vulnerability and Threat Research bei Qualys.
"Diese Klasse von Schwachstellen stellt Unternehmen bei der Behebung vor große Herausforderungen, da hierfür häufig Aktualisierungen der Betriebssysteme, der Firmware und in einigen Fällen eine Neukompilierung der Anwendungen und eine Härtung erforderlich sind", erklärt Jogi. Andererseits seien sie für (versierte) Angreifer interessant, das sie ihnen Zugang zu vertraulichen Informationen ermöglichen.
"Security by Design" - war da nicht was?
Vor dem Hintergrund von über 1.000 Sicherheitslücken pro Jahr klingt die 2021 von David Weston, Vice President, Enterprise and OS Security bei Microsoft, aufgestellte Behauptung "Security by design has long been a priority at Microsoft" etwas schal. "Security by design" passt mit Tausenden an Lücken nicht recht zusammen.
Auch scheint fraglich, wie sich der im Microsoft Security Development Lifecycle (SDL) manifestierte "Security by Design"-Ansatz des Unternehmens, bewährt hat. Dessen Ziel ist es einem Microsoft-Blog-Post zufolge, "Best Practices zu definieren, wie Sicherheit in allen Phasen der Softwareentwicklung mitgedacht wird - und nicht erst durch Updates." Dafür scheinen über 1.000 Updates pro Jahr aber doch recht viel - auch wenn man die Vielzahl der inzwischen verfügbaren Microsoft-Produkte berücksichtigt.
Der Windows-Autopatch-Service, den Microsoft Großkunden seit Kurzem anbietet, stellt grundsätzlich sicher, dass registrierte Endgeräte automatisch Updates erhalten, ohne dass Administratoren dafür etwas tun müssen. Das scheint aber auch nicht der Weisheit letzter Schluss zu sein.
"Trotz der Einfachheit, mit der Geräte für das automatische Patchen registriert werden können - und der zahlreichen IT-Sicherheitsteams, die von der Idee angelockt werden, dass weniger Ressourcen in das Patch-Management gesteckt werden müssen - werden Unternehmen auch weiterhin Risikoanalysen rund um die Unterbrechungen durchführen, die durch Patch-Fehler beziehungsweise mangelhafte Patches verursacht werden", prognostiziert etwa Andreas Riepen, Head Zentral- und Osteuropa bei Vectra AI.
IT-Sicherheit nicht von Patches und Updates abhängig machen
Angesichts immer schneller reagierender Cyberkrimineller hat Patchen auch weiterhin hohe Priorität. Gleichzeitig gilt es aber, Maßnahmen zu ergreifen, die Angreifer einschränken. Multi-Faktor-Authentifizierung und Passwort-Sicherheit sind da wichtige Themen. Schließlich sind beide nah an den Anwendern und die Anwender stark im Visier der Angreifer - stärker oft, als kompliziert auszunutzende technische Sicherheitslücken.
Zero-Trust-Konzepte (wie sie übrigens auch Microsoft bietet, fördert und unterstützt) und SASE-Konzepte, können ebenfalls helfen. Auch andersherum wird ein sicherer Schuh daraus: Externe, inzwischen auch automatisiert mögliche Schwachstellenanalysen helfen Unternehmen ebenfalls, ihre Angriffsfläche zu reduzieren. Außerdem liefern Monitoring-Services und je nach Firmengröße Audits, Scans oder Penetrationstests nicht nur Hinweise darauf, wo Angriffe möglich sind, sondern oft auch darauf, wo veraltete und eigentlich nicht mehr benötigte Infrastruktur vorhanden ist. Die zu entfernen, ist ebenfalls ein wichtiger Teil der Cyber-Security-Hygiene von Firmen.
Denn wie der aktuelle Patch Tuesday zeigt, schützt bei Software Alter nicht vor Anfälligkeiten: Dass jetzt eine Zero-Day-Lücke entdeckt wurde, die mit Windows 2003 R2 "eingeführt" wurde, lässt nur ahnen, wie viele Lücken noch in alter Software ihrer Entdeckung harren. Dazu kommt: Wie vor Jahren bei Adobes Patch-Lieferungen für den Flash Payer, Adobe Acrobat und Adobe Reader regelmäßig deutlich wurde, krankt Software mit langer Tradition oft auch daran, dass bei ihrer ursprünglichen Entstehung IT-Sicherheit noch kein Thema war und "Security by Design" nicht mal ansatzweise bedacht wurde.
Was bleibt? Patchen ist nach wie vor oberstes Gebot. Gleichzeitig wird es aber auch immer wichtiger, sich von produktbezogenen Security-Ansätzen zu lösen und umfassendere - oder wie die Hersteller gerne sagen - "ganzheitliche" Security-Ansätze zu entwickeln und umzusetzen. Dabei spielen IT-Dienstleister eine wesentliche Rolle. Die können und sollten sie nutzen, um sich nicht nur als Produktvermittler, sondern auch als Service-Anbieter zu positionieren.
Nur erkannte Gefahren lassen sich bannen
Secure Access Service Edge (SASE)