Analyse des Patch Tuesday im Juli und Empfehlungen von Ivanti zur Priorisierung bei der Behebung der Schwachstellen (CVEs). Der Patch Tuesday im Juli 2021 hat es in sich.
Mit dem jüngsten PrintNightmare-Out-of-Band-Update, der bevorstehenden vierteljährlichen Oracle-CPU, einer Reihe von Updates von Adobe, einschließlich Acrobat und Reader, Mozilla Firefox und Firefox ESR, und der typischen Reihe monatlicher Microsoft-Updates enthält der Patch Tuesday im Juli eine Menge Sicherheitslücken, die priorisiert angegangen werden sollten.
Sicherheitslücke PrintNightmare
Den Beginn macht PrintNightmare CVE-2021-34527, die nach dem Juni-Patch Tuesday-Update als eine weitere Sicherheitslücke im Print Spooler identifiziert wurde. Microsoft hat schnell Out-of-Band-Sicherheitsupdates für die meisten Betriebssysteme veröffentlicht. Die Updates sind für Windows 7 und Server 2008/2008 R2 verfügbar, sofern Anwender über ein Extended Security Update (ESU)-Abonnement verfügen. Das Unternehmen hat zudem einen Support-Artikel zur Verfügung gestellt, der erklärt, wie die Updates funktionieren und der einige zusätzliche Konfigurationsoptionen bietet. Unternehmen, die das Out-of-Band-Update noch nicht installiert haben, können einfach die Betriebssystem-Updates vom Juli aktualisieren, um die drei neuen Zero-Day-Schwachstellen zusammen mit dieser CVE zu beheben.
Microsoft – über 100 CVEs
Microsoft hat zudem im Juli 117 einzelne CVEs behoben, von denen 10 als kritisch eingestuft wurden. Darunter befinden sich drei Zero-Day-Schwachstellen und fünf öffentliche Bekanntmachungen. Eine kleine gute Nachricht: Alle drei Zero-Days und drei der fünf öffentlich bekannt gewordenen Sicherheitslücken werden durch die Bereitstellung der Juli-Betriebssystem-Updates behoben. Die Updates dieses Monats betreffen Windows-Betriebssysteme, Office 365, Sharepoint, Visual Studio und eine Reihe von Modulen und Komponenten (Details finden Sie in den Versionshinweisen).
Risikobasierte Priorisierung
Schaut man sich die von den Herstellern behobenen Schwachstellen an, sollte bei der Bewertung mehr als nur der Schweregrad und der CVSS-Score Berücksichtigung finden. Verfügen IT-Sicherheitsteams über keine zusätzlichen Metriken zur Risikobestimmung, ist es sehr gut möglich, dass sie einige der wichtigsten Updates übersehen. Ein gutes Beispiel dafür, wie die Algorithmen der Hersteller, die zur Definition des Schweregrads verwendet werden, ein falsches Gefühl von Sicherheit vermitteln können, findet sich in der Zero-Day-Liste dieses Monats. Zwei der CVEs werden von Microsoft nur als wichtig eingestuft, obwohl sie bereits vor der Veröffentlichung des Updates aktiv ausgenutzt wurden. Der CVSSv3-Score für die kritische CVE ist sogar niedriger als für die beiden wichtigen CVEs. Laut Analysten wie Gartner kann die Einführung eines risikobasierten Ansatzes für das Schwachstellenmanagement die Anzahl der Datenschutzverletzungen pro Jahr um bis zu 80% reduzieren (Gartner Forecast Analysis: Risk-Based Vulnerability Management 2019).
Zero-Day-Schwachstellen
CVE-2021-31979 ist eine „Elevation of Privilege“-Schwachstelle im Windows-Kernel. Diese Sicherheitsanfälligkeit wurde bei Angriffen „auf freier Wildbahn“ entdeckt. Der Schweregrad von Microsoft für diese CVE wird als wichtig eingestuft und der CVSSv3-Score beträgt 7,8. Die Sicherheitsanfälligkeit betrifft Windows 7, Server 2008 und spätere Windows-Betriebssystemversionen.
Bei CVE-2021-33771 handelt es sich um eine Sicherheitsanfälligkeit im Umfeld der Erhöhung von Berechtigungen im Windows-Kernel (Elevation of Privilege). Diese Sicherheitsanfälligkeit wurde ebenfalls bei realen Angriffen entdeckt. Der Schweregrad von Microsoft für diese CVE wird als wichtig eingestuft und der CVSSv3-Score beträgt 7,8. Die Sicherheitsanfälligkeit betrifft Windows 8.1, Server 2012 R2 und spätere Windows-Betriebssystemversionen.
CVE-2021-34448 ist eine Memory Corruption-Schwachstelle in der Windows Scripting Engine, die es einem Angreifer ermöglichen kann, aus der Ferne Code auf dem betroffenen System auszuführen.
Zero-Day-Angriffsszenario
In einem webbasierten Angriffsszenario könnte ein Angreifer eine Website hosten, die eine speziell gestaltete Datei enthält, mit der die Sicherheitsanfälligkeit ausgenutzt werden soll. Gleiches gilt für eine kompromittierte Website, die vom Benutzer bereitgestellte Inhalte akzeptiert oder hostet. Ein Angreifer hätte jedoch keine Möglichkeit, den Benutzer zu zwingen, die Website zu besuchen. Stattdessen müsste ein Angreifer den Benutzer freiwillig dazu bringen, auf einen Link zu klicken. Das erfolgt typischerweise durch eine E-Mail oder Instant Messenger-Nachricht. Ziel ist es, den Benutzer dann zu überzeugen, die Datei zu öffnen.
Der Schweregrad von Microsoft für dieses CVE wird als kritisch eingestuft und der CVSSv3-Score beträgt 6,8. Die Sicherheitslücke betrifft Windows 7, Server 2008 und neuere Windows-Betriebssystemversionen.
Öffentlich bekannt gegeben
CVE-2021-33781 zielt auf eine Umgehung von Sicherheitsfunktionen im Active Directory-Dienst ab. Diese Sicherheitsanfälligkeit wurde öffentlich bekannt gegeben. Der Schweregrad von Microsoft für diese CVE wird als wichtig eingestuft und der CVSSv3-Score beträgt 8.1. Die Sicherheitsanfälligkeit betrifft Windows 10, Server 2019 und spätere Windows-Betriebssystemversionen.
CVE-2021-33779 ist ein Security Feature Bypass in der Windows ADFS Security. Diese Sicherheitslücke wurde öffentlich bekannt gegeben. Der Schweregrad von Microsoft für diese CVE wird als wichtig eingestuft und der CVSSv3-Score beträgt 8.1. Die Sicherheitsanfälligkeit betrifft die Server-Versionen 2016, 2019, 2004, 20H2 und Core Windows Server.
Bei CVE-2021-34492 handelt es sich um eine Certificate Spoofing-Schwachstelle im Windows-Betriebssystem. Diese Sicherheitsanfälligkeit wurde ebenfalls öffentlich bekannt gegeben. Der Schweregrad von Microsoft für diese CVE wird als wichtig eingestuft . Der CVSSv3-Score beträgt 8.1 und betrifft Windows 7, Server 2008 und spätere Windows-Betriebssystemversionen.
CVE-2021-34473 ist eine Sicherheitsanfälligkeit in der Ausführung von Remotecode in Microsoft Exchange Server und wurde öffentlich bekannt gegeben. Microsoft stuft diese CVE als kritisch ein und der CVSSv3-Score beträgt 9,0. Die Sicherheitsanfälligkeit betrifft Exchange Server 2013u23, 2016u19, 2016u20, 2019u8, 2019u9.
CVE-2021-34523 ist eine „Elevation of Privilege“-Schwachstelle in Microsoft Exchange Server. Diese Sicherheitsanfälligkeit wurde öffentlich bekannt gegeben und der Schweregrad wurde als wichtig eingestuft. Der CVSSv3-Score beträgt 9.1. Sie betrifft Exchange Server 2013u23, 2016u19, 2016u20, 2019u8, 2019u9.
Updates von Drittanbietern
Oracle wird sein vierteljährliches Critical Patch Update oder CPU am 20. Juli veröffentlichen. Es wird Updates für Oracle Java SE, MySQL, Fusion Middleware und viele andere Oracle-Produkte enthalten. Das CPU wird alle Sicherheits-Fixes und Details zu CVSSv3.1 enthalten. Darin eingeschlossen ist die Angriffskomplexität und Antworten auf die Frage, ob die Lücke aus der Ferne ausgenutzt werden kann. Hinzu kommen Details, um die Dringlichkeit der Updates zu verstehen.
Adobe hat im Rahmen des Juli-Patch Tuesday Updates für fünf Produkte veröffentlicht. Die Updates für Adobe Bridge, Dimension, Illustrator und Framemaker werden von Adobe mit Priorität 3 eingestuft. Jedes behebt mindestens eine kritische CVE.
Viele Adobe-Updates für Acrobat und Reader
Bei der Einstufung berücksichtigt Adobe sowohl den Schweregrad der Sicherheitslücke als auch die Wahrscheinlichkeit, dass sich ein Angreifer auf das Produkt fokussiert. Adobe Priorität 1 bedeutet, dass mindestens ein in der Version enthaltenes CVE bereits aktiv ausgenutzt wird. Priorität 3 bedeutet, dass es weniger wahrscheinlich ist, dass das Produkt attackiert wird, und dass nur wenige bereits ausgenutzte Sicherheitslücken existieren.
Die vier Produkt-Updates sind zwar nicht dringend, sollten aber in einem angemessenen Zeitrahmen behoben werden. Wichtiger ist in diesem Monat das Update für Adobe Acrobat und Reader (APSB21-51), das 19 CVEs behebt, von denen 14 als kritisch eingestuft werden. Die von Adobe für dieses Update festgelegte Relevanz beträgt Priorität 2. Drei der kritischen CVEs wurden mit einem mit CVSSv3 von 8.8 bewertet. Sie könnte eine Ausführung von Remotecode ermöglichen. Es ist zwar bislang nicht bekannt, dass eine der CVEs ausgenutzt wurde. Allerdings sind Acrobat und Reader auf Systemen weit verbreitet und für Bedrohungsakteure per se interessant.
Mozilla hat Updates für Firefox und Firefox ESR veröffentlicht, die Korrekturen für 9 CVEs enthalten. Die Foundation stuft fünf der CVEs als „High impact“ ein. Weitere Details finden IT-Security-Teams in MFSA2021-28.
Empfehlungen von Ivanti zur Priorisierung
Die höchste Priorität hat in diesem Monat das Windows OS-Update. Drei weitere Zero-Day-Schwachstellen werden behoben. Für Unternehmen, die den Out-of-Band-Fix für PrintNightmare noch nicht installiert haben, wären das vier Zero-Day-Schwachstellen zusammen mit drei öffentlich gemeldeten Schwachstellen.
Microsoft Exchange verzeichnet zwei öffentlich bekannte Schwachstellen sowie die CVE-2021-31206, die vor einigen Monaten im Rahmen des Pwn2Own-Wettbewerbs bekannt wurde. Während Exchange also eine kurze Verschnaufpause hatte, nachdem es in den letzten Monaten viele Updates gab, sollte diese Schwachstelle analysiert und so schnell wie möglich behoben werden.
Updates von Drittanbietern für Adobe Acrobat und Reader sowie Mozilla Firefox sollten mit hoher Priorität behandelt werden. PDF- und Browser-Anwendungen sind leichte Ziele für Angreifer, die einen Benutzer mit Phishing-Attacken und anderen benutzerorientierten Methoden ausnutzen.
Mehr bei Ivanti.de
Über Ivanti Die Stärke der Unified IT. Ivanti verbindet die IT mit dem Sicherheitsbetrieb im Unternehmen, um den digitalen Arbeitsplatz besser zu steuern und abzusichern. Auf PCs, mobilen Geräten, virtualisierten Infrastrukturen oder im Rechenzentrum identifizieren wir IT-Assets – ganz gleich, ob sie sich On-Premise oder in der Cloud verbergen. Ivanti verbessert die Bereitstellung des IT-Services und senkt Risiken im Unternehmen auf Basis von Fachwissen und automatisierten Abläufen. Durch den Einsatz moderner Technologien im Lager und über die gesamte Supply Chain hinweg hilft Ivanti dabei, die Lieferfähigkeit von Firmen zu verbessern – und das, ohne eine Änderung der Backend-Systeme.