Ivanti: Empfehlungen zur Patch-Priorisierung der Schwachstellen

Ivanti: Empfehlungen zur Patch-Priorisierung der Schwachstellen
Anzeige

Beitrag teilen

Analyse des Patch Tuesday im Juli und Empfehlungen von Ivanti zur Priorisierung bei der Behebung der Schwachstellen (CVEs). Der Patch Tuesday im Juli 2021 hat es in sich.

Mit dem jüngsten PrintNightmare-Out-of-Band-Update, der bevorstehenden vierteljährlichen Oracle-CPU, einer Reihe von Updates von Adobe, einschließlich Acrobat und Reader, Mozilla Firefox und Firefox ESR, und der typischen Reihe monatlicher Microsoft-Updates enthält der Patch Tuesday im Juli eine Menge Sicherheitslücken, die priorisiert angegangen werden sollten.

Anzeige

Sicherheitslücke PrintNightmare

Den Beginn macht PrintNightmare CVE-2021-34527, die nach dem Juni-Patch Tuesday-Update als eine weitere Sicherheitslücke im Print Spooler identifiziert wurde. Microsoft hat schnell Out-of-Band-Sicherheitsupdates für die meisten Betriebssysteme veröffentlicht. Die Updates sind für Windows 7 und Server 2008/2008 R2 verfügbar, sofern Anwender über ein Extended Security Update (ESU)-Abonnement verfügen. Das Unternehmen hat zudem einen Support-Artikel zur Verfügung gestellt, der erklärt, wie die Updates funktionieren und der einige zusätzliche Konfigurationsoptionen bietet. Unternehmen, die das Out-of-Band-Update noch nicht installiert haben, können einfach die Betriebssystem-Updates vom Juli aktualisieren, um die drei neuen Zero-Day-Schwachstellen zusammen mit dieser CVE zu beheben.

Microsoft – über 100 CVEs

Microsoft hat zudem im Juli 117 einzelne CVEs behoben, von denen 10 als kritisch eingestuft wurden. Darunter befinden sich drei Zero-Day-Schwachstellen und fünf öffentliche Bekanntmachungen. Eine kleine gute Nachricht: Alle drei Zero-Days und drei der fünf öffentlich bekannt gewordenen Sicherheitslücken werden durch die Bereitstellung der Juli-Betriebssystem-Updates behoben. Die Updates dieses Monats betreffen Windows-Betriebssysteme, Office 365, Sharepoint, Visual Studio und eine Reihe von Modulen und Komponenten (Details finden Sie in den Versionshinweisen).

Anzeige

Jetzt Newsletter abonnieren

Einmal im Monat die besten News von B2B CYBER SECURITY lesen



Mit Klick auf „Anmelden“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden. Weitere Informationen finde ich in unserer Datenschutzerklärung. Nach dem Anmelden erhalten Sie zuerst eine Bestätigungsmail, damit keine anderen Personen Ihnen etwas ungewolltes bestellen können.
Aufklappen für Details zu Ihrer Einwilligung
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung. Sie können jederzeit den Newsletter wieder abbestellen. Einen entsprechenden Link finden Sie im Newsletter. Nach einer Abmeldung werden Ihre Daten in kürzester Zeit gelöscht. Eine Wiederherstellung ist nicht möglich. Falls Sie den Newsletter erneut haben möchten, ordern sie diesen einfach neu. Verfahren Sie auch so, wenn Sie eine andere E-Mail-Adresse für Ihren Newsletter nutzen möchten. Wenn Sie den auf der Website angebotenen Newsletter beziehen möchten, benötigen wir von Ihnen eine E-Mail-Adresse sowie Informationen, welche uns die Überprüfung gestatten, dass Sie der Inhaber der angegebenen E-Mail-Adresse und mit dem Empfang des Newsletters einverstanden sind. Weitere Daten werden nicht bzw. nur auf freiwilliger Basis erhoben. Für die Abwicklung der Newsletter nutzen wir Newsletterdiensteanbieter, die nachfolgend beschrieben werden.

CleverReach

Diese Website nutzt CleverReach für den Versand von Newslettern. Anbieter ist die CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Deutschland (nachfolgend „CleverReach“). CleverReach ist ein Dienst, mit dem der Newsletterversand organisiert und analysiert werden kann. Die von Ihnen zwecks Newsletterbezug eingegebenen Daten (z. B. E-Mail-Adresse) werden auf den Servern von CleverReach in Deutschland bzw. Irland gespeichert. Unsere mit CleverReach versandten Newsletter ermöglichen uns die Analyse des Verhaltens der Newsletterempfänger. Hierbei kann u. a. analysiert werden, wie viele Empfänger die Newsletternachricht geöffnet haben und wie oft welcher Link im Newsletter angeklickt wurde. Mit Hilfe des sogenannten Conversion-Trackings kann außerdem analysiert werden, ob nach Anklicken des Links im Newsletter eine vorab definierte Aktion (z. B. Kauf eines Produkts auf dieser Website) erfolgt ist. Weitere Informationen zur Datenanalyse durch CleverReach-Newsletter erhalten Sie unter: https://www.cleverreach.com/de/funktionen/reporting-und-tracking/. Die Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können diese Einwilligung jederzeit widerrufen, indem Sie den Newsletter abbestellen. Die Rechtmäßigkeit der bereits erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt. Wenn Sie keine Analyse durch CleverReach wollen, müssen Sie den Newsletter abbestellen. Hierfür stellen wir in jeder Newsletternachricht einen entsprechenden Link zur Verfügung. Die von Ihnen zum Zwecke des Newsletter-Bezugs bei uns hinterlegten Daten werden von uns bis zu Ihrer Austragung aus dem Newsletter bei uns bzw. dem Newsletterdiensteanbieter gespeichert und nach der Abbestellung des Newsletters aus der Newsletterverteilerliste gelöscht. Daten, die zu anderen Zwecken bei uns gespeichert wurden, bleiben hiervon unberührt. Nach Ihrer Austragung aus der Newsletterverteilerliste wird Ihre E-Mail-Adresse bei uns bzw. dem Newsletterdiensteanbieter ggf. in einer Blacklist gespeichert, sofern dies zur Verhinderung künftiger Mailings erforderlich ist. Die Daten aus der Blacklist werden nur für diesen Zweck verwendet und nicht mit anderen Daten zusammengeführt. Dies dient sowohl Ihrem Interesse als auch unserem Interesse an der Einhaltung der gesetzlichen Vorgaben beim Versand von Newslettern (berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO). Die Speicherung in der Blacklist ist zeitlich nicht befristet. Sie können der Speicherung widersprechen, sofern Ihre Interessen unser berechtigtes Interesse überwiegen. Näheres entnehmen Sie den Datenschutzbestimmungen von CleverReach unter: https://www.cleverreach.com/de/datenschutz/.

Auftragsverarbeitung

Wir haben einen Vertrag über Auftragsverarbeitung (AVV) zur Nutzung des oben genannten Dienstes geschlossen. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten unserer Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.

Risikobasierte Priorisierung

Schaut man sich die von den Herstellern behobenen Schwachstellen an, sollte bei der Bewertung mehr als nur der Schweregrad und der CVSS-Score Berücksichtigung finden. Verfügen IT-Sicherheitsteams über keine zusätzlichen Metriken zur Risikobestimmung, ist es sehr gut möglich, dass sie einige der wichtigsten Updates übersehen. Ein gutes Beispiel dafür, wie die Algorithmen der Hersteller, die zur Definition des Schweregrads verwendet werden, ein falsches Gefühl von Sicherheit vermitteln können, findet sich in der Zero-Day-Liste dieses Monats. Zwei der CVEs werden von Microsoft nur als wichtig eingestuft, obwohl sie bereits vor der Veröffentlichung des Updates aktiv ausgenutzt wurden. Der CVSSv3-Score für die kritische CVE ist sogar niedriger als für die beiden wichtigen CVEs. Laut Analysten wie Gartner kann die Einführung eines risikobasierten Ansatzes für das Schwachstellenmanagement die Anzahl der Datenschutzverletzungen pro Jahr um bis zu 80% reduzieren (Gartner Forecast Analysis: Risk-Based Vulnerability Management 2019).

Zero-Day-Schwachstellen

CVE-2021-31979 ist eine „Elevation of Privilege“-Schwachstelle im Windows-Kernel. Diese Sicherheitsanfälligkeit wurde bei Angriffen „auf freier Wildbahn“ entdeckt. Der Schweregrad von Microsoft für diese CVE wird als wichtig eingestuft und der CVSSv3-Score beträgt 7,8. Die Sicherheitsanfälligkeit betrifft Windows 7, Server 2008 und spätere Windows-Betriebssystemversionen.

Bei CVE-2021-33771 handelt es sich um eine Sicherheitsanfälligkeit im Umfeld der Erhöhung von Berechtigungen im Windows-Kernel (Elevation of Privilege). Diese Sicherheitsanfälligkeit wurde ebenfalls bei realen Angriffen entdeckt. Der Schweregrad von Microsoft für diese CVE wird als wichtig eingestuft und der CVSSv3-Score beträgt 7,8. Die Sicherheitsanfälligkeit betrifft Windows 8.1, Server 2012 R2 und spätere Windows-Betriebssystemversionen.

CVE-2021-34448 ist eine Memory Corruption-Schwachstelle in der Windows Scripting Engine, die es einem Angreifer ermöglichen kann, aus der Ferne Code auf dem betroffenen System auszuführen.

Zero-Day-Angriffsszenario

In einem webbasierten Angriffsszenario könnte ein Angreifer eine Website hosten, die eine speziell gestaltete Datei enthält, mit der die Sicherheitsanfälligkeit ausgenutzt werden soll. Gleiches gilt für eine kompromittierte Website, die vom Benutzer bereitgestellte Inhalte akzeptiert oder hostet. Ein Angreifer hätte jedoch keine Möglichkeit, den Benutzer zu zwingen, die Website zu besuchen. Stattdessen müsste ein Angreifer den Benutzer freiwillig dazu bringen, auf einen Link zu klicken. Das erfolgt typischerweise durch eine E-Mail oder Instant Messenger-Nachricht. Ziel ist es, den Benutzer dann zu überzeugen, die Datei zu öffnen.

Der Schweregrad von Microsoft für dieses CVE wird als kritisch eingestuft und der CVSSv3-Score beträgt 6,8. Die Sicherheitslücke betrifft Windows 7, Server 2008 und neuere Windows-Betriebssystemversionen.

Öffentlich bekannt gegeben

CVE-2021-33781 zielt auf eine Umgehung von Sicherheitsfunktionen im Active Directory-Dienst ab. Diese Sicherheitsanfälligkeit wurde öffentlich bekannt gegeben. Der Schweregrad von Microsoft für diese CVE wird als wichtig eingestuft und der CVSSv3-Score beträgt 8.1. Die Sicherheitsanfälligkeit betrifft Windows 10, Server 2019 und spätere Windows-Betriebssystemversionen.

CVE-2021-33779 ist ein Security Feature Bypass in der Windows ADFS Security. Diese Sicherheitslücke wurde öffentlich bekannt gegeben. Der Schweregrad von Microsoft für diese CVE wird als wichtig eingestuft und der CVSSv3-Score beträgt 8.1. Die Sicherheitsanfälligkeit betrifft die Server-Versionen 2016, 2019, 2004, 20H2 und Core Windows Server.

Bei CVE-2021-34492 handelt es sich um eine Certificate Spoofing-Schwachstelle im Windows-Betriebssystem. Diese Sicherheitsanfälligkeit wurde ebenfalls öffentlich bekannt gegeben. Der Schweregrad von Microsoft für diese CVE wird als wichtig eingestuft . Der CVSSv3-Score beträgt 8.1 und betrifft Windows 7, Server 2008 und spätere Windows-Betriebssystemversionen.

CVE-2021-34473 ist eine Sicherheitsanfälligkeit in der Ausführung von Remotecode in Microsoft Exchange Server und wurde öffentlich bekannt gegeben. Microsoft stuft diese CVE als kritisch ein und der CVSSv3-Score beträgt 9,0. Die Sicherheitsanfälligkeit betrifft Exchange Server 2013u23, 2016u19, 2016u20, 2019u8, 2019u9.

CVE-2021-34523 ist eine „Elevation of Privilege“-Schwachstelle in Microsoft Exchange Server. Diese Sicherheitsanfälligkeit wurde öffentlich bekannt gegeben und der Schweregrad wurde als wichtig eingestuft. Der CVSSv3-Score beträgt 9.1. Sie betrifft Exchange Server 2013u23, 2016u19, 2016u20, 2019u8, 2019u9.

Updates von Drittanbietern

Oracle wird sein vierteljährliches Critical Patch Update oder CPU am 20. Juli veröffentlichen. Es wird Updates für Oracle Java SE, MySQL, Fusion Middleware und viele andere Oracle-Produkte enthalten. Das CPU wird alle Sicherheits-Fixes und Details zu CVSSv3.1 enthalten. Darin eingeschlossen ist die Angriffskomplexität und Antworten auf die Frage, ob die Lücke aus der Ferne ausgenutzt werden kann. Hinzu kommen Details, um die Dringlichkeit der Updates zu verstehen.

Adobe hat im Rahmen des Juli-Patch Tuesday Updates für fünf Produkte veröffentlicht. Die Updates für Adobe Bridge, Dimension, Illustrator und Framemaker werden von Adobe mit Priorität 3 eingestuft. Jedes behebt mindestens eine kritische CVE.

Viele Adobe-Updates für Acrobat und Reader

Bei der Einstufung berücksichtigt Adobe sowohl den Schweregrad der Sicherheitslücke als auch die Wahrscheinlichkeit, dass sich ein Angreifer auf das Produkt fokussiert. Adobe Priorität 1 bedeutet, dass mindestens ein in der Version enthaltenes CVE bereits aktiv ausgenutzt wird. Priorität 3 bedeutet, dass es weniger wahrscheinlich ist, dass das Produkt attackiert wird, und dass nur wenige bereits ausgenutzte Sicherheitslücken existieren.

Die vier Produkt-Updates sind zwar nicht dringend, sollten aber in einem angemessenen Zeitrahmen behoben werden. Wichtiger ist in diesem Monat das Update für Adobe Acrobat und Reader (APSB21-51), das 19 CVEs behebt, von denen 14 als kritisch eingestuft werden. Die von Adobe für dieses Update festgelegte Relevanz beträgt Priorität 2. Drei der kritischen CVEs wurden mit einem mit CVSSv3 von 8.8 bewertet. Sie könnte eine Ausführung von Remotecode ermöglichen. Es ist zwar bislang nicht bekannt, dass eine der CVEs ausgenutzt wurde. Allerdings sind Acrobat und Reader auf Systemen weit verbreitet und für Bedrohungsakteure per se interessant.

Mozilla hat Updates für Firefox und Firefox ESR veröffentlicht, die Korrekturen für 9 CVEs enthalten. Die Foundation stuft fünf der CVEs als „High impact“ ein. Weitere Details finden IT-Security-Teams in MFSA2021-28.

Empfehlungen von Ivanti zur Priorisierung

Die höchste Priorität hat in diesem Monat das Windows OS-Update. Drei weitere Zero-Day-Schwachstellen werden behoben. Für Unternehmen, die den Out-of-Band-Fix für PrintNightmare noch nicht installiert haben, wären das vier Zero-Day-Schwachstellen zusammen mit drei öffentlich gemeldeten Schwachstellen.
Microsoft Exchange verzeichnet zwei öffentlich bekannte Schwachstellen sowie die CVE-2021-31206, die vor einigen Monaten im Rahmen des Pwn2Own-Wettbewerbs bekannt wurde. Während Exchange also eine kurze Verschnaufpause hatte, nachdem es in den letzten Monaten viele Updates gab, sollte diese Schwachstelle analysiert und so schnell wie möglich behoben werden.

Updates von Drittanbietern für Adobe Acrobat und Reader sowie Mozilla Firefox sollten mit hoher Priorität behandelt werden. PDF- und Browser-Anwendungen sind leichte Ziele für Angreifer, die einen Benutzer mit Phishing-Attacken und anderen benutzerorientierten Methoden ausnutzen.

Mehr bei Ivanti.de

 


Über Ivanti

Die Stärke der Unified IT. Ivanti verbindet die IT mit dem Sicherheitsbetrieb im Unternehmen, um den digitalen Arbeitsplatz besser zu steuern und abzusichern. Auf PCs, mobilen Geräten, virtualisierten Infrastrukturen oder im Rechenzentrum identifizieren wir IT-Assets – ganz gleich, ob sie sich On-Premise oder in der Cloud verbergen. Ivanti verbessert die Bereitstellung des IT-Services und senkt Risiken im Unternehmen auf Basis von Fachwissen und automatisierten Abläufen. Durch den Einsatz moderner Technologien im Lager und über die gesamte Supply Chain hinweg hilft Ivanti dabei, die Lieferfähigkeit von Firmen zu verbessern – und das, ohne eine Änderung der Backend-Systeme.


 

Passende Artikel zum Thema

2023: Unternehmen müssen ihre IT-Abwehr optimieren

Cyberkriminelle kennen keinen Stillstand. Sie verbessern ständig ihre Methoden und intensivieren ihre Attacken auf sich bietende Angriffsflächen. 2023 wird Unternehmen ➡ Weiterlesen

Kommentare zur Zerschlagung des Ransomware-Netzwerks Hive

Ermittler aus Deutschland, den USA und den Niederlanden haben das weltweit agierende Ransomware-Netzwerk „Hive“ zerschlagen. Die deutschen Strafverfolger gaben an, ➡ Weiterlesen

KI ChatGPT als Cyberkriminelle

Seit dem furiosen Start von ChatGPT nutzen nicht nur Millionen Menschen die künstliche Intelligenz, um sich Reisetipps geben oder wissenschaftliche ➡ Weiterlesen

Brauchen Firmen einen Chief Zero Trust Officer?

In den letzten Jahren haben Ransomware und Datenschutzverletzungen zu enormen Störungen bei Organisationen und Regierungen geführt. In dem Maße, in ➡ Weiterlesen

Top-Liste für Malware, Schwachstellen, Angriffe

Check Point Software hat seinen neuesten Global Threat Index für Dezember 2022 veröffentlicht. Bei der Malware hat QBot nun Emotet ➡ Weiterlesen

FBI, BKA, Europol zerschlägt das Hive-Ransomware-Netzwerk

Das FBI infiltrierte heimlich das Hive-Netzwerk und übernahm neben Schlüsselservern und Entschlüsselungs-Keys sogar die Leak-Seite der Hive-Gruppe im Darknet. Damit ➡ Weiterlesen

Security: Chefs fallen am meisten auf Phishing herein

Während die Entscheider und Chefs ein gehobenes Cyber-Security-Bewusstsein von den Mitarbeitern erwarten, fallen dieses am häufigsten auf Phishing herein, verwenden ➡ Weiterlesen

Chrome: Neue Patches für Sicherheitslücken

Alle Chrome-Nutzer sollten sich Zeit für ein Update auf die Version 109.0.5414.119 /.120 gönnen. Google schließt mit dem Update 4 ➡ Weiterlesen