Kritik am Umgang mit “nicht kritischen” Sicherheitslücken

Im Zuge seines letzten, traditionellen Patchdays hat Microsoft vergangene Woche insgesamt 14 Sicherheitslücken geschlossen. Künftig sollen dann so wie bei Windows 7 und Windows 8.1 Sicherheits-Updates sowie anderweitige Aktualisierungen kombiniert als sogenannte Rollup-Updates ausgeliefert werden. Von den zehn zuletzt geschlossenen Schwachstellen stuft Microsoft selbst zehn als kritisch ein. Das heißt, sie können zur Remotecodeausführung ausgenutzt werden.

Besondere Beachtung verdient nach Ansicht ihrer Entdecker, Experten der Security-Anbieter Proofpoint und Trend Micro, aber auch die im Zuge des September-Patchdays 2016 geschlossene, eben nicht als kritisch eingestufte Lücke mit der Kennung CVE-2016-335. Der Bug, auf den sie zurückzuführen ist, wurde bereits 2015 an Microsoft gemeldet. Wie durch Nachforschungen von Proofpoint und Trend Micro herausgekommen ist, scheint er Kriminellen allerdings schon deutlich länger bekannt zu sein, da Angriffe über diese Schwachstelle bereits im Januar 2014 durchgeführt wurden.

In erster Linie verwendeten diese Information die als AdGholas und GooNky bezeichneten Gruppen. Sie nutzen sie für umfangreiche Malvertising-Kampagnen, also die Verbreitung von bösartigem Code oder Links auf bösartige Inhalte mittels Werbung. Diese Werbung kann unter Ausnutzung der Eigenheiten von Online-Werbenetzwerken durchaus auch auf seriösen Seiten platziert werden und ist für Nutzer ausgesprochen schwer zu erkennen.

Beispielsweise versteckte die Gruppe AdGholas seit Mitte 2015 die schädlichen Inhalte mittels Steganografie. Außerdem kommt es immer wieder vor, dass dazu Nutzern bereits bekannte Anzeigenmotive nur leicht modifiziert ausgeliefert werden.

Die Vorteile “unkritischer” Bugs aus Sicht von Angreifern

Die Sicherheitsexperten halten die Schwachstelle CVE-2016-335 auch deshalb für bemerkenswert, da sie ihrer Ansicht nach ein augenfälliges Beispiel dafür ist, dass Angreifer zunehmend auf nicht als kritisch eingestufte Bugs ausweichen. Die haben aus ihrer Sicht den Vorteil, dass sie mitunter monate- oder gar jahrelang nicht behoben werden. Beispielsweise habe die AdGholas-Gruppe einen solchen Bug “gezielt eingesetzt, um eine Erkennung durch Researcher und automatisierte Anbietersysteme zu vermeiden und so unbehelligt eine breit angelegte und langfristige Malvertising-Operation durchführen zu können”, teilt Proofpoint mit.

Daraus leitet das Unternehmen die Forderung ab: “Softwareanbieter können sich nicht länger auf die Behebung besonders eklatanter Schwachstellen beschränken, Unternehmen und Benutzer müssen die Anwendung von Patches anders priorisieren, und Researcher müssen neue Wege finden, um bösartige Aktivitäten aufzudecken.”

Trend Micro, dessen Mitarbeiter an der Untersuchung der Schwachstelle ebenfalls mitgewirkt haben, empfiehlt dafür und insbesondere für Unternehmen schon länger das Konzept des “Virtual Patching”. Das funktioniert auch aber nicht nur bei virtualisierten Umgebungen. Ziel ist es, Unternehem mehr Zeit zu geben, die Auswirkungen von Patches auf ihre Produktivsysteme zu testen beziehungsweise währen der erforderlichen Testphase nicht auf den Schutz gegen die ja schon bekannten und damit auch für Kriminelle und andere Angreifer leicht ausnutzbaren Sicherheitslücken verzichten zu müssen.

Redaktion

Recent Posts

Mehr Datenschutz in der Montage

Assistenzsysteme unterstützen Monteure bei der Arbeit. Zu oft zahlt man jedoch mit den eigenen Daten…

2 Tagen ago

Cyber Resilience Act: Countdown läuft

Hersteller werden stärker in die Pflicht genommen, den gesamten Lebenszyklus ihrer Produkte in den Blick…

2 Tagen ago

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

3 Tagen ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

4 Tagen ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

4 Tagen ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

4 Tagen ago