Im Zuge seines letzten, traditionellen Patchdays hat Microsoft vergangene Woche insgesamt 14 Sicherheitslücken geschlossen. Künftig sollen dann so wie bei Windows 7 und Windows 8.1 Sicherheits-Updates sowie anderweitige Aktualisierungen kombiniert als sogenannte Rollup-Updates ausgeliefert werden. Von den zehn zuletzt geschlossenen Schwachstellen stuft Microsoft selbst zehn als kritisch ein. Das heißt, sie können zur Remotecodeausführung ausgenutzt werden.
Besondere Beachtung verdient nach Ansicht ihrer Entdecker, Experten der Security-Anbieter Proofpoint und Trend Micro, aber auch die im Zuge des September-Patchdays 2016 geschlossene, eben nicht als kritisch eingestufte Lücke mit der Kennung CVE-2016-335. Der Bug, auf den sie zurückzuführen ist, wurde bereits 2015 an Microsoft gemeldet. Wie durch Nachforschungen von Proofpoint und Trend Micro herausgekommen ist, scheint er Kriminellen allerdings schon deutlich länger bekannt zu sein, da Angriffe über diese Schwachstelle bereits im Januar 2014 durchgeführt wurden.
In erster Linie verwendeten diese Information die als AdGholas und GooNky bezeichneten Gruppen. Sie nutzen sie für umfangreiche Malvertising-Kampagnen, also die Verbreitung von bösartigem Code oder Links auf bösartige Inhalte mittels Werbung. Diese Werbung kann unter Ausnutzung der Eigenheiten von Online-Werbenetzwerken durchaus auch auf seriösen Seiten platziert werden und ist für Nutzer ausgesprochen schwer zu erkennen.
Beispielsweise versteckte die Gruppe AdGholas seit Mitte 2015 die schädlichen Inhalte mittels Steganografie. Außerdem kommt es immer wieder vor, dass dazu Nutzern bereits bekannte Anzeigenmotive nur leicht modifiziert ausgeliefert werden.
Die Sicherheitsexperten halten die Schwachstelle CVE-2016-335 auch deshalb für bemerkenswert, da sie ihrer Ansicht nach ein augenfälliges Beispiel dafür ist, dass Angreifer zunehmend auf nicht als kritisch eingestufte Bugs ausweichen. Die haben aus ihrer Sicht den Vorteil, dass sie mitunter monate- oder gar jahrelang nicht behoben werden. Beispielsweise habe die AdGholas-Gruppe einen solchen Bug “gezielt eingesetzt, um eine Erkennung durch Researcher und automatisierte Anbietersysteme zu vermeiden und so unbehelligt eine breit angelegte und langfristige Malvertising-Operation durchführen zu können”, teilt Proofpoint mit.
Daraus leitet das Unternehmen die Forderung ab: “Softwareanbieter können sich nicht länger auf die Behebung besonders eklatanter Schwachstellen beschränken, Unternehmen und Benutzer müssen die Anwendung von Patches anders priorisieren, und Researcher müssen neue Wege finden, um bösartige Aktivitäten aufzudecken.”
Trend Micro, dessen Mitarbeiter an der Untersuchung der Schwachstelle ebenfalls mitgewirkt haben, empfiehlt dafür und insbesondere für Unternehmen schon länger das Konzept des “Virtual Patching”. Das funktioniert auch aber nicht nur bei virtualisierten Umgebungen. Ziel ist es, Unternehem mehr Zeit zu geben, die Auswirkungen von Patches auf ihre Produktivsysteme zu testen beziehungsweise währen der erforderlichen Testphase nicht auf den Schutz gegen die ja schon bekannten und damit auch für Kriminelle und andere Angreifer leicht ausnutzbaren Sicherheitslücken verzichten zu müssen.
Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…
Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.