Dasjenige Kritischste, Überseheneste und Schwerste zu patchen

In einem Jahr, dasjenige durch den SolarWinds-Supply-Chain-Übergriff Finale 2020 und die weit verbreitete Log4j-Schwachstelle geprägt war, nach sich ziehen Sicherheitsteams konsequent mit einer anhaltenden Bedrohungswelle jongliert und Prioritäten gesetzt. Und mittendrin zu tun sein sie sich mit einem monatlichen Patch-Zweiter Tag der Woche-Update auseinandersetzen.

Während Microsoft 2021 weniger Schwachstellen gepatcht hat qua 2020, hat dasjenige Unternehmen 2021 883 Fehler behoben, sagt Aanchal Gupta, Vice President des Microsoft Security Response Center. Wenige davon führten zu weit verbreiteter Ausbeutung; Wenige verdienten größere Betrachtung, und qua Horde spiegeln viele Trends und Probe wider, die Sicherheitsteams im kommenden Jahr einplanen sollten.

Zu den denkwürdigsten Schwachstellen, die im März 2021 namhaft gegeben und gepatcht wurden, gehörten diejenigen, die in lokalen Versionen von Microsoft Exchange Server vorhanden waren. Denn die Sicherheitslücken gemeldet wurden, sagte Microsoft, dass selbige im Kontext “begrenzten und gezielten” Angriffen einer Horde namens Hf verwendet wurden, die laut offiziellen Unterlagen staatlich gefördert wird und von VR China aus operiert.

Es dauerte nicht tief, solange bis die Sicherheits-Gemeinschaft meldete, dass es wahrscheinlich mehrere Bedrohungsgruppen hinter einer Woge bösartiger Aktivitäten gab, die aufwärts Exchange-Server abzielten. Welches zuvor “geringe und langsame” Aktivitäten gewesen waren, eskalierte schnell zu viel Lärm, von dem Zehntausende von Organisationen betroffen waren. “Dasjenige hat sich sehr schnell entwickelt”, sagt Kevin Breen, Rektor pro Cyber-Bedrohungsforschung im Kontext Immersive Labs, darüber hinaus die Exchange Server-Angriffe. Intrinsisch weniger Wochen, nachdem die fortgeschrittenen persistenten Bedrohungsgruppen die Schwachstellen ausnutzten, begannen gleichermaßen Cyberkriminelle, sie zu übernehmen.

Neben jener Veröffentlichung von Patches produzierte Microsoft zu dieser Zeit eine zusätzliche Schlange von Sicherheitsupdates, die aufwärts manche ältere und nicht unterstützte kumulative Updates angewendet werden sollten. In diesem Kernpunkt war dies unumgänglich, freilich Gupta merkt an, dass “wir es nicht bevorzugen”, es zu tun, da es Kunden vom Patchen abhält.

“Bedrohungsschauspieler wie Hf sind niveauvoll”, sagt Gupta. “Sie zeugen die Scans; sie werden jeden verfolgen, jener nicht rechtzeitig flickt.”

Handkehrum dasjenige Patchen war pro viele Organisationen schwierig. Wenige führten Mama Versionen von Exchange Server aus und hatten kein IT-Team zum Patchen; manche waren nicht griffbereit zum Patchen. Dasjenige Unternehmen hat ein Abschwächungstool veröffentlicht, dasjenige Gupta qua Skript beschreibt, dasjenige fünf Schritte enthält, mit denen sich Unternehmen schützen können.

Ein “Alptraum” pro Sicherheitsteams
Sicherheitsteams erfuhren später von PrintNightmare, einem aus jener Ferne ausnutzbaren Fehler, jener jedweder Windows-Versionen betrifft. Es existiert im Windows-Druckspoolerdienst, jener qua Schnittstelle zwischen dem operating system und einem Printer fungiert und Aufgaben wie dasjenige Laden von Druckertreibern und dasjenige In Auftrag geben von Druckaufträgen übernimmt. Dieser Fehler könnte es authentifizierten Angreifern geben, Zugriff aufwärts Systemebene aufwärts anfällige Systeme zu erlangen – zu denen gleichermaßen Active Directory-Administratorserver und Core-Domänencontroller in Besitz sein von – und sie Kode schmeißen, Schadsoftware herunterladen, neue Benutzerkonten erstellen oder Datenmaterial signifizieren, ändern und löschen zu lassen .

Handkehrum jener PrintNightmare-Patch hatte seine eigenen Probleme, bemerkt Dustin Childs, Kommunikationschef jener Zero-Day-Initiative von Trend Micro. „Es war nicht nur so, dass dasjenige Problem schwerwiegend und weitreichend war – denn dasjenige war es sicherlich –, sondern die Fixes hatten gleichermaßen ihre Probleme … Rapide pro Rapide kam hervor.”

Und weil manche Fixes nicht jedweder Probleme lösten, wurde es zu einem ständigen Problem. Nachdem jener ersten Offenlegung jener Sicherheitsanfälligkeit hat Microsoft ein neues CVE und Problemumgehungen dazu veröffentlicht.

Childs geht hin und zurück, ob die Fehler von Exchange Server oder PrintNightmare schwerwiegender waren. Letztendlich, sagt er, nach sich ziehen die Exchange Server-Bugs weitreichende Auswirkungen, die noch Jahre fortbestehen könnten.

“Wir wissen immer noch nicht genau, wie weit selbige Auswirkungen waren, und es ist sehr wahrscheinlich, dass es immer noch viele Exchange-Server gibt, die nicht gepatcht sind, weil es so schwierig ist, Exchange zu patchen”, erklärt Childs. Dies gilt insbesondere pro mittelständische Unternehmen, die Exchange Server lokal schmeißen: Die Mentalität “es funktioniert immer noch, fassen Sie es nicht an” gibt es, weil Mitwirkender befürchten, dass es kaputt möglich sein oder ein Problem mit dem Patch vorliegen könnte.

Mehr Schwachstellen im Rampenlicht
Obwohl die Sicherheitslücken in Exchange Server und PrintNightmare am meisten auffielen, waren sie nicht die einzigen Fehler, darüber hinaus die sich die Sicherheitsteams in diesem Jahr Sorgen machten. Satya Gupta, CTO von Virsec, verwies aufwärts CVE-2021-31166, eine Sicherheitslücke pro Remote Kode Execution (RCE) im Hypertext Transfer Protocol Protocol Stack pro Microsoft WWW Information Services, qua herausragenden Fehler mit einem CVSS 3.0-Score von 9,8 und qua entwurmbar eingestuft.

Ein anderer war CVE-2021-28476, ein RCE-Programmfehler in Hyper-Vanadium, jener es einer virtuellen Gastmaschine ermöglicht, den Kernel des Hyper-Vanadium-Hosts zu zwingen, von einer willkürlichen und unter Umständen ungültigen Denkschrift zu Vorlesung halten. “Jede Azure-Lautsprecher läuft mit Hyper-Vanadium darin”, erklärt Gupta von Virsec. “Wenn es eine Schwachstelle in Hyper-Vanadium gibt, wird die Lautsprecher aller zu einem Problem. Die Lautsprecher aller wird unverschlossen.”

Dasjenige Problem dieses Fehlers verschlimmerte sich durch die Verfügbarkeit von Proof-of-Concept-Kode, bemerkt er. Dies führt zu einer “wirklich, wirklich unangenehmen” Situation, da Angreifer aufwärts den Machbarkeitsnachweis zupacken können, zuvor ein Patch angewendet wird, welches ein größeres Risiko pro anfällige Organisationen darstellt.

Manchmal erregt eine Schwachstelle im Kontext jener ersten Offenlegung nicht viel Betrachtung, wird freilich später zu einer dringenderen Situation. Dies war im Kontext CVE-2021-42287 jener Kernpunkt, einer Sicherheitsanfälligkeit in Hinblick auf jener Erhöhung von Berechtigungen in den Active Directory-Domänendiensten, sagt Breen von Immersive Labs. Dies wurde im November gepatcht und von Microsoft qua “Ausbeutung weniger wahrscheinlich” eingestuft; Erst letzte Woche wurde ein Proof-of-Concept-Exploit-Kode online veröffentlicht.

Er weist aufwärts vier Schwachstellen in jener Open Management Infrastructure (OMI) hin, die von den Wiz-Forschern, die sie gefunden nach sich ziehen, zusammenfassend qua OMIGOD bezeichnet werden, qua bemerkenswerte Fehler im Jahr 2021. OMI ist ein weit verbreiteter, freilich wenig bekannter Software-Geheimagent, jener in viele vielmals verwendete Azure-Dienste eingebettet ist, und die meisten Organisationen, die Azure verwenden, waren betroffen. Einer war RCE; drei waren Privilegieneskalation.

Childs weist aufwärts die lokale Privilegieneskalation qua eine Kategorie von Schwachstellen hin, die oft versäumen wird, freilich von Sicherheitsteams mehr Betrachtung verdient. Viele davon sind in verschiedenen Windows-Komponenten aufgetaucht, werden von Schadsoftware erfasst und dann ausgenutzt, sagt er. Während lokale Privilegieneskalation einsam nicht sehr aufregend ist, können selbige Fehler “gänzlich effektiv im Kontext jener Übernehmen des Systems von jemandem” werden, wenn sie mit anderen Schwachstellen kombiniert werden, fügt er hinzu.

“Es ist eines dieser Gedöns, im Kontext denen wir sicherstellen zu tun sein, dass wir uns darauf unterordnen, die Fehler zu finden und zu beheben, die sich immer mehr durchsetzen, und LPE-Fehler werden von den Bösen verwendet, aus diesem Grund zu tun sein wir sicherstellen, dass wir uns um selbige kümmern. ” er sagt. Sogar die Fehler, die nicht ungelegen sind oder vereinigen niedrigeren CVSS-Score nach sich ziehen, können eine Gefahr darstellen, wenn ein Angreifer ein System übernehmen möchte.

Breen hebt diesen Trend gleichermaßen hervor und weist darauf hin, dass Sicherheitslücken im Kontext jener Rechteausweitung “ein Kernstück” vieler Angriffe waren, die im vergangenen Jahr stattgefunden nach sich ziehen. Viele Angreifer nutzen keinen RCE-Fehler, sondern entscheiden sich pro Social Engineering, Brute-Forcing-RDP oder Phishing, um Benutzerzugriff zu erhalten.

„Solche Gedöns sind wirklich ungelegen, da Sie sich nicht immer gegen dasjenige Zero-Day-RCE schützen können, freilich Sie können viel tun, um Benutzer zu schützen und Angriffe aufwärts die Rechteausweitung abzuschwächen“, fügt er hinzu.

Eine sich entwickelnde Herausforderung pro Verteidiger
Es gibt manche Patch-Trends, die in den kommenden Monaten und Jahren eine Herausforderung pro Sicherheitsteams darstellen können. Childs weist qua Leitvorstellung aufwärts dasjenige, welches er die “Patch-Lücke” nennt: Ein Patch wird pro Produkt A verfügbar sein, freilich andere Produkte, die Produkt A verbrauchen, einbringen diesen Patch nicht aufwärts den Markt – zu einem vernünftigen Preis oder gar, sagt er.

Denn Leitvorstellung nennt er Google Chrome. “meine Wenigkeit sehe viel mehr Fehler durch Chrome qua in den letzten Jahren”, sagt Childs. Obwohl Chrome den Ruf hat, ein sicherer Browser zu sein, stellt er starr, dass die Volk unter Umständen die Menge jener Produkte versäumen, die aufwärts Chromium umgesetzt werden. “Wie tief dauert es, solange bis die Gesamtheit, welches aufwärts Chrome basiert, selbige Patches absorbiert und dann gleichermaßen geschützt ist?” er addiert. Eine Verzögerung zwischen jener Veröffentlichung eines Chrome-Updates und jener Verfügbarmachung eines Updates von Edge Chromium kann ein Risiko darstellen.

Dasjenige gleiche Problem besteht im Kontext Open-Source-Bibliotheken. Eine Bibliothek könnte ein Update veröffentlichen, freilich die Gesamtheit, welches die Bibliothek nutzt, wird unter Umständen nicht aktualisiert, je nachdem, wie genau sie darauf anerkennen. Die Auswirkungen dieses Problems können je nachdem Produkt variieren, sagt er.

“Die ‘Patch-Lücke’ ist weiter verbreitet und die Volk beginnen endlich zu verstehen, dass es gemeinsame Ressourcen gibt, die nicht genau überwacht werden”, fügt Childs hinzu. Organisationen sollten die Bibliotheken, die sie importieren, beaufsichtigen, um sicherzustellen, dass Aktualisierungen verwendet werden, obwohl es schwierig ist, die Gesamtheit, welches gepatcht werden muss, zu verfolgen.

Dies führt zu einem weiteren Problem im Kontext jener Unternehmenssicherheit: Viele IT- und Sicherheitsteams wissen aufgrund des hohen Volumens und jener Produktpalette nicht, wie viele Patches sie auswalken zu tun sein. Es gibt keinen zentralen Ort, jener jedweder zu aktualisierenden Produkte und Dienstleistungen auflistet; sie befürchten, dass automatische Updates Gedöns lädieren; und Teams sind oft unterfinanziert und stillstehen unter Pressung.

“Die Probleme des Patch-Managements werden noch weiter zunehmen”, sagt Childs.

Ein weiterer zu beobachtender Trend ist die zunehmende Betrachtung, die bestimmten Produkten und Dienstleistungen gewidmet wird, nachdem ein Fehler veröffentlicht wurde, bemerkt Breen. Sowie ein schwerwiegender Fehler auftritt und insbesondere wenn er angegriffen wird, werden in den folgenden Monaten weitere Fehler in denselben Produkten gepatcht. “Es zieht vereinigen Kern”, sagt er. Forscher vertrauen, dass es wahrscheinlich mehr verschenken wird, wenn es ein Problem gibt. Dies geschah in den Monaten nachdem den Sicherheitslücken von Exchange Server und PrintNightmare.

Während die Zahl jener veröffentlichten Patches in diesem Jahr zurückgegangen ist, sagt Gupta von Microsoft, dass im Jahr 2022 noch mehr zu tun ist. Dasjenige Lieferkettenrisiko bleibt Leben, sagt sie, und wir werden weiterhin immer mehr Fehler sehen, die Unternehmen beheben zu tun sein. Die Zusammenarbeit mit Partnern in jener Sicherheits-Gemeinschaft war hilfreich, insbesondere durch dasjenige Programmfehler-Bounty-Sendung von Microsoft, dasjenige laut Gupta sozusagen 13 solange bis 14 Mio. US-Dollar an Programmfehler Bountys an mehr qua 300 Forscher gezahlt hat.

Intern hat es sich etabliert, nachdem Vorfällen innezuhalten, um zu beherrschend, wie die Gedöns verbessert werden können. Gupta fügt hinzu: “Wir suchen ständig nachdem Wegen, um zu verhindern, dass dieses Problem jemals wieder auftritt.”