Experten warnen nach einem “wichtigen” Zero-Day: Priorisieren Sie Updates nach dem Risiko, nicht nach der Herstellerbewertung

  • Nachdem Microsoft im Rahmen des diesjährigen Patch Tuesday eine Zero-Day-Schwachstelle, die in freier Wildbahn ausgenutzt wird, als “wichtig” eingestuft hat, fordern Sicherheitsexperten die Sicherheitsteams auf, Updates nach dem Risiko zu priorisieren und nicht nach den Schweregraden der Hersteller.

    Microsoft meldete in diesem Monat nur 56 Schwachstellen, davon neun kritische und sechs bereits öffentlich bekannt gemachte.

    Aber es ist die Zero-Day-Schwachstelle CVE-2021-1732, oder besser gesagt, ihre Bewertung, die die Aufmerksamkeit auf sich zog. Um diese Windows Win32k.sys “elevation of privilege”-Schwachstelle auszunutzen, die sich auf Windows 10 und Windows Server 2019 auswirkt, so Allan Liska, Senior Security Architect bei Recorded Future, müsste ein Angreifer Zugriff auf das Zielsystem haben und sich dann administrative Rechte verschaffen.

    Obwohl Microsoft die Schwachstelle als “wichtig” und nicht als “kritisch” einstuft, sagte Liska, dass Sicherheitsteams diese Schwachstelle vorrangig patchen sollten, da sie in freier Wildbahn ausgenutzt wird.

    Der Zero-Day ist ein Paradebeispiel dafür, warum es für Sicherheitsteams so wichtig ist, eine risikobasierte Priorisierung vorzunehmen, so Chris Goetll, Senior Director of Product Management bei Ivanti.

    “Wenn Sie Ihre Priorisierung auf den Schweregrad des Herstellers stützen und sich nur auf ‘kritisch’ konzentrieren, könnten Sie diese Schwachstelle bei Ihrer Priorisierung übersehen haben”, so Goetll. “Diese Schwachstelle sollte Windows 10 und Server 2016 und spätere Editionen in Ihren Prioritätseimer für die Behebung in diesem Monat setzen.”

    Sicherheitsteams sollten sich auch auf CVE-2021-24078 konzentrieren, eine RCE-Schwachstelle (Remote Code Execution) in Windows DNS Server, sagte Liske. Diese kritische Sicherheitslücke, die von Microsoft mit einem CVSS-Score von 9,8 bewertet wurde, betrifft Windows Server 2008 bis 2019. Wie bei SIGRed, das letztes Jahr bekannt wurde, können Angreifer die RCE-Schwachstelle aus der Ferne ausnutzen, indem sie einen anfälligen DNS-Server dazu bringen, eine Domain abzufragen, die er noch nicht gesehen hat (z. B. durch Senden einer Phishing-E-Mail mit einem Link zu einer neuen Domain oder sogar mit eingebetteten Bildern, die eine neue Domain aufrufen).

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com