Im Zuge seines letzten, traditionellen Patchdays hat Microsoft vergangene Woche insgesamt 14 Sicherheitslücken geschlossen. Künftig sollen dann so wie bei Windows 7 und Windows 8.1 Sicherheits-Updates sowie anderweitige Aktualisierungen kombiniert als sogenannte Rollup-Updates ausgeliefert werden. Von den zehn zuletzt geschlossenen Schwachstellen stuft Microsoft selbst zehn als kritisch ein. Das heißt, sie können zur Remotecodeausführung ausgenutzt werden.
Besondere Beachtung verdient nach Ansicht ihrer Entdecker, Experten der Security-Anbieter Proofpoint und Trend Micro, aber auch die im Zuge des September-Patchdays 2016 geschlossene, eben nicht als kritisch eingestufte Lücke mit der Kennung CVE-2016-335. Der Bug, auf den sie zurückzuführen ist, wurde bereits 2015 an Microsoft gemeldet. Wie durch Nachforschungen von Proofpoint und Trend Micro herausgekommen ist, scheint er Kriminellen allerdings schon deutlich länger bekannt zu sein, da Angriffe über diese Schwachstelle bereits im Januar 2014 durchgeführt wurden.
In erster Linie verwendeten diese Information die als AdGholas und GooNky bezeichneten Gruppen. Sie nutzen sie für umfangreiche Malvertising-Kampagnen, also die Verbreitung von bösartigem Code oder Links auf bösartige Inhalte mittels Werbung. Diese Werbung kann unter Ausnutzung der Eigenheiten von Online-Werbenetzwerken durchaus auch auf seriösen Seiten platziert werden und ist für Nutzer ausgesprochen schwer zu erkennen.
Beispielsweise versteckte die Gruppe AdGholas seit Mitte 2015 die schädlichen Inhalte mittels Steganografie. Außerdem kommt es immer wieder vor, dass dazu Nutzern bereits bekannte Anzeigenmotive nur leicht modifiziert ausgeliefert werden.
Die Sicherheitsexperten halten die Schwachstelle CVE-2016-335 auch deshalb für bemerkenswert, da sie ihrer Ansicht nach ein augenfälliges Beispiel dafür ist, dass Angreifer zunehmend auf nicht als kritisch eingestufte Bugs ausweichen. Die haben aus ihrer Sicht den Vorteil, dass sie mitunter monate- oder gar jahrelang nicht behoben werden. Beispielsweise habe die AdGholas-Gruppe einen solchen Bug “gezielt eingesetzt, um eine Erkennung durch Researcher und automatisierte Anbietersysteme zu vermeiden und so unbehelligt eine breit angelegte und langfristige Malvertising-Operation durchführen zu können”, teilt Proofpoint mit.
Daraus leitet das Unternehmen die Forderung ab: “Softwareanbieter können sich nicht länger auf die Behebung besonders eklatanter Schwachstellen beschränken, Unternehmen und Benutzer müssen die Anwendung von Patches anders priorisieren, und Researcher müssen neue Wege finden, um bösartige Aktivitäten aufzudecken.”
Trend Micro, dessen Mitarbeiter an der Untersuchung der Schwachstelle ebenfalls mitgewirkt haben, empfiehlt dafür und insbesondere für Unternehmen schon länger das Konzept des “Virtual Patching”. Das funktioniert auch aber nicht nur bei virtualisierten Umgebungen. Ziel ist es, Unternehem mehr Zeit zu geben, die Auswirkungen von Patches auf ihre Produktivsysteme zu testen beziehungsweise währen der erforderlichen Testphase nicht auf den Schutz gegen die ja schon bekannten und damit auch für Kriminelle und andere Angreifer leicht ausnutzbaren Sicherheitslücken verzichten zu müssen.
Davon gehen laut der aktuellen Studie „Performance-Treiber 2024“ acht von zehn Industrieunternehmen aus.
„Aurora“ läuft beim Argonne National Laboratory des US-Energieministeriums und hat auf 87 Prozent des Systems…
Europäischer Supercomputer JEDI kommt auf den ersten Platz in der Green500-Liste der energieeffizientesten Supercomputer.
Data Awakening: Huawei präsentierte beim Innovative Data Infrastructure Forum 2024 in Berlin neue, auf KI…
Um ihre Verteidigung zu stärken, müssen Staaten und Unternehmen sicherstellen, dass KRITIS-Betreiber nicht nur die…
Reichen die Sicherheitsvorkehrungen der KRITIS-Betreiber bereits aus? Das BSI liefert dazu Kennzahlen auf einer neuen…
