Im Zuge seines letzten, traditionellen Patchdays hat Microsoft vergangene Woche insgesamt 14 Sicherheitslücken geschlossen. Künftig sollen dann so wie bei Windows 7 und Windows 8.1 Sicherheits-Updates sowie anderweitige Aktualisierungen kombiniert als sogenannte Rollup-Updates ausgeliefert werden. Von den zehn zuletzt geschlossenen Schwachstellen stuft Microsoft selbst zehn als kritisch ein. Das heißt, sie können zur Remotecodeausführung ausgenutzt werden.
Besondere Beachtung verdient nach Ansicht ihrer Entdecker, Experten der Security-Anbieter Proofpoint und Trend Micro, aber auch die im Zuge des September-Patchdays 2016 geschlossene, eben nicht als kritisch eingestufte Lücke mit der Kennung CVE-2016-335. Der Bug, auf den sie zurückzuführen ist, wurde bereits 2015 an Microsoft gemeldet. Wie durch Nachforschungen von Proofpoint und Trend Micro herausgekommen ist, scheint er Kriminellen allerdings schon deutlich länger bekannt zu sein, da Angriffe über diese Schwachstelle bereits im Januar 2014 durchgeführt wurden.
In erster Linie verwendeten diese Information die als AdGholas und GooNky bezeichneten Gruppen. Sie nutzen sie für umfangreiche Malvertising-Kampagnen, also die Verbreitung von bösartigem Code oder Links auf bösartige Inhalte mittels Werbung. Diese Werbung kann unter Ausnutzung der Eigenheiten von Online-Werbenetzwerken durchaus auch auf seriösen Seiten platziert werden und ist für Nutzer ausgesprochen schwer zu erkennen.
Beispielsweise versteckte die Gruppe AdGholas seit Mitte 2015 die schädlichen Inhalte mittels Steganografie. Außerdem kommt es immer wieder vor, dass dazu Nutzern bereits bekannte Anzeigenmotive nur leicht modifiziert ausgeliefert werden.
Die Sicherheitsexperten halten die Schwachstelle CVE-2016-335 auch deshalb für bemerkenswert, da sie ihrer Ansicht nach ein augenfälliges Beispiel dafür ist, dass Angreifer zunehmend auf nicht als kritisch eingestufte Bugs ausweichen. Die haben aus ihrer Sicht den Vorteil, dass sie mitunter monate- oder gar jahrelang nicht behoben werden. Beispielsweise habe die AdGholas-Gruppe einen solchen Bug “gezielt eingesetzt, um eine Erkennung durch Researcher und automatisierte Anbietersysteme zu vermeiden und so unbehelligt eine breit angelegte und langfristige Malvertising-Operation durchführen zu können”, teilt Proofpoint mit.
Daraus leitet das Unternehmen die Forderung ab: “Softwareanbieter können sich nicht länger auf die Behebung besonders eklatanter Schwachstellen beschränken, Unternehmen und Benutzer müssen die Anwendung von Patches anders priorisieren, und Researcher müssen neue Wege finden, um bösartige Aktivitäten aufzudecken.”
Trend Micro, dessen Mitarbeiter an der Untersuchung der Schwachstelle ebenfalls mitgewirkt haben, empfiehlt dafür und insbesondere für Unternehmen schon länger das Konzept des “Virtual Patching”. Das funktioniert auch aber nicht nur bei virtualisierten Umgebungen. Ziel ist es, Unternehem mehr Zeit zu geben, die Auswirkungen von Patches auf ihre Produktivsysteme zu testen beziehungsweise währen der erforderlichen Testphase nicht auf den Schutz gegen die ja schon bekannten und damit auch für Kriminelle und andere Angreifer leicht ausnutzbaren Sicherheitslücken verzichten zu müssen.
Kurz vor der Fußball-Europameisterschaft in Deutschland nehmen die Cyberbedrohungen für Sportfans zu, warnt Marco Eggerling…
Software für das Customer Relationship Management muss passgenau ausgewählt und im Praxistest an das einzelne…
Ein elementarer Bestandteil einer effektiven Cloud-Strategie ist nach erfolgter Implementierung die künftige Verwaltung des Dienstes.
Die Neuerungen sollen den Digital Thread, die Low-Code-Entwicklung, die Visualisierung komplexer Baugruppen und das Lieferantenmanagement…
Eine Bitkom-Umfrage attestiert der Datenraum-Initiative des Bundes hohe Bekanntheit in der Industrie. Doch noch ist…
Ransomware-as-a-Service ist ein lukratives Geschäft und in den Händen professionell organisierter Gruppen. Jetzt können Kriminelle…
