Analyse des Patch Tuesday im März: Kernel-Updates von Microsoft als Antwort auf Meltdown und Spectre

Microsoft hat zum Patch Tuesday im März insgesamt 14 Updates veröffentlicht, darunter Aktualisierungen für alle Windows-Betriebssysteme sowie für den IE-Browser, für Office, SharePoint und den Exchange-Server. Daneben hat das Unternehmen einige Updates für ASP.NET Core, Chakra Core und PowerShell Core veröffentlicht. Allerdings sind diese nicht als Patch-Paket, sondern in Form neuer Binärdateien verfügbar. Entwickler sollten sie in diesem Monat in ihren DevOps-Prozess integrieren, um sie zum nächsten Produktivstart einsetzen zu können.

Insgesamt hat das Unternehmen aus Redmond im März 78 einzigartige Schwachstellen behoben, von denen zwei öffentlich bekannt gegeben wurden. Eine solche Bekanntmachung wird immer dann nötig, wenn klar ist, dass einem Angreifer ausreichend viele Informationen über eine Schwachstelle zur Verfügung stehen. Diese könnten ihm erlauben, einen Angriffsversuch zu starten. Hat er potenziell Zugriff auf den Konzeptcode, wird ein Exploit noch wahrscheinlicher.

Die öffentlichen Bekanntmachungen betreffen in diesem Monat Microsoft Exchange Server (CVE-2018-0940) der Editionen 2010 bis 2016 sowie ASP.NET Core 2.0 (CVE-2018-0808). Beide Schwachstellen werden als »Wichtig« eingestuft. Das bedeutet, dass sie zwar nicht schwerwiegend sind, allerdings ist das Risiko einer Ausnutzung aufgrund der verfügbaren Informationen höher.

Insgesamt wurde dem Windows-Kernel in diesem Monat viel Aufmerksamkeit geschenkt. Dies steht vermutlich in Zusammenhang mit der anhaltenden Diskussion um die Meltdown- und Spectre-Schwachstellen. Die Anzahl der von Microsoft genannten CVEs ist hoch, was bedeutet, dass viele Änderungen am Kernel vorgenommen wurden. Die gute Nachricht dabei ist, dass kein CVE höher als »Wichtig« eingestuft wurde. Für die IT-Abteilungen heißt dies jedoch, dass OS-Updates diesen Monat intensiv getestet werden sollten.

Apropos Meltdown und Spectre …

Microsoft hat eine zusätzliche Update-Unterstützung für die Meltdown-Schwachstellen (ADV180002) veröffentlicht. Server 2008 und 2012 sowie Windows 7 x86 Monthly Rollup und das Security Only Bundle enthalten jetzt sogenannte »Mitigation«-Funktionen. Das bedeutet, dass diese Systeme nun die AV-Registrierungsschlüssel verpflichtend benötigen, um die März-Updates anwenden zu können. Für Server 2008 und 2012 werden durch die die Updates in diesem Monat ebenfalls Mitigations-Funktionen eingeführt. Allerdings müssen Änderungen an der Registry vorgenommen werden, um sie zu aktivieren. Sie sind standardmäßig inaktiv.

Der AV Registry Key ist immer noch für alle Microsoft OS- und IE-Updates in diesem Monat erforderlich.

Zum Ausmaß der Meltdown und Spectre-Schwachstellen berichten Forscher aktuell, dass sie nicht weniger als 13 Schwachstellen in AMD-Prozessoren gefunden hätten. Sie unterteilen diese Verwundbarkeiten in vier Familien oder Kategorien. Eine Schwachstelle, Ryzenfall, ist besonders unangenehm, da sie es einem Angreifer ermöglichen könnte, den sicheren Prozessor zu übernehmen. Dies würde einem Angreifer Zugriff auf geschützte Daten wie Schlüssel und Passwörter ermöglichen. Die IT- und IT-Security-Teams sollten sich darauf vorbereiten, dass AMD noch mehr Treiber-Updates bereitstellen wird, um die gefundenen Sicherheitslücken zu schließen.

Kritische Lücken in Apps von Drittherstellern

Der Patch Tuesday liefert in diesem Monat daneben auch ein kritisches Update von Adobe für Flash Player, das einer besonderen Aufmerksamkeit erfordert. Mit ihm löst Adobe zwei kritische CVEs. Daneben hat Mozilla Updates für Firefox und Firefox ESR veröffentlicht, die beide als kritisch eingestuft wurden. Mit ihnen werden insgesamt 21 einzigartige CVEs aufgelöst. IT-Abteilungen sollten in diesem Monat also unbedingt ihre Flash Player, Chrome- und Firefox-Installationen updaten.

Chris Goettl, Leiter Produktmanagement, Sicherheit bei Ivanti

 

Live-Webinar zum Patch Tuesday im März
Wie jeden Monat stellt Ivanti eine detaillierte Analyse der Updates auf seine Patch-Tuesday-Webseite. Im Rahmen eines LIVE-Webinars am 14. März, um 17.00 Uhr können sich IT- und Security-Verantwortliche daneben zu den Details der Updates informieren.

 


 

Sicherheits- und Patchmanagement ist nach wie vor Hauptanliegen für Unternehmen

Patch Tuesday im März: Ein ruhiger Monat lässt Raum für Windows 10-Migrationsprojekte

Das Problem mit den Sicherheits-Patches: Unterbrochene Software Supply Chain

Hackern die Laune verderben – 8 Schritte zu automatisiertem Patch-Management

Sicherheitslücke »Stagefright« verdeutlicht Defizite beim Patch-Management

59 Tage brauchen Softwareunternehmen um Patches zu erstellen

Hacking Team und Windows: Der Patch ist da – und jetzt beginnt das Problem