Kommentar zum aktuellen Patch-Tuesday

Claire Tills, Senior Research Engineer bei Tenable, kommentiert den aktuellen Patch Tuesday.

„Das Patch Tuesday Release dieses Monats enthält Fixes für 55 CVEs – drei davon sind als kritisch und 52 als wichtig eingestuft.

Anzeige

Microsoft behebt CVE-2022-30136, eine Sicherheitslücke im Netzwerk-Dateisystem, die von einem nicht authentifizierten Angreifer ausgenutzt werden kann und einen CVSSv3-Score von 9,8 erhält. Diese Sicherheitslücke betrifft nicht die Versionen 2 und 3 von NFS. Als Abhilfemaßnahme hat Microsoft vorgeschlagen, die NFS-Version 4.1 zu deaktivieren. Dies kann jedoch nachteilige Auswirkungen auf Systeme haben, insbesondere für Unternehmen, die das Sicherheitsupdate vom Mai 2022 für CVE-2022-26937 nicht angewendet haben. Wann immer es möglich ist, wird Unternehmen dringend empfohlen, ihre Systeme mit den neuesten Patches zu aktualisieren.

Patches für CVE-2022-30190, den als Follina bekannten Zero Day, der Ende Mai aufgedeckt wurde, sind ebenfalls im Release dieses Monats enthalten. Im Vorfeld des Patch Tuesday gab es viele Spekulationen darüber, ob Microsoft Patches veröffentlichen würde, da Microsoft die Schwachstelle zunächst heruntergespielt hatte und sie in den Wochen nach ihrer Offenlegung weit verbreitet war.

Was Microsofts beunruhigendes Verhalten, legitime Sicherheitsbedenken herunterzuspielen, betrifft, hat der Tenable-Forscher Jimi Sebree zwei Schwachstellen in Microsofts Azure Synapse Analytics entdeckt und veröffentlicht. Davon wurde eine gepatcht wurde und eine nicht. Keine der beiden Schwachstellen wurde mit einer CVE-Nummer versehen oder in Microsofts Security Update Guide für Juni dokumentiert.

Ich gehe davon aus, dass viele Journalisten nach Kommentaren zur Zukunft des Patch Tuesday suchen, da dies der letzte Monat sein soll. Im Moment gibt es jedoch nur sehr wenige Informationen von Microsoft. Aus diesem Grund könnte es sich lohnen, beim Pitching den Mangel an Handlungsempfehlungen hinzuweisen und die Journalisten auf Amit Yorans LinkedIn-Post zu verweisen, in dem er Microsoft und seine „ablehnende Haltung gegenüber dem Risiko, das Schwachstellen für Kunden darstellen“, kritisiert.

Zu den von Tenable-Forscher Jimi Sebree entdeckten Schwachstellen erklärte Tenable-CEO Amit Yoran in einem LinkedIn-Post: <<Nachdem wir die Situation bewertet hatten, beschloss Microsoft, eines der Probleme stillschweigend zu patchen und das Risiko herunterzuspielen. Erst als sie erfuhren, dass wir an die Öffentlichkeit gehen würden, änderte sich ihre Story… 89 Tage nach der ersten Meldung der Sicherheitslücke… als sie privat die Schwere des Sicherheitsproblems einräumten. Bis heute wurden die Microsoft-Kunden nicht benachrichtigt.>>

Ohne rechtzeitige und detaillierte Offenlegung haben die Kunden keine Ahnung, ob sie anfällig für Angriffe waren oder sind … oder ob sie Opfer eines Angriffs wurden, bevor eine Sicherheitslücke geschlossen wurde. Indem man die Kunden nicht benachrichtigt, verwehrt man ihnen die Möglichkeit, nach Beweisen dafür zu suchen, ob sie gefährdet waren oder nicht – eine grob unverantwortliche Politik.“

Claire Tills

Tenable -

Senior Research Engineer

Artikel zu diesem Thema

Weitere Artikel

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.