Zero-Day Exploits oder Software-Schwachstellen sind ein sicheres Eingangstor für Cyberangriffe. Bei dem Microsoft Exchange Server Hack wurden über 100.000 Unternehmen gehackt. Das zeigt, wie wichtig schnelles Patchen von Systemen ist. Wir zeigen wie schnell und einfach Patchmanagement geht.
Patchmanagement – Wie geht das?
Darum ist das Patchmanagement so wichtig
Als Anna und ihr Team sich kürzlich an das Patchmanagement einer Kundenumgebung machten, trauten sie ihren Augen nicht.
Anhand des Dashboards konnten Sie genau sehen, wie der Kunde das Patchmanagement der letzten Monate sehr stiefmütterlich behandelt hatte. Über die Menge der fehlenden Patches waren Sie überrascht, da es sich nur um ein paar Dutzend Endpunkte (PC, Server, Hyper-V usw.) handelt. Die hohe Anzahl an „Vulnerabilities“, auf Deutsch: Schwachstelle, war jedoch zu erwarten.
Ausschnitt aus dem Dashboard einer Testumgebung mit Crowdstrike Spotlight
Denn ab einer gewissen Größe der IT Umgebung sind jegliche Lücken und Schwachstellen schwer bis gar nicht zu managen oder zu überwachen. Um dem entgegenzuwirken, gibt es Werkzeuge für das Patchmanagement (z.B. CrowdStrike Spotlight), welche Vulneralbilites in verschiedenen Gefahrenstufen (siehe Screenshot) einordnen. Um eine Schwachstelle richtig einzuschätzen, zeigt das Dashboard an, welche Vulneralbilities sofort (critical-high) oder erst später (medium – low) behoben werden müssen.
Ein Patch (von engl. to patch = flicken, ausbessern), ist eine Korrekturauslieferung für Software oder Daten aus Endanwendersicht, um Fehler zu beheben – meist um bekannt gewordene Sicherheitslücken zu schließen – oder bislang nicht vorhandene Funktionen nachzurüsten.
Wer sind Anna und die Cyberdetektive?
Mit unserer Reihe Anna und die Cyberdetektive bringen wir Licht ins Dunkel des Cyberraums und wollen über dort lauernde Gefahren aufklären. Wer ist Anna und wer sind die Cyberdetektive – mehr dazu in den nächsten Postings. Alle Fälle der Cyberdetektive basieren auf wahren Begebenheiten und sind tatsächliche Cybernotfälle. Alle Fälle sind selbstverständlich verfremdet, denn es gilt Personen und Unternehmen zu schützen, die im Laufe des Geschehens eine Rolle spielen.
Welche „Vulnerabilities“ sind gefährlich?
Zuerst prüfen Anna und Ihr Team das Dashboard ein wenig genauer, denn es sind z.B. noch ältere Windows Server Systeme im Einsatz, bei denen derzeit eine Migration läuft. Nicht, dass dadurch die Risiken geringer werden – sie sind nur schon bekannt. Daher werden diese „bekannten Risiken“ nicht weiter beachtet:
Ausschnitt aus dem Dashboard einer Testumgebung mit Crowdstrike Spotlight ( ohne „bekannte Risiken“)
Die Anzahl ist zwar deutlich geringer, allerdings bleiben doch noch eine ganze Menge Schwachstellen übrig.
Patchmanagement – Welche Software hat Schwachstellen?
Softwarehersteller wie z.B. Microsoft informieren ihre Kunden regelmäßig über Schwachstellen und Angriffspunkte (wie z.B. die Microsoft Exchange Server Sicherheitslücken im März & April 2021 oder Log4shell). Das tun sie und das müssen sie auch – und zwar rechtlich.
Doch wie erkennt man, welche der vielen Meldungen ernst zu nehmen sind und welche man in Ruhe zur Umsetzung ins Patchmanagement einplanen kann? Schließlich kann man kritische Systeme nicht dauernd in den Wartungsmodus versetzen, um sie zu patchen.
Wie erkenne ich welche Schwachstellen gefährlich sind?
Anna und Ihr Team können anhand der CVE Nummer erkennen, um welche Sicherheitslücke oder Schwachstelle es sich handelt. Sobald ein Softwarehersteller eine Gefahr meldet, wird in der Regel auf eine CVE Nummer verwiesen. Die sogenannte „CVE“, Abkürzung für Common Vulnerability and Exposure(s) dient dazu jede Sicherheitslücke oder Schwachstelle eindeutig zu kennzeichnen.
Common Vulnerabilities and Exposures (CVE – deutsch bekannte Schwachstellen und Anfälligkeiten) ist ein dem US-amerikanischen National Cybersecurity FFRDC unterstelltes und durch die Mitre Corporation gepflegtes Referenzier-System, dessen Ziel die Einführung einer einheitlichen Namensgebung für Sicherheitslücken und andere Schwachstellen in Computersystemen ist.
Neben der CVE Nummer wird zusätzlich noch die schwere der Schwachstelle mit der CVSS Nummer ausgewiesen. Das „CVSS“ (Common Vulnerability Scoring System) ist ein internationaler Standard, der dazu dient die Sicherheitslücken einheitlich zu bewerten. Anhand des Punktesystems von 0-10 können die Schwachstellen in „keine“, „niedrig“, „mittel“, „hoch“ und „kritisch“ eingestuft werden. Diese Indikatoren sind im Patchmanagement sehr wichtig.
Eine Sicherheitsmeldung (hier Microsoft) kann dann so aussehen:
Screenshot des CVE-2021-38666
Die Sicherheitslücke CVE-2021-38666 ist eine ganz fiese Geschichte, die besonders Homeoffice-Umgebungen, also Hyper-V Umgebungen (virtuelle Serverlösungen), betrifft.
Neben den Hinweisen vom Hersteller gelangt das Team von Anna zur Quelle des Eintrags in der CVE Database der NVD (National Vulnerability Database).
Screenshot der CVE-2021-38666 „Remote Desktop Client Remote Code Execution Vulnerability“
Muss die Schwachstelle sofort geschlossen werden?
Die CVSS Nummer zeigt uns, wie „kritisch“ die Sicherheitslücke ist, allerdings nicht, ob diese schon aktiv genutzt wird. Doch woher erfahren wir das? Anna weiß, dass es dafür genau zwei Wege gibt: selbst herausfinden oder das jemand anderen für sich tun lassen.
Da viele Unternehmen nicht die nötigen Ressourcen dazu haben, die Recherche selbst durchzuführen, kann die Frage mithilfe eines Tools, wie CrowdStrike-Spotlight, beantwortet werden.
Microarchitectural Data Sampling – Was hat das damit zu tun?
Anna und Ihr Team haben herausgefunden, dass der angezeigten CVE mit einer weiteren Sicherheitswarnung zusammen hängt. Intel hatte eine Sicherheitswarnung herausgegeben, und zwar bereits am 14. Mai 2019, die auf Microarchitectural Data Sampling Sicherheitsanfälligkeiten hinweist.
Intel definitert „MDS“, Abkürzung für Microarchitectural Data Sampling, wie folgt:
„MDS May allow a malicious user who can locally execute code on a system to infer the values of secret data otherwise protected by architectural mechanisms.“
Der Kunde hatte bereits die Updates durchgeführt, die vom Hersteller Intel empfohlen wurden:
- BIOS-Updates
- Windows-Updates
Also anscheinend alles richtig gemacht. Doch dem war nicht so.
Das neu installierte Tool CrowdStrike-Spotlight hat Licht ins Dunkel gebracht und die entsprechenden Systeme immer noch als Verwundbar gemeldet, obwohl BIOS-Updates durchgeführt und das Betriebssystem auf den neuesten Stand gehalten wurde. Zum Glück meldet die Software, dass diese Vulnerabilities derzeit nicht aktiv ausgenutzt werden und somit mehr Zeit für das Patchen zur Verfügung steht.
Doch woran lag es jetzt, dass das System immer noch als verwundbar angezeigt wurde? Anna recherchierte noch ein wenig und fand nun folgende Sicherheitswarnung vom Hersteller:
Auszug von Microsoft bzgl. Risikominimierung von Microarchitectural
Die Lösung – nach vielen Hürden
Die Sicherheitslücke zeigte, dass das Patchen und Updaten einer Hyper-V-Umgebung eine echte Herausforderung ist. Nahezu jedes Unternehmen betreibt eine solche Umgebung, z.B. um Zugriffe von extern, wie im Home-Office, zu ermöglichen. Zum Glück wussten Anna und ihr Team, dass es sich dabei um eine Maßnahme handelt, die geplant werden kann und sollte.
Damit Updates von Windows und BIOS wirken, gilt Folgendes:
Bei der Nutzung von Hyper-V müssen BIOS-Features an die Hyper-V-Gäste weitergeleitet werden. Dazu sind zusätzliche Registry-Keys notwendig, die manuell gesetzt werden müssen – sowohl am Hyper-V-Server selbst als auch am Hyper-V-Gast-System. Zusätzlich wird der Schutz am Gast-System erst nach einem kompletten Neustart dieses Hyper-V-Gast-Systems aktiv.
Das hat zur Folge, dass Wartungsfenster definiert werden müssen, um die Aufgabenstellung umzusetzen. Beim Kunden musste eine weitere Hyper-V-Umgebung beschafft und eingerichtet werden. Erst danach konnten die Wartungsarbeiten bei den kritischen Systemen nach und nach vollständig umgesetzt werden.
Der Kunde ist glücklich und seine Umgebung etwas sicherer geworden. Anna und die Cyberdetektive haben mit dem richtigen Tools diese verborgenen und auch kritischen Sicherheitslücken entdeckt und deren Beseitigung betreut. Der Kunde ist jetzt gerade dabei, seine entdeckten kritischen Vulnerabilitäten Stück für Stück zu bereinigen und neu auftretenden Sicherheitslücken offensiv und aktiv anzugehen. Anna und die Cyberdetektive stehen ihm dabei natürlich jederzeit zur Seite.
