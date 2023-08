Richard Werner, Business Consultant bei Trend Micro

Trend Micro, weltweit tätiger Anbieter von Cybersicherheitslösungen, gab bekannt, dass seine Zero Day Initiative (ZDI) in diesem Jahr bereits über 1.000 Hinweise (Advisories) auf einzelne Schwachstellen in IT-Produkten veröffentlicht hat.

Vor diesem Hintergrund warnt das Unternehmen davor, dass immer häufiger fehlerhafte oder unvollständige Patches veröffentlicht oder diese durch die betroffenen Hersteller heimlich ausgerollt werden.

Trend Micro spricht sich für ein Ende des „Silent Patching“ aus - eine Praxis, die die Offenlegung und Dokumentation von Schwachstellen und Patches verzögert oder verharmlost. Als eines der größten Hindernisse bei der Bekämpfung von Cyberkriminalität ist diese Methode vor allem bei großen Anbietern und Cloud-Providern gängig.

„Die Zero Day Initiative wurde gegründet, um Schwachstellen zu schließen, bevor sie von Cyberkriminellen missbraucht werden. Die Notwendigkeit derartiger Maßnahmen wird in der Europäischen Union auch durch die neue NIS2-Direktive weiter betont“, erklärte Richard Werner, Business Consultant bei Trend Micro. „Wir sehen jedoch einen besorgniserregenden Trend hinsichtlich mangelnder Transparenz bei der Offenlegung von Schwachstellen im Zusammenhang mit Hersteller-Patches. Das stellt eine Gefahr für die IT-Security der digitalen Welt dar, da sie Kunden die Möglichkeit nimmt eigene, weiterführende Maßnahmen zu ergreifen.

Im Rahmen der Sicherheitskonferenz Black Hat USA 2023 zeigten Vertreter von Trend Research, dass Silent Patching besonders bei Cloud-Anbietern üblich ist. Diese verzichten immer häufiger auf die Zuweisung einer CVE-ID (Common Vulnerabilities and Exposures), die eine nachvollziehbare Dokumentation ermöglicht, und geben stattdessen Patches in nichtöffentlichen Prozessen heraus.

Das Fehlen von Transparenz oder Versionsnummern für Cloud-Dienste behindere die Risikobewertung und entzieht der Security-Gemeinschaft wertvolle Informationen zur Verbesserung der Sicherheit im gesamten Ökosystem.

Schon im vergangenen Jahr warnte Trend Micro vor einer wachsenden Zahl unvollständiger oder fehlerhafter Patches und einer zunehmenden Zurückhaltung von Anbietern, verlässliche Informationen über Patches in einfacher Sprache zu liefern. Dieser Trend verstärkte sich in der Zwischenzeit, wobei einige Unternehmen das Patchen gänzlich vernachlässigen. Dies führt dazu, dass ihre Kunden und ganze Branchen vermeidbaren und zunehmenden Risiken ausgesetzt sind.

Daher bestehe dringender Handlungsbedarf, Patches zu priorisieren, Schwachstellen zu beheben und die Zusammenarbeit zwischen Forschern, Cybersecurity-Anbietern und Cloud-Service-Anbietern zu fördern, um Cloud-basierte Dienste zu stärken und Nutzer vor potenziellen Risiken zu schützen.

Mit dem Programm der ZDI setzt Trend Micro sich nach eigenen Angaben für ein transparentes Patching von Schwachstellen und eine Verbesserung der Security in der gesamten Branche ein. Im Rahmen dieses Engagements hat die Zero Day Initiative aktuell Hinweise auf mehrere Zero-Day-Schwachstellen veröffentlicht, darunter:

ZDI-CAN-20784 Github (CVSS 9.9)

Über die Schwachstelle erlangen Remote-Angreifer Zugriff und Privilegien auf Installationen von Microsoft GitHub. Zur Ausnutzung dieser Schwachstelle ist eine Authentifizierung erforderlich.

ZDI-CAN-20771 Microsoft Azure (CVSS 4.4)

Die Schwachstelle ermöglicht Remote-Angreifern die Offenlegung sensibler Informationen auf Microsoft Azure. Um diese Schwachstelle ausnutzen zu können, muss ein Angreifer zunächst die Berechtigung erlangen, hochprivilegierte Codes in der Zielumgebung auszuführen.