2018: Das große Softwaresterben
Office-Schwachstelle wäre mit richtigem Rechtemanagement zu vermeiden
Patch Tuesday im Dezember: Kehraus zum Jahresende
Von Chris Goettl, Leiter Produktmanagement, Sicherheit bei Ivanti
Der Patch Tuesday im Dezember 2017 hat eine recht überschaubare Anzahl von Updates gebracht. Microsoft hat insgesamt 32 einzigartige CVEs (Common Vulnerabilities and Exposures) vermeldet keine davon wurde veröffentlicht oder ausgenutzt. Adobe hat daneben ein Update für Flash Player herausgebracht, das eine moderate Schwachstelle auflöst. Allerdings wird dieses Update in der Priorität 2 eingestuft, weshalb Microsoft es im Rahmen des Patch Tuesday für den IE als kritisch eingestufte.
Es ist mal wieder die richtige Jahreszeit, um sich um End-of-Life-Angelegenheiten zu kümmern. IT-Verantwortliche sollten also Ihre Planung für 2018 beginnen, indem sie sich einen Überblick verschaffen, welche Produkte im kommenden Jahr auf EoL umgestellt werden. Der Patch Tuesday im Dezember gibt dazu einige Hinweise: Der EoL von Windows 10 1607 ist vorläufig für März 2018 geplant.
Für Windows 10 1703 ist vorläufig September 2018 im Gespräch. Insgesamt erreichen 48 Microsoft-Produkte 2018 ihr Support-Ende. Das Unternehmen hat alle diese Produkte in einem Artikel zusammengefasst. Daneben sind auch die Produkte verzeichnet, die für den Übergang vom Mainstream zum Extended Support vorgesehen sind. IT-Verantwortliche sollten für ihre Patch-Management-Planung einen Blick in "Products Reaching End of Support for 2018" werfen.
Der Patch Tuesday im Dezember enthält daneben ein Office-Update, das eine Sicherheitslücke in Excel schließt. Diese könnte eine Ausführung von Code durch einen entfernten Rechner ermöglichen. CVE-2017-11935 ist eine Schwachstelle in der Art, wie Microsoft Office mit Objekten im Speicher umgeht. Ein Angreifer könnte eine speziell gestaltete Datei erstellen, um Aktionen des aktuellen Benutzers auszuführen.
Der Angriff könnte in Form eines E-Mail-Anhangs oder als speziell gestalteter Inhalt auf einer Website erfolgen. Der Cyberkriminelle muss nur noch den Benutzer davon überzeugen, die Datei zu öffnen, um die Sicherheitslücke auszunutzen. Die Chancen, dass er damit Erfolg hat, sind groß: Abhängig von der jeweiligen Quelle werden immer noch gut 30 Prozent aller Phishing-verseuchten Mails geöffnet. Und in 12 Prozent aller Fälle wird auf den Anhang geklickt. Dies macht deutlich, dass Endnutzer nach wie vor das geeignete Einfallstor für professionelle Cyberangriffe darstellen. Einem Angriff über die CVE-2017-11935 ließe sich jedoch bereits mit einem adäquaten Rechtemanagement begegnen.
Microsoft-Browser im Blick
Die im Rahmen des Patch Tuesday vorgestellten CVEs betrafen im Gros die Microsoft-Browser. Es ist also ratsam, den Updates für den IE- sowie den Edge-Browser eine hohe Priorität einzuräumen. Auch sollten sich IT-Verantwortliche um das bereits erwähnte Office-Update kümmern und die Patches für Exchange und SharePoint nicht ignorieren. Das Exchange-Update in diesem Monat wirkt sich auf den Outlook Web Access (OWA) aus. Es löst eine CVE, die sich jedoch nur recht kompliziert ausnutzen lässt. Allerdings kann sie in Verbindung mit anderen CVEs als Dreh- und Angelpunkt verwendet werden, um einen verketteten Angriff zu starten. SharePoint enthält ebenfalls eine CVE, die Cross-Site-Scripting-Angriffe zulassen. Mit ihrer Hilfe könnte eine Erhöhung der Zugriffsrechte möglich sein. (Ivanti: ra)
eingetragen: 17.12.17
Home & Newsletterlauf: 12.01.18
Ivanti: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.