{"id":214671,"date":"2019-02-11T01:06:58","date_gmt":"2019-02-11T00:06:58","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=214671"},"modified":"2024-04-10T17:54:50","modified_gmt":"2024-04-10T15:54:50","slug":"microsoft-analyse-0-day-schwachstellen-grtes-risiko","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/02\/11\/microsoft-analyse-0-day-schwachstellen-grtes-risiko\/","title":{"rendered":"Microsoft-Analyse: 0-day-Schwachstellen gr&ouml;&szlig;tes Risiko"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\"\/>[English]Die gr\u00f6\u00dften Risiken f\u00fcr Computersysteme stellen 0-day-Schwachstellen dar, weniger zur\u00fcckgestellte Updates. Und 0-day-Schwachstellen werden gezielt angegriffen. <\/p>\n<p><!--more--><\/p>\n<h2>Einige Zahlen und Fakten<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg01.met.vgwort.de\/na\/f0709b127ceb465d84d665dfb5a9e662\" width=\"1\" height=\"1\"\/>Es sind interessante Einblicke, die Matt Miller vom Microsoft Security Response Center (MSRC) auf der Blue Hat-Konferenz 2019 in Israel gerade gegeben hat. Miller hat seine Vortragsfolien auf GitHub ver\u00f6ffentlicht, wie er auf Twitter bekannt gab.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p lang=\"en\" dir=\"ltr\">Posted the slides from my <a href=\"https:\/\/twitter.com\/hashtag\/bluehatil?src=hash&amp;ref_src=twsrc%5Etfw\">#bluehatil<\/a> talk covering trends, challenges, and strategic shifts in the software vulnerability landscape. Questions, comments, and alternative perspectives welcome  <a href=\"https:\/\/t.co\/6IAzb2AaR8\">https:\/\/t.co\/6IAzb2AaR8<\/a><\/p>\n<p>\u2014 Matt Miller (@epakskape) <a href=\"https:\/\/twitter.com\/epakskape\/status\/1093488162318491648?ref_src=twsrc%5Etfw\">7. Februar 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Die Zahlen, die Matte Miller in seinem Vortrag pr\u00e4sentiert hat, sind ganz interessant. <\/p>\n<ul>\n<li>2018 wurden gut 54% der berichteten Schwachstellen durch Software-Updates behoben.  <\/li>\n<li>Ca. 85 % der Schwachstellen lagen im Bereich Remote Code Execution (RCE), Elevation of Privilege (EOP) oder Information Disclosure (ID).<\/li>\n<\/ul>\n<p><a href=\"https:\/\/i.imgur.com\/M0BwDHj.jpg\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" title=\"Schwachstellen-Fixes\" alt=\"Schwachstellen-Fixes\" src=\"https:\/\/i.imgur.com\/M0BwDHj.jpg\" width=\"670\" height=\"377\"\/><\/a><br \/>(Quelle: Microsoft, <a href=\"https:\/\/i.imgur.com\/M0BwDHj.jpg\" target=\"_blank\" rel=\"noopener\">Zum Vergr\u00f6\u00dfern klicken<\/a>)<\/p>\n<p>In obiger Folie zeigt die linke Grafik, dass die Zahl der Patches, die Sicherheitsl\u00fccken mit CVE schlie\u00dfen, Jahr f\u00fcr Jahr ansteigt. Die rechte Grafik zeigt aber, dass das Risiko, dass Schwachstellen binnen 30 Tagen nach Ver\u00f6ffentlichung eines Updates ausgenutzt werden, kontinuierlich sinkt. Die Zahl der bekannten Exploits sinkt also und lag in den letzten Jahren bei 2-3%. <\/p>\n<p><a href=\"https:\/\/i.imgur.com\/2qDc5WE.jpg\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" title=\"Schwachstellen-Ausnutzung\" alt=\"Schwachstellen-Ausnutzung\" src=\"https:\/\/i.imgur.com\/2qDc5WE.jpg\" width=\"640\" height=\"360\"\/><\/a><br \/>(Quelle: Microsoft, <a href=\"https:\/\/i.imgur.com\/2qDc5WE.jpg\" target=\"_blank\" rel=\"noopener\">Zum Vergr\u00f6\u00dfern klicken<\/a>)<\/p>\n<p>Interessant sind auch die beiden Grafiken in obiger Folie, die die Ausnutzung von 0-day-Exploits behandeln. Falls eine Schwachstelle per Exploit ausgenutzt wird, handelt es sich um eine 0-day-Schwachstelle, f\u00fcr die es noch keinen Patch gibt. F\u00fcr die durch Updates geschlossenen Schwachstellen werden in den ersten 30 Tagen nach Verf\u00fcgbarkeit des Patches eigentlich keine Exploits mehr entdeckt \u2013 es lohnt sich f\u00fcr die Exploit-Entwickler nicht. Exploits werden eher f\u00fcr \u00e4ltere Software entwickelt, f\u00fcr die es keine Updates zum Schlie\u00dfen von Schwachstellen mehr gibt. <\/p>\n<p>Bei angegriffenen Schwachstellen handelt es sich immer um 0-day-Schwachstellen, f\u00fcr die es noch keinen Patch gibt. Und Angriffe, die solche 0-day-Exploits verwenden, adressieren spezifische Ziele (z.B. Regierungen oder einzelne Personen). Es erfolgen also keine breit angelegten Kampagnen. <\/p>\n<h2>Schlussfolgerungen aus diesen Erkenntnissen<\/h2>\n<p>Das l\u00e4sst nat\u00fcrlich einige interessante Schl\u00fcsse zu. So ist es schon wichtig, Software aktuell zu halten. Bleibt man aber im Microsoft-Universum, l\u00e4sst sich eine wichtige Erkenntnis ableiten. Der erste Reflex w\u00e4re also: Sobald ein Update von den Herstellern freigegeben wurde, sollte dieses sofort installiert werden. <\/p>\n<p>Bereitgestellt Sicherheitsupdates bergen bei Microsoft aber latent die Gefahr, dass deren Installation zu Kollateralsch\u00e4den f\u00fchrt. Daher stellen Administratoren die Installation von Updates in Windows gerne einige Tage (bis zu 30 Tage) zur\u00fcck. Treten gravierende Probleme auf, zieht Microsoft die Updates meist nach einigen Tagen zur\u00fcck und gibt sp\u00e4ter revidierte Updates wieder frei. Verz\u00f6gert ein Administrator die Update-Installation, erh\u00f6ht sich das Risiko f\u00fcr einen Angriff also in praktischer Hinsicht nicht oder kaum. <\/p>\n<p>Das Ganze ist sicher ein Thema, was zu Diskussionen Anlass gibt. Woody Leonhard hat sich <a href=\"https:\/\/web.archive.org\/web\/20190217064648\/https:\/\/www.computerworld.com\/article\/3339537\/microsoft-windows\/microsoft-watch-out-for-zero-days-deferred-patches-not-so-much.html\" target=\"_blank\" rel=\"noopener\">hier<\/a> ebenfalls einige Gedanken zum Thema gemacht. Wie seht ihr das Thema denn?<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Die gr\u00f6\u00dften Risiken f\u00fcr Computersysteme stellen 0-day-Schwachstellen dar, weniger zur\u00fcckgestellte Updates. Und 0-day-Schwachstellen werden gezielt angegriffen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,4325],"class_list":["post-214671","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/214671","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=214671"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/214671\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=214671"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=214671"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=214671"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}