Trend Micro spricht sich für ein Ende des „Silent Patching“ aus - eine Praxis, die die Offenlegung und Dokumentation von Schwachstellen und Patches verzögert oder verharmlost. Als eines der größten Hindernisse bei der Bekämpfung von Cyberkriminalität ist diese Methode vor allem bei großen Anbietern und Cloud-Providern gängig.
„Die Zero Day Initiative wurde gegründet, um Schwachstellen zu schließen, bevor sie von Cyberkriminellen missbraucht werden. Die Notwendigkeit derartiger Maßnahmen wird in der Europäischen Union auch durch die neue NIS2-Direktive weiter betont“, erklärt Richard Werner, Business Consultant bei Trend Micro. „Wir sehen jedoch einen besorgniserregenden Trend hinsichtlich mangelnder Transparenz bei der Offenlegung von Schwachstellen im Zusammenhang mit Hersteller-Patches. Das stellt eine Gefahr für die IT-Security der digitalen Welt dar, da sie Kunden die Möglichkeit nimmt eigene, weiterführende Maßnahmen zu ergreifen.“
Entdeckte Schwachstellen
Im Rahmen der Sicherheitskonferenz Black Hat USA 2023 zeigten Vertreter von Trend Research, dass Silent Patching besonders bei Cloud-Anbietern üblich ist. Diese verzichten immer häufiger auf die Zuweisung einer Common Vulnerabilities and Exposures (CVE)-ID, die eine nachvollziehbare Dokumentation ermöglicht, und geben stattdessen Patches in nichtöffentlichen Prozessen heraus. Das Fehlen von Transparenz oder Versionsnummern für Cloud-Dienste behindert die Risikobewertung und entzieht der Security-Gemeinschaft wertvolle Informationen zur Verbesserung der Sicherheit im gesamten Ökosystem.
Schon im vergangenen Jahr warnte Trend Micro vor einer wachsenden Zahl unvollständiger oder fehlerhafter Patches und einer zunehmenden Zurückhaltung von Anbietern, verlässliche Informationen über Patches in einfacher Sprache zu liefern. Dieser Trend verstärkte sich in der Zwischenzeit, wobei einige Unternehmen das Patchen gänzlich vernachlässigen. Dies führt dazu, dass ihre Kunden und ganze Branchen vermeidbaren und zunehmenden Risiken ausgesetzt sind. Deswegen besteht dringender Handlungsbedarf, Patches zu priorisieren, Schwachstellen zu beheben und die Zusammenarbeit zwischen Forschern, Cybersecurity-Anbietern und Cloud-Service-Anbietern zu fördern, um Cloud-basierte Dienste zu stärken und Nutzer vor potenziellen Risiken zu schützen.
Mit dem Programm der ZDI setzt Trend Micro sich für ein transparentes Patching von Schwachstellen und eine Verbesserung der Security in der gesamten Branche ein. Im Rahmen dieses Engagements hat die Zero Day Initiative aktuell Hinweise auf mehrere Zero-Day-Schwachstellen veröffentlicht, darunter:
ZDI-CAN-20784 Github (CVSS 9.9): Über die Schwachstelle erlangen Remote-Angreifer Zugriff und Privilegien auf Installationen von Microsoft GitHub. Zur Ausnutzung dieser Schwachstelle ist eine Authentifizierung erforderlich.
ZDI-CAN-20771 Microsoft Azure (CVSS 4.4): Die Schwachstelle ermöglicht Remote-Angreifern die Offenlegung sensibler Informationen auf Microsoft Azure. Um diese Schwachstelle ausnutzen zu können, muss ein Angreifer zunächst die Berechtigung erlangen, hochprivilegierte Codes in der Zielumgebung auszuführen.
Weitere Informationen
Eine vollständige Liste der durch die Trend Micro Zero Day Initiative (ZDI) veröffentlichten Hinweise auf Schwachstellen finden Sie in englischer Sprache hier.