Startseite > Netzwerke & IT-Infrastruktur > Patchen erfordert auch Eigeninitiative

PSW Group: Alte und neue Sicherheitslücken bedrohen IT-Sicherheit

Patchen erfordert auch Eigeninitiative

27. April 2022, 8:00 Uhr | Jörg Schröper

Software ist bekanntlich überall im Einsatz: Der Außendienst nutzt Smartphones und Notebooks. Im Büro läuft die Arbeit mit Workstations und E-Mails werden über E-Mail-Server und Clients versendet. Befinden sich Sicherheitslücken in der verwendeten Software, haben es Cyberkriminelle relativ leicht, an Informationen, Daten oder Zugänge zu kommen. Deshalb ist es unabdingbar, stets über Patches informiert zu sein.

„Sicherheitslücken können verschiedene Auswirkungen haben: Vom Verteilen von Malware über das Abgreifen von wertvollen Informationen bis hin zur Übernahme von Systemen ist vieles möglich. Leider vergeht immer einige Zeit zwischen dem Feststellen einer Sicherheitslücke bis zur Bereitstellung eines Patches, der diese schließen soll. In diesem Zeitraum können Sicherheitslücken bereits ausgenutzt werden, in anderen Fällen werden Cyberkriminelle auf Schwachstellen erst aufmerksam, wenn Sicherheitspatches bereitstehen.

Und nicht immer reicht ein Patch aus, um sämtliche Sicherheitslücken zu schließen“, so Patrycja Schrenk, Geschäftsführerin der PSW Group. Die IT-Sicherheitsexpertin und ihr Team haben die bedrohlichsten Sicherheitslücken, für die es jedoch bereits Patches gibt, zusammengestellt:

Viele Sicherheitslücken aus 2021 sind auch 2022 noch aktuell und noch lange nicht gänzlich behoben. Dazu gehören vor allem die Lücken auf dem Update-Server der IT-Management-Software Orion aus dem Haus Solarwinds, Schwachstellen in Microsofts Exchange Server, die dafür sorgten, dass das Bundesamt für Sicherheit in der Informationstechnik im letzten Jahr sogar die IT-Bedrohungslage „rot“ ausrief, sowie die Log4j-Sicherheitslücke, über die es Angreifenden gelingt, remote Code zu injizieren.

„Und auch in diesem Jahr können Administratoren nicht durchatmen, denn schon sind zahlreiche neue Sicherheitslücken aufgetaucht. OpenSSL bleibt durch eine neue Schwachstelle weiterhin verwundbar. Es tauchten Sicherheitslücken in der Backup-Software Veeam Backup & Replication sowie in der IBM-Backup-Software Spectrum Protect auf, und auf Lenovo Notebooks wurden gleich drei gefährliche Schwachstellen entdeckt“, warnt Schrenk.

So sorgt nach 2014 eine neue Schwachstelle in OpenSSL für neuerliche Verwundbarkeit: Die jetzige Lücke erlaubt es Angreifenden, Clients und Server durch präparierte TLS-Zertifikate lahmzulegen. Damit dies gelingt, müssen Angreifer dafür sorgen, dass durch sie präparierte TLS-Zertifikate beziehungsweise private Schlüssel mit elliptischen Kurven von Servern verarbeitet werden. Die mit dem Bedrohungsgrad „hoch“ eingestufte Sicherheitslücke findet sich in den OpenSSL-Versionen 1.0.2, 1.1.1 sowie 3.0. „Wir empfehlen dringend ein zeitnahes Update auf die abgesicherten Ausgaben 1.1.1n oder 3.0.2. Für die 1.1.0-Version ist der Support bereits ausgelaufen, sodass es hierfür keine Sicherheitspatches mehr gibt“, ergänzt die IT-Sicherheitsexpertin.