Microsoft beginnt das Jahr 2022 mit einem umfangreichen Patch-Tuesday, der Fixes für 126 CVEs beinhaltet. Neun dieser Schwachstellen werden als kritisch eingestuft, darunter eine in dem weit verbreiteten Exchange-Server, die von der National Security Agency (NSA) gemeldet wurde. Obwohl von keiner dieser Schwachstellen bekannt ist, dass sie ausgenutzt werden kann, ist das Risiko aufgrund des Schweregrads hoch. Beispielsweise ist CVE-2022-21907 mit einer CVSS-Bewertung von 9,8/10 anfällig für Internet-Worms, wenn sie ausgenutzt wird, und betrifft als Webserver konfigurierte Windows-Server.
„Dieser Patch-Tuesday fällt in eine herausfordernde Zeit in der Sicherheitsbranche“, sagt Bharat Jogi, Director, Vulnerability and Threat Research bei Qualys. „Das Fachpersonal macht Überstunden, um Log4Shell zu beheben – Berichten zufolge die schlimmste Sicherheitslücke seit Jahrzehnten. Unvorhersehbare Ereignisse wie Log4Shell bedeuten für Sicherheitsexperten, die sich mit solchen Ausbrüchen befassen, einen erheblichen Stress. Sie machen deutlich, wie wichtig eine automatisierte Inventarisierung aller in der Umgebung eines Unternehmens verwendeten Komponenten ist.“
Es sei aktuell besonders ratsam, die Bereitstellung von Patches für Ereignisse mit definierten Zeitplänen – wie den Patch-Tuesday – zu automatisieren. „Dadurch können Sicherheitsexperten ihre Energie darauf verwenden, effizient auf solche unvorhersehbaren Ereignisse zu reagieren, die ein hohes Risiko für die Sicherheit eines Unternehmens darstellen“, schließt Jogi.
#Qualys