Warum Patching wichtig ist

rotes Hexagon mit einem weißen Vorhandschloss in der Mitte IT-SECURITY,

Johanna Hametner

IT-Consultant Information Security

E-Mail schreiben

Wie viele von uns haben schon einmal eine Updatebenachrichtigung erhalten und auf die Schaltfläche "Später erinnern" geklickt? Wir sind bei der Arbeit beschäftigt und denken: "Das mache ich später" oder "Das ist wahrscheinlich nicht so wichtig". *Klick*. Diese scheinbar harmlose Entscheidung kann jedoch für Unternehmen schwerwiegende Folgen haben.

 

Patch-Management ist der Prozess der Verteilung und Anwendung von Updates (in Fachkreisen spricht man von „Patches“) für Software. Dazu gehören Betriebssysteme, Systemsoftware, Browser und Anwendungen, die auf Servern oder Clients laufen. Softwarehersteller publizieren Patches vor allem aus zwei Gründen: um Funktionsfehler zu beheben und um Sicherheitslücken zu schließen, die von Hackern ausgenutzt werden könnten.

Die rechtzeitige Bereitstellung von Patches ist folglich für eine angemessene Cybersicherheit im Unternehmen unerlässlich. Wenn ein neuer Patch veröffentlicht wird, besteht die Gefahr, dass Angreifer jene Schwachstelle ausnutzen, für welche der Patch gedacht ist. Dies können Hacker oft zeitnah tun, so dass sie innerhalb weniger Stunden nach der Veröffentlichung eines Patches Malware veröffentlichen können, um die Schwachstelle auszunutzen. Daher ist auch die zeitliche Komponente beim Patchen von hoher Relevanz.

Um diese zeitliche Relevanz praxisorientiert umsetzen zu können, sind Produkte wie VACE MRMM erforderlich, welche die nötigen Prozesse und Steuerung liefern, sodass nicht nur rasch und automatisiert, sondern auch nachhaltig agiert werden kann. So kann das Risiko einer Ausnützung von Schwachstellen durch Cyberkriminelle stark verringert werden, sodass der Betrieb nicht zum Erliegen kommt.

Zusammengefasst ist die Patch-Verwaltung aus den folgenden Gründen wichtig:

  • Sicherheit: Die Patch-Verwaltung behebt Schwachstellen in Anwendungen, die für Cyberangriffe anfällig sind, und hilft Unternehmen, das Sicherheitsrisiko zu verringern.
  • Systembetriebszeit: Die Patch-Verwaltung sorgt dafür, dass Anwendungen stets auf dem neuesten Stand sind und reibungslos funktionieren, was die Systemverfügbarkeit unterstützt. 
  • Einhaltung von Vorschriften: Angesichts der ständigen Zunahme von Cyberangriffen sind Unternehmen häufig von Partnern, Behörden oder dem Gesetzgeber dazu verpflichtet, ein bestimmtes Maß an Compliance einzuhalten. Die Patch-Verwaltung ist ein notwendiger Bestandteil der Einhaltung von Compliance-Standards.

Im Folgenden finden Sie ein Praxisbeispiel, welches aufzeigt, weshalb ein angemessenes, wie auch zeitnahes Patchmanagement bei Sicherheitsvorfällen von hoher Bedeutung ist. An dieser Stelle eine kurze Warnung: tiefergehende IT-Kenntnisse sind ab dieser Stelle des Newsletters erforderlich. Haben Sie Fragen zu den Erläuterungen, stehen wir gerne zur Verfügung.
Warum zeigen wir Ihnen dieses Beispiel? Weil wir damit aufzeigen wollen, dass auch Anwendungen, welche im Hintergrund laufen, nicht vergessen werden dürfen und hier ein Partner gefragt ist, der Sie darauf hinweist, berät oder umsetzt.

Praxisbeispiel Veeam

Die Anwendung „Veeam Backup & Replication“ bietet Datensicherungs- und Wiederherstellungsfunktionen für virtuelle Maschinen, die auf Hyper-V, vSphere und Nutanix AHV laufen, sowie für Server und Workstations wie auch für Cloud-basierte Workloads.

Technische Zusammenfassung

In Veeam Backup & Replication wurden mehrere Sicherheitslücken entdeckt. Details zu den Sicherheitslücken sind wie folgt:

  • Es besteht (bestand) eine Sicherheitsanfälligkeit, bei der ein nicht authentifizierter Benutzer über Port 9380/TCP auf interne API-Funktionen zugreifen kann (CVE-2022-26500).
  • Es besteht (bestand) eine Sicherheitslücke, über welche die oben genannte Sicherheitslücke ausgenutzt werden kann, um bösartigen Code aus der Ferne ohne Authentifizierung auszuführen (CVE-2022-26501).
  • Es besteht (bestand) eine Sicherheitslücke in Veeam.Backup.PSManager.exe, die eine Authentifizierung mit nicht-administrativen Domänen-Anmeldeinformationen ermöglicht, wenn Veeam Backup & Replication mit einem registrierten Microsoft System Center Virtual Machine Manager (SCVMM)-Server installiert wird (CVE-2022-26504).

Je nach vorhandenen Berechtigungen könnte ein Angreifer Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit vollen Benutzerrechten erstellen. Wenn diese Anwendung so konfiguriert wurde, dass sie weniger Benutzerrechte auf dem System hat, könnte die Ausnutzung dieser Sicherheitsanfälligkeit geringere Auswirkungen haben, als wenn sie mit Administratorrechten konfiguriert wurde.

Wie in diesem Fall ein etabliertes Patchmanagement Abhilfe schafft

  • Installation, der von Veeam bereitgestellten Patches sofort nach entsprechenden Tests verringert die Gefahr.
  • Keine Ausführung der Software als privilegierter Benutzer (sondern nur ohne administrative Rechte), um die Auswirkungen eines erfolgreichen Angriffs zu verringern.
  • Anwendung des Grundsatzes der geringsten Privilegien auf allen Systemen und Dienste.
  • Der Patch muss auf dem Veeam Backup & Replication-Server installiert werden. Verwaltete Server mit Veeam Distribution Service werden nach der Installation des Patches automatisch aktualisiert.
  • Die Patches schließen nicht nur diese beiden Sicherheitslücken, sondern beheben auch drei weitere Probleme:
    • Einen Fehler in Veeam Backup PS Manager (CVE-2022-26504). Er ermöglicht die Authentifizierung mit nicht-administrativen Domänen-Anmeldeinformationen. Ein entfernter Angreifer kann die verwundbare Komponente nutzen, um beliebigen Code auszuführen.
    • Die Standardinstallation von Veeam Backup & Replication sind für dieses Problem nicht anfällig. Nur Veeam Backup & Replication-Installationen, bei denen ein SCVMM-Server registriert ist, sind anfällig;
    • (CVE-2022-26503). Veeam Agent für Windows verwendet Microsoft .NET-Daten-Serialisierungsmechanismen. Ein lokaler Benutzer kann bösartigen Code an den vom Veeam Agent for Windows Service geöffneten Netzwerkport (standardmäßig TCP 9395) senden, der nicht richtig deserialisiert wird.

Brauchen Sie Hilfe beim Patchen oder haben Sie generelle Fragen zum Thema? Wir stehen gerne zur Verfügung!