English
Français
Español
Italiano
Português
日本語
한국어
Русский
P
May 25, 2023Aus abbaubaren Materialien gedruckte organische elektrochemische Transistoren als biochemische Einwegsensoren
May 26, 2023Diese Klebebandpistole für Geschenkpapier wird Ihr Leben verändern
May 27, 2023Die 14 besten klaren Augenbrauengele des Jahres 2023, getestet und bewertet
May 28, 2023Wie man kniehohe Stiefel dazu bringt, tatsächlich oben zu bleiben
May 29, 2023Mit einem Juni-Patch-Tuesday-Update bleibt Microsoft zurück
Jul 13, 2023Von Susan Bradley, Mitwirkende Autorin, Computerworld |
Ich habe die Windows-Patches von Microsoft jahrelang verfolgt und alle Änderungen, die das Unternehmen vorgenommen hat, genau beobachtet. Ich erinnere mich, als man Updates in einer bestimmten Reihenfolge installieren musste – und darauf achten musste, welches zuerst installiert werden musste. Ich erinnere mich an die Einführung automatisierter Patches mithilfe von Software Update Services (später Windows Server Update Services genannt). Ich habe gesehen, wie wir von einem System, in dem jede Schwachstelle einzeln gepatcht wurde, zu dem übergegangen sind, was wir jetzt haben: kumulatives Patching.
Der ideale Patch ist in sich geschlossen. Installieren, neu starten, wieder an die Arbeit gehen. Es verursacht keine Nebenwirkungen. Es schützt das Betriebssystem. Und man vergisst es, weil es tut, was es tun soll.
Viele in der Sicherheitsbranche erinnern sich an bestimmte Sicherheitsvorfälle und schwärmen davon. Ich neige dazu, mich an bestimmte Pflaster und deren Nebenwirkungen zu erinnern. Mein Favorit war ein vor langer Zeit veröffentlichtes Update, das einen Bluescreen des Todes auslöste. Dieses spezielle Update, MS10-015, behebt ein Problem mit der Erhöhung von Berechtigungen, indem es Änderungen an Kernel-Registern vornimmt. Das Problem: An einigen Orten außerhalb der USA führten Benutzer Software aus, die die Notwendigkeit eines Produktlizenzschlüssels umging – und die genau dieselben Register verwendete, um sich in den Windows-Kernel einzubinden.
Als dieser Patch installiert wurde, löste er sofort einen BSOD aus und der Computer konnte nicht wiederhergestellt werden. Um der Ursache auf den Grund zu gehen, ging Microsoft sogar so weit, einem betroffenen Kunden einen Laptop abzukaufen. (Die Geschichte wird in diesem Video von Dustin Childs, Leiter des Microsoft Security Response Center, erzählt.)
Schneller Vorlauf zur Patch-Tuesday-Veröffentlichung dieses Monats. Es enthielt ein Update, das das Betriebssystem erst dann vollständig schützt, wenn jemand Registrierungsstrukturen und -schlüssel bereitstellt – Details, die im KB-Artikel fast vergraben sind. Um es zu finden, mussten Sie den Abschnitt „Windows 10 21H2“ erweitern, um zu einem kleinen Link zu einem zusätzlichen Knowledge Base-Artikel zu gelangen. Allerdings hat 21H2 diesen Monat sein letztes Update erhalten. Obwohl Microsoft häufig Änderungen, die sowohl 21H2 als auch 22H2 betreffen, auf diese Weise im selben Bulletin präsentiert, erscheint es seltsam, diese Informationen so weit unten im Update-Verlauf zu vergraben.
Die Details zu einem der Juni-Patches von Microsoft müssen in einem zusätzlichen KB-Artikel nachgelesen werden.
Die Anleitung zum Ergreifen zusätzlicher Maßnahmen finden Sie im Abschnitt „Weitere Informationen“, und es ist nicht einmal klar, dass wir die Registrierungsstruktur manuell hinzufügen müssen. Warum war das nicht nur Teil des Updates? (Der Patch enthält nicht einmal die Registrierungsschlüssel in einer deaktivierten Einstellung, Benutzer müssen den gesamten Hive selbst hinzufügen.) Letzten Donnerstag stellte Microsoft dann fest, dass die manuellen Schritte eine „potenzielle bahnbrechende Änderung“ einführen könnten, gab jedoch keine Antwort Hinweise darauf, welche Auswirkungen diese Änderung haben könnte oder worauf Sie achten sollten.
Microsoft hat die Patch-Verwirrung mit einem Folgehinweis am 15. Juni noch verstärkt.
Der benötigte Registrierungsschlüssel ist für jede Version von Windows 10 und 11 sowie Server 2022 eindeutig. Nun gibt es hier einige gute Neuigkeiten. Die Sicherheitslücke wird folgendermaßen beschrieben:
Ein authentifizierter Benutzer (Angreifer) könnte eine Sicherheitslücke hinsichtlich der Offenlegung von Informationen im Windows-Kernel verursachen. Für diese Sicherheitslücke sind weder Administratorrechte noch andere erhöhte Rechte erforderlich.
Der Angreifer, der diese Schwachstelle erfolgreich ausnutzt, könnte den Heap-Speicher eines privilegierten Prozesses einsehen, der auf dem Server ausgeführt wird.
Um diese Schwachstelle erfolgreich auszunutzen, muss ein Angreifer den Angriff mit einem anderen privilegierten Prozess koordinieren, der von einem anderen Benutzer im System ausgeführt wird.
Übersetzt wäre dies ein Angreifer, der ein hochwertiges Ziel anstrebt, nicht Verbraucher oder gar viele Unternehmen. Und es wäre kein trivialer Angriff, da es sich um einen gemischten Angriff handeln müsste, der zusätzliche Zeit und Mühe erfordert. Das schmälert jedoch nicht meine Bedenken, wie schlecht die Kommunikation zu dieser speziellen Veröffentlichung war – insbesondere der Mangel an Informationen darüber, welche Nebenwirkungen auftreten könnten. Ich habe die Registrierungsstruktur manuell zu einem Windows 10 22H2-Computer im Büro und einem Windows 11 22H2-PC zu Hause hinzugefügt und konnte keine direkten Auswirkungen feststellen.
Fassen wir also noch einmal zusammen. Wir haben eine Sicherheitslücke, bei der einige Benutzer, aber nicht alle, zusätzliche Maßnahmen ergreifen müssen. Die Registrierungseinstellungen müssen manuell vorgenommen werden. Dabei ist besonders auf die eindeutigen Schlüssel zu achten, die für jedes Betriebssystem erforderlich sind. Wenn Sie ein IT-Administrator sind, sollten Sie die Verwendung von PowerShell oder einer anderen Technik zur Bereitstellung dieser Schlüssel in Betracht ziehen. Allerdings würde ich darauf verzichten, es sei denn, Ihr Unternehmen ist einem hohen Risiko ausgesetzt. Bis Microsoft weitere Informationen zu etwaigen Nebenwirkungen bereitstellt, sollten Sie Ihre Zeit und Energie für andere Projekte verwenden, die Ihr Netzwerk besser schützen oder andere Patch-Implementierungen validieren. Es gibt viele andere Sicherheitsprojekte, bei denen Sie besser beraten wären.
Der gleiche Rat gilt, wenn Sie ein Kleinunternehmen sind oder einen PC zu Hause verwalten: Ich sehe keine Notwendigkeit, diese Registrierungsschlüssel jetzt hinzuzufügen.
Schließlich muss Microsoft es besser machen. Ihre Kommunikation zu dieser Veröffentlichung war miserabel, und die Kommunikation ist für die Sicherheit ungefähr so wichtig wie das Patchen. Das hast du vermasselt; Es fühlt sich an, als wären wir in Sachen Sicherheitskommunikation etwa 20 Jahre zurückgegangen. Hoffen wir, dass dies kein Trend für die Zukunft ist.
Copyright © 2023 IDG Communications, Inc.