Interessante Studie für Cybersicherheitsexperten: Der zum neunten Mal veröffentlichte Microsoft Vulnerabilities Report ist jetzt verfügbar. Die neueste Ausgabe des Berichts bietet eine konsolidierte Ansicht auf zwölf Monate und wertet Microsofts Patch-Tuesday-Aktualisierungen des vergangenen Jahres aus. Der Report bietet damit einen Überblick über die aktuelle Bedrohungssituation in unterschiedlichen Microsoft-Umgebungen. Dazu kommen Kommentare und Analysen von weltweit anerkannten Experten zum Thema Microsoft und Cybersicherheit — wie zum Beispiel Paula Januszkiewicz, Sami Laiho und Russell Smith.
Im Report befassen wir uns mit den Sicherheitsaktualisierungen für unterschiedliche Microsoft-Plattformen und -Produkte, dokumentieren die Anfälligkeiten und stufen sie nach ihrem Schweregrad ein. Im Abschnitt „Retro Respective“ enthält der Bericht außerdem eine sechsjährige Trendanalyse, die wertvolle Erkenntnisse liefert, wie sich die Bedrohungslandschaft verändert hat und worauf in Zukunft besonders zu achten ist.
Rund 1,5 Milliarden Nutzer arbeiten jeden Tag mit Windows-Betriebssystemen und verschiedenen Microsoft-Produkten. Da 27 Prozent der Sicherheitsverletzungen durch ungepatchte Schwachstellen verursacht werden, ist es von größter Bedeutung, dass Unternehmen böswilligen Akteuren hier einen Schritt voraus sind.
Werfen wir einen genaueren Blick auf die neuesten Ergebnisse.
Wichtige Erkenntnisse aus dem Microsoft Vulnerabilities Report 2022
Der letztjährige Microsoft Vulnerabilities Report ermittelte einen Rekordanstieg bei den erfassten Schwachstellen. Im Jahr 2021 sank die Zahl wieder auf 1.212 Microsoft-Schwachstellen – ein Rückgang von fünf Prozent gegenüber den 1.268 Sicherheitslücken des Vorjahres. Statistisch gesehen hört sich das erst einmal positiv an, aber man muss sich natürlich das weiterhin hohe Gesamtniveau der Microsoft-Schwachstellen vergegenwärtigen.
Eine interessante Erkenntnis dieses Jahres ist, dass die „Erhöhung von Berechtigungen“ zum zweiten Mal in Folge die häufigste Sicherheitskategorie darstellt. Im Jahr 2021 betrafen erhöhte Berechtigungen mit 49 Prozent fast die Hälfte aller Microsoft-Schwachstellen. Vor 2020 war die „Remotecodeausführung“ durchgängig die am häufigsten anzutreffende Microsoft-Schwachstelle. Gründe für diese Risikoverlagerung und zahlenmäßige Steigerung sind vielfältig. Die Vermutung liegt nahe, dass böswillige Akteure auf andere Angriffsmethoden bei Cyberangriffen wechseln, weil viele Organisationen der Best-Practice-Empfehlung folgen und daher Administratorrechte entfernen.
Fehlt der Zugriff auf Benutzerkonten mit lokalen Adminrechten, müssen Angreifer gezwungenermaßen neue Wege finden, um mit erhöhten Berechtigungen fremde IT-Systeme zu kompromittieren, Zugangsdaten zu stehlen und sich lateral im Netzwerk weiter vorzuarbeiten. Darüber hinaus bietet eine kontinuierlich wachsende Angriffsfläche durch Cloud-Anwendungen und -Systeme gute Voraussetzungen für Hacker, um mit erhöhten Berechtigungen ans Ziel zu kommen.
Die wichtigsten Trends des aktuellen Reports:
- Im zweiten Jahr in Folge wurde die „Erhöhung von Berechtigungen“ als höchste Sicherheitsrisikokategorie eingestuft und betraf 2021 insgesamt 49 Prozent aller gemeldeten Schwachstellen.
- Von den im Jahr 2021 erfassten 326 Schwachstellen durch Remotecodeausführung wiesen 35 einen CVSS-Wert von 9,0 oder höher auf.
- Die Mehrzahl der im Report beschriebenen kritischen Anfälligkeiten nutzt Risiken von On-Premise-Technologien aus.
- Browser-Sicherheitslücken im Internet Explorer und in Microsoft Edge sind auf ein Rekordhoch von 349 erfassten Fällen angestiegen — die Fallzahl liegt damit viermal höher als im Vorjahr.
Microsofts Umstellung auf das Common Vulnerability Scoring System (CVSS)
Im November 2020 hatte Microsoft angekündigt, die Berichte über Sicherheitsanfälligkeiten neu zu strukturieren. Der Microsoft Security Update Guide wechselte deshalb auf das Common Vulnerability Scoring System (CVSS) als Industriestandard. Das neue Reportingsystem erleichtert den Querverweis auf Schwachstellen mit Anwendungen von Drittanbietern, birgt aber auch einige Herausforderung in Bezug auf die Visibilität.
Im früheren Berichtsformat lagen detaillierte CVE-Informationen vor, inklusive einer Zusammenfassung für jede gemeldete Sicherheitsanfälligkeit. Daraus ließen sich wertvolle Erkenntnisse ableiten — insbesondere bei kritischen Schwachstellen. Der Microsoft Security Update Guide offenbarte beispielsweise, wieviele Sicherheitslücken sich durch Aufhebung von Administratorrechten entschärfen ließen. Diese Analysen sind mit Umstellung des Reportings leider nicht mehr möglich. Allerdings bleibt das Entfernen von Administratorrechten eine bewährte und wichtige Maßnahme zur Reduzierung der Angriffsfläche und im Rahmen der digitalen Transformation eine proaktive Möglichkeit, neue Bedrohungen abzuwehren und Schwachstellen zu bereinigen.
Proaktive Risikominderung
Zwar gab es 2021 im Jahresvergleich einen leichten Rückgang der Schwachstellen insgesamt, aber die Zahlen liegen nur knapp unter dem bisherigen Allzeithoch. Rechtzeitiges Patchen und automatisiertes Schwachstellen-Management zählen daher weiterhin zu den grundlegenden Sicherheitsmaßnahmen, um Risiken durch nicht geschlossene Sicherheitslücken zu mindern.
Mit Blick auf Zero-Day-Lücken werden diese Maßnahmen allein aber nicht ausreichen. Hinzu kommt, dass das Patchen von Schwachstellen je nach Unternehmensumgebung nicht einfach oder sinnvoll ist. Aus diesem Grund ist es wichtig, über proaktive Sicherheitsvorkehrungen nachzudenken.
Der Microsoft Vulnerabilities Report verdeutlicht Jahr für Jahr, wie wichtig das Entfernen von Administratorrechten als bewährte Methode für einen starken Grundschutz ist, um sich proaktiv auch gegen Zero-Day-Exploits abzusichern. In den Jahren 2015 bis 2020 hätten durch Aufhebung von Administratorrechten im Schnitt 75 Prozent der kritischen Microsoft-Schwachstellen entschärft werden können. Zur Einhaltung von IT-Compliance-Vorgaben und in den Konditionen von Cyberversicherungskonzernen wird das Entfernen von Adminrechten im Rahmen des Zero-Trust-Modells immer häufiger vorausgesetzt.
In seinem exklusiven Kommentar zum diesjährigen Report schreibt Sami Laiho, Senior Technical Fellow und Microsoft MVP: „Ich habe Hunderte von Großprojekten begleitet, bei denen mehr als eine Million lokale Administratoren im Unternehmen entfernt wurden, und die Ergebnisse sprechen für sich... Nach dem Entfernen von Administratorrechten verzeichneten einige Kunden 75 Prozent weniger Servicedesk-Anfragen. Die Rechner laufen einfach besser, wenn sie nicht durch zu hohe Privilegien ausgebremst werden.“
Und Russell Smith, Editorial Director, Petri IT Knowledgebase, ergänzt: „Ich war schon immer dafür, dass Admin-Rechte nur eingeschränkt zur Verfügung stehen. Zum Schutz der IT-Systeme und Daten ist es wichtig, mit Standardbenutzerrechten zu arbeiten, aber eine native Verwaltung unter Windows ist leider immer noch nicht möglich... BeyondTrust bietet die beste Lösung, um die richtige Balance zwischen Sicherheit und Benutzerfreundlichkeit unter Windows zu schaffen.“
BeyondTrust schützt digitale Identitäten, balanciert Nutzerprivilegien aus, sichert und protokolliert privilegierte Zugriffe im gesamten Unternehmen. Die Lösung für Endpoint Privilege Management bietet branchenweit herausragende und zuverlässige Sicherheit:
- Schnelle Durchsetzung des Least-Privilege-Prinzips: Entfernung lokaler Adminrechte auf allen Endpunkten und schnelle Wertschöpfung mit sofort einsetzbaren Quick Start Policies
- Stopp von Phishing, Ransomware und Malware: Reduzierte Angriffsfläche durch Just-in-Time-Zugriffe auf freigegebene Applikationsskripte, Tasks und Befehle
- IT-Compliance-Einhaltung: Umsetzung interner und externer IT-Compliance-Anforderungen durch Entfernen unnötiger Berechtigungen, Einsatz von Applikations-Allowlisting und lückenlose Protokollierung der Nutzeraktivitäten
Laden Sie sich den vollständigen Microsoft Vulnerabilities Report mit weiteren Informationen, übersichtlichen Statistiken und exklusiven Kommentaren von IT-Sicherheitsexperten herunter.
