Microsoft beginnt das Jahr 2022 mit einem umfangreichen Patch Tuesday, der Fixes für 126 CVEs beinhaltet. Neun dieser Schwachstellen werden als kritisch eingestuft. Darunter eine in dem weit verbreiteten Exchange Server, die von der National Security Agency (NSA) gemeldet wurde. Obwohl von keiner dieser Schwachstellen bekannt ist, dass sie ausgenutzt werden kann, ist das Risiko aufgrund des Schweregrads hoch. Beispielsweise ist CVE-2022-21907 mit einer CVSS-Bewertung von 9,8/10 anfällig für Internet Worms, wenn sie ausgenutzt wird. Sie betrifft als Webserver konfigurierte Windows Server.
„Dieser Patch Tuesday fällt in eine herausfordernde Zeit in der Sicherheitsbranche“, sagt Bharat Jogi, Director, Vulnerability and Threat Research bei Qualys. „Das Fachpersonal macht Überstunden, um Log4Shell zu beheben – Berichten zufolge die schlimmste Sicherheitslücke seit Jahrzehnten. Unvorhersehbare Ereignisse wie Log4Shell bedeuten für Sicherheitsexperten, die sich mit solchen Ausbrüchen befassen, einen erheblichen Stress. Sie machen deutlich, wie wichtig eine automatisierte Inventarisierung aller in der Umgebung eines Unternehmens verwendeten Komponenten ist.“
Es sei aktuell besonders ratsam, die Bereitstellung von Patches für Ereignisse mit definierten Zeitplänen – wie den Patch Tuesday – zu automatisieren. „Dadurch können Sicherheitsexperten ihre Energie darauf verwenden, effizient auf solche unvorhersehbaren Ereignisse zu reagieren, die ein hohes Risiko für die Sicherheit eines Unternehmens darstellen“, schließt Jogi.
