Microsoft hat zum Oktober Patch Tuesday erstmals seit langem weniger als 100 CVEs pro Monat veröffentlicht. So werden lediglich 87 verschiedene CVEs im Patch Tuesday Release für Oktober gelöst. Sechs dieser CVEs wurden öffentlich gemacht. Schenken Sie diesen sicherheitshalber besondere Beachtung.

Neuer Update-Leitfaden von Microsoft zum Patch Tuesday

Microsoft hat den Oktober Patch Tuesday für die Vorstellung der Vorabversion seines neuen Update-Leitfadens genutzt. Er bietet einige interessante Verbesserungen, wie die Schwachstellenansicht für einen schnellen Zugang zu weiteren risikofokussierten Informationen. Spalten wie „Exploited“ (Ausgenutzt) und „Publicly Disclosed“ (Öffentlich bekannt gegeben) ermöglichen ein schnelles Sortieren und Anzeigen, um zu sehen, ob Positionen mit hohem Risiko vorliegen. Wie etwa unsere sechs CVEs an diesem Patch Tuesday, die öffentlich bekannt gegeben wurden.

Was öffentliche Bekanntgaben von CVEs bedeuten

Eine öffentliche Bekanntgabe könnte mehrere Dinge bedeuten. Es ist möglich, dass eine Demonstration des Exploits bei einer Veranstaltung oder von Wissenschaftlern durchgeführt wurde. Genauso ist es aber auch denkbar, dass Proof-of-Concept-Code verfügbar gemacht wurde. Auf alle Fälle bedeutet eine öffentliche Bekanntgabe, dass die Bedrohungsakteure einen Hinweis bezüglich einer Schwachstelle erhalten, was ihnen verschafft einen Vorteil verschafft. Laut einer Forschungsstudie des RAND Institute beträgt die durchschnittliche Zeit bis zur Ausnutzung einer Schwachstelle 22 Tage. Wird ein Bedrohungsakteur frühzeitig über eine Schwachstelle informiert, könnte er einen Vorsprung von Tagen oder sogar Wochen haben, was bedeutet, dass ein Exploit möglicherweise nicht lange auf sich warten lässt. Dieser Risikoindikator hilft Unternehmen dabei, aus der Bedrohungsperspektive Prioritäten zu setzen.

Windows 10 steht am Patch Tuesday besonders im Fokus

In diesem Monat betreffen fünf der öffentlich bekannt gegebenen Updates Windows 10 und die entsprechenden Server-Editionen (CVE-2020-16908, CVE-2020-16909, CVE-2020-16901, CVE-2020-16885, CVE-2020-16938). Das sechste betrifft .Net Framework CVE-2020-16937.

Bemerkenswert am Oktober Patch Tuesday: Es werden keine Browser-Schwachstellen behoben. Zum Zeitpunkt der Veröffentlichung hatte Microsoft keine CVEs gegen IE oder Edge gemeldet und die Browser in diesem Monat nicht als betroffene Produkte aufgelistet.

Weitere wichtige CVEs zum Patch Tuesday Oktober: 

CVE-2020-16947 ist eine Schwachstelle in Microsoft Outlook zur Remote-Code-Ausführung. Betroffene Versionen von Outlook können bereits durch Anzeigen einer speziell gestalteten E-Mail ausgenutzt werden. Das Vorschaufenster ist hier ein Angriffsvektor, sodass Sie nicht einmal die E-Mail öffnen müssen, um betroffen zu sein. Der Fehler besteht in der Analyse von HTML-Inhalten in einer E-Mail. Diese Schwachstelle sollte zum Patch Tuesday schnell behoben werden, da sie für Bedrohungsakteure ein attraktives Ziel darstellen wird.

CVE-2020-16891 ist eine Schwachstelle in Windows Hyper-V, ebenfalls zur Remote-Code-Ausführung. Dieser Patch behebt einen Fehler, der es Angreifern ermöglicht, ein speziell präpariertes Programm auf einem betroffenen Gastbetriebssystem auszuführen, um beliebigen Code auf dem Hostbetriebssystem auszuführen. Ein solcher Ausbruch aus dem Gastbetriebssystem wäre auch für Bedrohungsakteure sehr attraktiv.