Microsoft Black Tuesday-Maut: KB 3003743, IE11, EMET 5 und Sicherheits-Webcasts

Mit 14 Sicherheitsupdates, die Korrekturen für 33 separat identifizierte Sicherheitslücken, 14 neue Nicht-Sicherheitspatches, zwei Änderungen an den Installationsprogrammen für ältere Sicherheitspatches und drei Änderungen für ältere Nicht-Sicherheitsupdates enthalten, gilt der Schwarze Dienstag im November als einer der schwersten aller Zeiten. Aber die Patches selbst sind nur ein Teil der Geschichte.

Die Black Tuesday-Patches dieses Monats begannen mit einem merkwürdigen - wenn auch hoffnungsvollen - Zeichen. Microsoft hat freiwillig zwei Security Bulletins (mit einer unbekannten Anzahl zugehöriger Patches) abgerufen, bevor sie veröffentlicht wurden. Sowohl MS14-068 als auch MS14-075 sind in der offiziellen Zusammenfassung des Security Bulletins als "Zu bestimmendes Veröffentlichungsdatum" aufgeführt. Ich habe diese Bezeichnung noch nie gesehen. Vermutlich hat Microsoft Fehler in den Patches entdeckt und diese in letzter Minute behoben. Wenn ja, ist das eine sehr positive Entwicklung.

Ich sehe sporadische Berichte über KB 3003743 - Teil von MS14-074 -, die gleichzeitig RDP-Sitzungen unterbrechen. Poster Turducken in den My Digital Life-Foren bringt es auf den Punkt:

Die heutigen Updates enthalten KB3003743 und die mitgelieferte Version 6.1.7601.18637

Jason Hart hat auch getwittert, dass KB 3003743 die Virtualisierungssoftware von NComputing beendet.

Dies erinnert an die Probleme, die im letzten Monat durch KB 2984972 verursacht wurden, das auf einigen Computern auch gleichzeitige RDP-Sitzungen überlastete. Die einfache Lösung im letzten Monat bestand darin, den Patch zu deinstallieren, und RDP begann wieder zu arbeiten. Microsoft hat im Artikel KB 2984972 eine weitaus komplexere Lösung. Derzeit gibt es keinen Hinweis darauf, ob die manuelle Lösung mit KB 3003743 funktioniert. Ich habe auch nicht gehört, ob App-V-Pakete betroffen sind - ein weiteres Kennzeichen des fehlerhaften KB 2984872-Patches im letzten Monat.

Wenn Sie IE11 und EMET ausführen, ist es wichtig, auf die neueste Version, EMET 5.1, zu wechseln, bevor Sie den MS14-065 / KB 3003057-Patch dieses Monats installieren. Der TechNet-Blog drückt es so aus:

Wenn Sie Internet Explorer 11 unter Windows 7 oder Windows 8.1 verwenden und EMET 5.0 bereitgestellt haben, ist es besonders wichtig, EMET 5.1 zu installieren, da Kompatibilitätsprobleme mit dem Internet Explorer-Sicherheitsupdate vom November und der EAF + -Minderung festgestellt wurden. Ja, EMET 5.1 wurde erst am Montag veröffentlicht.

In der Presse gibt es einige Bedenken, dass der neu behobene "Schannel" -Fehler so weit verbreitet und ausnutzbar sein könnte wie das berüchtigte OpenSSL Heartbleed-Loch, das Anfang dieses Jahres entdeckt wurde.

Zweifellos sollten Sie MS14-066 / KB 2992611 auf jedem Windows-Computer installieren, auf dem ein Webserver, FTP-Server oder E-Mail-Server ausgeführt wird - eher früher als später. Aber müssen Sie sofort alles löschen und Ihre Server patchen? Meinungen gehen auseinander.

Das SANS Internet Storm Center, das normalerweise eine sehr proaktive Patching-Haltung einnimmt, sichert seine Wetten mit dieser ab. SANS hat MS14-066 als "Kritisch" anstelle des schlimmeren "Patch Now" aufgeführt. Dr. Johannes Ullrich fährt fort:

Ich vermute, dass Sie wahrscheinlich eine Woche, vielleicht weniger, Zeit haben, um Ihre Systeme zu patchen, bevor ein Exploit veröffentlicht wird. Sie haben eine gute Bestandsaufnahme Ihrer Systeme? Dann sind Sie in guter Verfassung, um diese Arbeit zu machen. Im Übrigen (überwiegende Mehrheit?): Finden Sie beim Patchen auch Gegenmaßnahmen und alternative Notfallkonfigurationen heraus.

Das wahrscheinlichste Ziel sind SSL-Dienste, die von außen erreichbar sind: Web- und Mail-Server stehen ganz oben auf meiner Liste. Es kann jedoch nicht schaden, den Bericht Ihres letzten externen Scans Ihrer Infrastruktur zu überprüfen, um festzustellen, ob Sie noch etwas erhalten haben. Wahrscheinlich ist es eine gute Idee, diesen Scan zu wiederholen, wenn Sie ihn nicht regelmäßig geplant haben.

Weiter mit internen Servern. Sie sind etwas schwerer zu erreichen, aber denken Sie daran, dass Sie nur eine interne infizierte Workstation benötigen, um sie verfügbar zu machen.

Drittens: Reisende Laptops und dergleichen verlassen Ihren Umkreis. Sie sollten bereits gesperrt sein und es ist unwahrscheinlich, dass sie auf eingehende SSL-Verbindungen warten. Eine Überprüfung kann jedoch nicht schaden. Irgendein seltsames SSL-VPN? Vielleicht eine Instant Messenger-Software? Ein schneller Port-Scan sollte Ihnen mehr sagen.

Ein bisschen urbane Mythologie bildet sich bereits um schannel. Sie können in der Presse lesen, dass es die Schannel-Sicherheitslücke seit 19 Jahren gibt. Nicht wahr - der Schannel-Fehler wurde als CVE-2014-6321 identifiziert und wurde von nicht identifizierten Forschern (möglicherweise intern von Microsoft) entdeckt. Es ist eine Lücke in der Software für HTTPS-Verbindungen.

Die 19 Jahre alte Sicherheitsanfälligkeit, die vom IBM X-Force-Forschungsteam entdeckt wurde, ist CVE-2014-6332. Es ist eine Lücke in COM, die über VBScript ausgenutzt werden kann. Das ist der Fehler, der durch MS14-064 / KB 3011443 behoben wurde. Wie ich am besten beurteilen kann, haben die beiden Sicherheitslücken nichts gemeinsam.

Sei nicht verwirrt. BBC hat die beiden Sicherheitslücken verwechselt, und andere Nachrichtenagenturen machen sich über den Bericht Gedanken.

Was das plötzliche Verschwinden des monatlichen Sicherheits-Webcasts betrifft, gab es keine offizielle Ankündigung, aber Dustin Childs, der die Webcasts ausgeführt hat, wurde neu zugewiesen, und ich konnte keinen Webcast für die Sicherheitsbulletins vom November finden. Heute Morgen hat Childs getwittert:

14 Bulletins statt 16 - sie wurden nicht einmal neu nummeriert. Keine Bereitstellungspriorität. Kein Übersichtsvideo. Kein Webcast. Ich denke, die Dinge ändern sich.

Dies ist eine erstaunliche Entwicklung, insbesondere für alle, die die Patch-Neigungen von Microsoft verstehen müssen. Wenn Bulletins nicht neu nummeriert werden, wird das Vertrauen von niemandem in das Patching-Regime von Microsoft nicht erschüttert - ich nehme das als willkommene Änderung. Das Fehlen einer monatlichen Prioritätsliste für die Bereitstellung von Sicherheitsbulletins, eines Übersichtsvideos oder eines Webcasts lässt die meisten Windows-Sicherheitsprofis jedoch im Stich. Microsoft veröffentlicht seit Jahren ein Übersichtsvideo für Black Tuesday, und der Webcast bietet eine Menge schmutziger Ratschläge, die sonst nirgendwo verfügbar sind.

Wenn die Webcasts abgerufen wurden - es gibt keine offizielle Bestätigung, die ich sehen kann -, haben insbesondere die Unternehmenskunden von Microsoft gute Gründe, sich zu beschweren.