Vertreter verschiedener Cyber-Sicherheitsdisziplinen haben sich im Rahmen der Black Hat USA 2023 Sicherheitskonferenz besorgt gezeigt, dass das sogenannte „Silent Patching“, also ein Nachbessern ohne öffentliche Aufmerksamkeit zu erregen, insbesondere bei Cloud-Anbietern zu einer üblichen Praxis geworden ist. Immer häufiger verzichteten Anbieter zugunsten eines falschverstandenen Imageschutzes auf die Zuweisung einer CVE-ID (nach der einheitlichen Namenskonvention für Sicherheitslücken und Schwachstellen) für notwendige Patches. Anstatt eine ID zu vergeben, die eine nachvollziehbare Dokumentation ermöglicht, geben Anbieter vermehrt Patches in nichtöffentlichen Prozessen heraus. Das Fehlen von Transparenz und Versionsnummern für Cloud-Dienste, monieren die Experten, behindert die Risikobewertung und führt dazu, dass der Security-Gemeinschaft wertvolle Informationen zur Verbesserung der Sicherheit vorenthalten bleiben.
Bereits in 2022 warnte etwa der japanisch-US-amerikanische Cyber-Sicherheitsanbieter Trend Micro vor einer wachsenden Zahl unvollständiger oder fehlerhafter Patches und einer abnehmenden Bereitschaft der Anbieter, verlässliche Informationen über Patches öffentlich zu machen. Dieser Trend hat sich nach Erkenntnissen aus der Branche mittlerweile noch verstärkt. Um sich vor der kurzfristigen negativen Publicity wegzuducken, setzen manche Anbieter ihre Kunden vermeidbaren und nicht unerheblichen Risiken aus, wobei sie nicht zu bedenken scheinen, dass der Imageverlust bei einem Data Breach weitaus größer ist. „Es besteht dringender Handlungsbedarf“, meint Richard Werner, Business Consultant bei Trend Micro, „Patches zu priorisieren, Schwachstellen zu beheben und die Zusammenarbeit zwischen Forschern, Cyber-Security-Anbietern und Cloud-Service-Anbietern zu fördern, um Cloud-basierte Dienste zu stärken und Nutzer vor potenziellen Risiken zu schützen.“ Um der mangelnden Transparenz entgegenzuwirken und die Vorteile uneingeschränkter Zusammenarbeit im Bereich der Cyber-Sicherheit zu verdeutlichen, habe die firmeneigene Zero Day Initiative in 2023 bereits über 1.000 Hinweise („Advisories“) auf Schwachstellen in sicherheitsrelevanten Produkten veröffentlicht.
Dem Trend zur Verharmlosung von Schwachstellen und der verzögerten Offenlegung und Dokumentation sowie der stillschweigenden Auslieferung von Patches will die Zero Day Initiative von Trend Micro mit der Veröffentlichung von Zero-Day-Schwachstellen entgegenwirken. Aktuell weist die Initiative auch wieder auf neu entdeckte Schwachstellen im Microsoft GitHub und in Azure hin. Über die Schwachstelle ZDI-CAN-20784 Github (CVSS 9.9) erlangen Angreifer, die sich per Remote einen authentifizierten Netzwerkzugang verschafft haben, Zugriffsrechte auf Installationen von Microsoft GitHub. Sensible Informationen auf Microsoft Azure lassen sich unter Ausnutzung der Schwachstelle ZDI-CAN-20771 Microsoft Azure (CVSS 4.4) abgreifen, wobei die Angreifer jedoch zuvor soweit in das jeweilige Netzwerk eingedrungen sein müssen, dass sie sich hochprivilegierte Berechtigungen sichern können, um Code in der Zielumgebung auszuführen. „Die Zero Day Initiative wurde gegründet, um Schwachstellen zu schließen, bevor sie von Cyberkriminellen missbraucht werden,“ betont Trend Micro Vertreter Richard Werner. Die fehlende Bereitschaft zu Transparenz und Kooperation sowie das „Silent Patching“ stellten größte Hindernisse bei der Bekämpfung der Cyberkriminalität dar.
