Microsoft-Schwachstellen werden weniger, aber gefährlicher

Der aktuelle Microsoft Vulnerabilities Report von BeyondTrust zeigt eine Verschiebung der Sicherheitsrisiken. Während die Anzahl der Sicherheitslücken zwar leicht zurückgeht, steigt zugleich deren Schweregrad. Somit werden die Auswirkungen gravierender. Die neuen KI-Tools könnten dieses Problem zusätzlich verschärfen.

(Foto: pearleye - GettyImages)

Auf den ersten Blick zeigt die neuste Ausgabe des jährlichen Microsoft Vulnerabilities Report von BeyondTrust zunächst ein beruhigendes Bild: Nachdem sich die Zahl der von Microsoft über seine Sicherheitsbulletins gemeldeten Schwachstellen jahrelang erhöht und 2024 den neuen Rekordwert von 1.360 Sicherheitslücken erreicht hatte, gab es im vergangenen Jahr scheinbar eine Trendumkehr. Mit 1.273 Anfälligkeiten wurden 6 Prozent weniger Anfälligkeiten verzeichnet. Schaut man allerdings etwas genauer in den Report und dessen Aufschlüsselung der Schwachstellen nach Produkt und Kategorie, währt die Freude darüber nicht allzu lange. So ist der Rückgang etwa in wesentlichen Teilen auf eine positive Entwicklung bei Produkten wie Microsofts Browser Edge zurückzuführen, der mit nur noch 50 ganze 83 Prozent weniger Schwachstellen aufwies als im Vorjahr.

Gleichzeitig hat sich die Zahl der als kritisch eingestuften Schwachstellen von 78 auf 157 verdoppelt. Auch das bedeutet eine Trendumkehr, und zwar mit deutlich problematischeren Implikationen. Zumal mit Bezug auf die betroffenen Produkte. Besonders drastisch ist die Zahl der kritischen Schwachstellen beispielsweise bei Microsoft Azure und Dynamics 365 gestiegen, die sich mit einem Sprung von 4 (2024) auf 37 verneunfacht haben. "Die neunfache Zunahme der kritischen Schwachstellen von Azure und Dynamics 365 dokumentiert eine weiterhin angespannte Gefahrenlage", erteilt James Maude, Field Chief Technology Officer bei BeyondTrust, der Hoffnung auf ruhigere Zeiten eine Absage.

Und auch bei Office verzeichnet der Report sowohl eine Verdreifachung der Sicherheitslücken auf 157, mit der zugleich eine Verzehnfachung der kritischen Anfälligkeiten einherging. Das Problem verschiebt sich also zunehmend in Richtung solcher kritischen und weit verbreiteten Lösungen und Produktivitätstools, wodurch das Sicherheits- und Schadensrisiko spürbar ansteigt.

Neue Sicherheitsrisiken durch KI

"Der numerische Rückgang der Schwachstellen insgesamt suggeriert eine Entschärfung der Sicherheitslage. Im gleichen Zeitraum hat sich aber die Anzahl kritischer Schwachstellen verdoppelt." James Maude, Field Chief Technology Officer bei BeyondTrust (Foto: BeyondTrust)

Diese Entwicklung könnte durch neue Möglichkeiten bei der Schwachstellenanalyse, wie sie etwa Anthropics Claude Mythos mit sich bringt, zusätzlich beschleunigt werden. Denn diese unterstützen nicht nur die Hersteller dabei, ihre Software besser und schneller abzuhärten, sondern bieten zugleich auch Cyberkriminellen völlig neue Möglichkeiten. Der Versuch von Anthropic, diese Gefahr mit Project Glasswing einzuhegen, kann diese Gefahren nur bedingt abfangen. Denn auch wenn die Softwareanbieter damit Lücken frühzeitig erkennen und schließen können, vereinfacht es die KI auf der anderen Seite den Angreifern, entsprechende Patches per Reverse Engineering zu zerlegen und die Lücken zu missbrauchen, noch bevor alle Anwender die Updates einspielen können. Damit wird das Katz-und-Maus-Spiel zwischen Angreifern und Abwehr weiter beschleunigt.

Nicht zuletzt betreffen die Schwachstellen besonders häufig sensible Bereiche rund um Identitäten und Berechtigungen. Ganze 40 Prozent der im vergangenen Jahr registrierten Lücken entfielen dem Report zufolge auf die Kategorie "Erhöhung von Berechtigungen". Die spiegelt das wachsende Bestreben der Angreifer wider, sich auf diesem Weg Zugriffsrechte zu erschleichen und diese auszuweiten, Seitwärtsbewegungen im Unternehmensnetz durchzuführen und kritische Systeme zu kompromittieren. "Das ist eine ernstzunehmende Warnung, dass die Risiken nicht abnehmen, sondern sich vor allem auf identitätsbezogene Zugriffswege konzentrieren", kommentiert Maude. "Die Erhöhung von Berechtigungen betraf erneut 40 Prozent aller Schwachstellen, denn Angreifer benötigen sie zur Kompromittierung kritischer Systeme."

Hinzu kommen außerdem noch neue KI-gesteuerte Systeme, maschinelle Identitäten (Non-Human Identities, NHIs) und komplexe Cloud-Architekturen, deren Risiken mit den aktuellen Kriterien und Vorgaben der CVE-Listen (Common Vulnerabilities and Exposures) nicht oder nur eingeschränkt darstellbar sind. Angesichts solcher Szenarien wirft BeyondTrust sogar die Frage auf, "inwieweit die die klassische Schwachstellenbehebung die aktuelle Sicherheitslage noch vollständig abbildet".

Zugriffspfade- und Berechtigungen schützen

Unternehmen empfiehlt BeyondTrust auf Basis dieser Erkenntnisse folgende Maßnahmen, um die Resilienz gegenüber Angriffen via Microsoft- und anderen Schwachstellen zu verbessern:

Schnellstmögliche Installation von Patches, aber Vorsicht: Kompromittierungen sind weiterhin möglich.
Durchsetzung des Least-Privilege-Prinzips zur Begrenzung der Auswirkungen eines Angriffs und zur angemessenen Reaktion.
Umsetzung identitätsorientierter Sicherheitsstrategien zum Schutz aller digitalen Identitäten, menschlich oder maschinell.
Konzentration auf den Schutz der Zugriffspfade und nicht nur auf individuelle Schwachstellen.

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden