17. Mai 2024

Rekordhoch bei Denial-of-Service-Anfälligkeiten

Gesamtzahl der Microsoft-Schwachstellen nur knapp unter Rekordwert — Erhöhung von Berechtigungen bleibt größtes Sicherheitsrisiko. [...]

cybersecurity_laptop_binary_by_MarkusSpiskePixabay — Foto: MarkusSpiske/Pixabay

BeyondTrust hat seinen neuesten Microsoft Vulnerabilities Report herausgegeben. Der jährlich vorgelegte Sicherheitsreport erscheint dieses Jahr zum elften Mal und schlüsselt die Microsoft-Schwachstellen nach Produkt sowie Kategorie auf.

Zum dritten Mal in Folge zählen zu weit gefasste Nutzerrechte demnach zu den höchsten Sicherheitsrisiken. Mit einer Gesamtzahl von 1.228 Schwachstellen führt der diesjährige Bericht weniger Sicherheitslücken in Microsoft-Systemen als im Vorjahr auf.

Die jährliche Studie von BeyondTrust wertet alle im Gesamtjahr gemeldeten Microsoft-Schwachstellen aus, um wichtige Veränderungen und Trends aufzuzeigen. So hilft der Microsoft Vulnerabilities Report 2024 Unternehmen dabei, veränderte Risiken für eigene Netzwerke und IT-Systeme besser zu verstehen und durch angepasste IT-Sicherheitsstrategien zu beheben.

Die diesjährige Ausgabe des Berichts bewertet auch, wie Sicherheitslücken bei identitätsbasierten Angriffen ausgenutzt werden, und hebt einige der wichtigsten Schwachstellen und Anfälligkeiten des Jahres 2023 mit einem Schweregrad von 9,0 oder höher (CVSS, Common Vulnerability Scoring System) hervor.

Microsoft gruppiert Sicherheitsanfälligkeiten, die einzelne oder mehrere Produkte betreffen, in folgende Hauptkategorien: Remotecodeausführung (RCE), Erhöhung von Berechtigungen, Umgehung von Sicherheitsfunktionen, Manipulation, Offenlegung von Informationen und Denial-of-Service und Spoofing. Die Analyse der wichtigsten CVEs (Common Vulnerabilities and Exposures) des Jahres 2023 dokumentiert, wie Angreifer bekannte Sicherheitslücken ausnutzen — und welche Gegenmaßnahmen getroffen werden sollten.

Die wichtigsten Trends

Die Gesamtzahl der kritischen Schwachstellen hat sich in diesem Jahr konsolidiert — ein deutliches Indiz, dass sich die langfristigen Sicherheitsbemühungen insgesamt auszahlen. Dies könnte auch darauf hindeuten, dass Bedrohungsakteure ihre Angriffsbemühungen stärker auf die Ausnutzung von Identitäten und weniger auf Microsoft-Software-Schwachstellen konzentrieren. Hier sind wichtige Erkenntnisse im Überblick:

Denial-of-Service-Schwachstellen steigen um 51 Prozent auf ein Rekordhoch von 109 im Jahr 2023, wobei Spoofing einen dramatischen Anstieg um 190 Prozent von 31 auf 90 Betrugsmethoden verzeichnet.
Die Gesamtzahl der Schwachstellen sinkt nach dem Allzeithoch im Jahr zuvor, bleibt aber auch 2023 mit 1.228 Anfälligkeiten auf einem sehr hohen Niveau.
Die Schwachstellenkategorie „Erhöhung von Berechtigungen“ bleibt mit 40 Prozent (490) aller erfassten Schwachstellen das größte Sicherheitsrisiko im Jahr 2023.
Die Gesamtzahl der kritischen Schwachstellen verringert sich 2023 um sechs Prozent auf 84 (fünf weniger als im Jahr 2022).
Nach einem rasanten Anstieg der Zahl an Sicherheitslücken bei Azure and Dynamics 365 im Vorjahr halbieren sich diese Anfälligkeiten 2023 von 114 auf 63.
Bei Microsoft Edge gab es im Jahr 2023 zusammen 249 Schwachstellen, von denen allerdings nur eine als „kritisch“ eingestuft wurde.
Das Jahr 2023 verzeichnete 522 Windows-Schwachstellen, von denen 55 kritisch waren.
Für Microsoft Office wurden im Jahr 2023 insgesamt 62 Schwachstellen registriert.
Unter Windows Server gab es 2023 insgesamt 558 Schwachstellen, von denen 57 kritisch waren.

„Dieser Bericht unterstreicht die Notwendigkeit, die Sicherheit insgesamt weiter zu verbessern. Das betrifft nicht nur Microsoft, sondern alle Unternehmen, die Cyberrisiken im Kontext einer sich weiter entwickelnden Bedrohungslandschaft kontrollieren möchten“, kommentierte James Maude, Lead Security Researcher bei BeyondTrust die Ergebnisse.

„Der diesjährige Bericht ist exemplarisch für die wachsende Bedeutung digitaler Identitäten in der heutigen Bedrohungslandschaft. Die Erhöhung von Berechtigungen tritt als häufigste Schwachstellenkategorie im aktuellen Microsoft Vulnerabilities Report auf und unterstreicht damit die Bedeutung eines Sicherheitskonzepts nach dem Prinzip der geringsten Privilegien (Principle of Least Privilege, PoLP).“

Detaillierte Analyse und Prognose: Die Zukunft von Microsoft-Schwachstellen

Trotz einer Konsolidierung, was die Anzahl der Microsoft-Schwachstellen insgesamt betrifft, gibt es keinen Anlass, die Gefahren durch kritische Schwachstellen und neue Bedrohungstaktiken zu unterschätzen:

Schwachstellen und ungepatchte Systeme dienen Bedrohungsakteuren weiterhin als wirksames Einfallstor in fremde Netze.
Die erweiterte Nutzung von Microsoft-Technologien eröffnet zusätzliche Angriffsmöglichkeiten.
Neue Schwachstellen bieten Bedrohungsakteuren innovative Wege zur Kompromittierung von Microsoft-Systemen.
Veränderte Sicherheitspraktiken und Angriffsmethoden erleichtern es Bedrohungsakteuren, digitale Identitäten zu stehlen und sich unbefugten Zugang durch Ausnutzung von Schwachstellen zu verschaffen.

Der vollständige Microsoft Vulnerabilities Report 2024 ist hier abrufbar.

Fake-Shop Detector gewinnt Staatspreis Digitalisierung

16. Mai 2024 pi/rai

Linzer Technologielösungsanbieter X-Net und seine Partner AIT und ÖIAT werden für ihre wegweisende Arbeit im Kampf gegen Online-Betrug ausgezeichnet. […]

KI am Arbeitsplatz: Unternehmen investieren, Arbeitnehmer:innen sind besorgt

16. Mai 2024 pi/rai

Eine aktuelle, groß angelegte Umfrage von SD Worx zeigt die wachsende Bedeutung von Künstlicher Intelligenz (KI) am Arbeitsplatz in Europa. […]

Neue Machine-Learning-Methoden bieten eine Fülle von Möglichkeiten, Behandlungsstrategien zu personalisieren (c) Unsplash

KI in der Medizin: Was ist derzeit möglich?

16. Mai 2024 Wolfgang Franz

Maschinen können lernen, nicht nur Vorhersagen zu treffen, sondern auch mit kausalen Zusammenhängen umzugehen. Das könnte helfen, Therapien effizienter, sicherer und individueller zu machen, schreibt ein internationales Forschungsteam. Aktuelle KI-Beispiele aus der Medizin. […]

OceanStor A800: Huawei setzt neue Maßstäbe im KI-gesteuerten Datenspeicher

16. Mai 2024 pi/rai

Huawei hat mit dem OceanStor A800 ein neues hochleistungsfähiges Speichergerät vorgestellt, das auf die Anforderungen moderner KI zugeschnitten ist. […]

Female Lehrlingshackathon – Siegerinnen beim 4GAMECHANGERS Festival präsentiert

16. Mai 2024 pi/rai

Weibliche Lehrlinge entwickelten beim Lehrlingshackathon von apprentigo und CEOs FOR FUTURE innovative und nachhaltige App-Projekte für ihre Unternehmen. Das sind Siegerinnen! […]

Thomas Dietinger, CIO der TU Graz (c) Foto Furgler

Die IT als Triebfeder der Unternehmensziele

16. Mai 2024 Christof Baumgartner

Die TU Graz ist die traditionsreichste technisch-naturwissenschaftliche Forschungs- und Bildungsinstitution in Österreich und spielt seit über 200 Jahren eine zentrale Rolle im internationalen Forschungs- und Bildungsnetzwerk. Verantwortlich für die IT ist Thomas Dietinger. […]

EU-NIS2-Richtlinie: jeder dritte Betrieb betroffen

16. Mai 2024 pi/rai

Geschäftspartner der „kritischen Infrastruktur“ müssen voraussichtlich ab 18. Oktober 2024 einen Nachweis über ihre Cybersecurity-Maßnahmen erbringen. Wenn nicht, droht das Ende von Geschäftsbeziehungen. KSV1870 unterstützt bei Vorbereitung und Nachweis. […]

Digitalisierung des Handels mit Gold

16. Mai 2024 Simon Müller

Die zunehmende Digitalisierung spielt vor allem im Handel eine wichtige Rolle. In allen europäischen Ländern steigt die Beliebtheit des bequemen Einkaufs über das Internet beispielsweise stark, hier stellt auch Österreich keine Ausnahme dar. […]

Tyrolit treibt digitale Transformation mit IT-Partner Kyndryl weiter voran

16. Mai 2024 pi/rai

Tyrolit setzt einen weiteren bedeutenden Schritt auf dem Weg zur digitalen Transformation: Gemeinsam mit Kyndry modernisiert Tyrolit seine SAP-Infrastruktur. […]

Rekordhoch bei Denial-of-Service-Anfälligkeiten

Gesamtzahl der Microsoft-Schwachstellen nur knapp unter Rekordwert — Erhöhung von Berechtigungen bleibt größtes Sicherheitsrisiko. [...]

Die wichtigsten Trends

Detaillierte Analyse und Prognose: Die Zukunft von Microsoft-Schwachstellen

Mehr Artikel

Fake-Shop Detector gewinnt Staatspreis Digitalisierung

KI am Arbeitsplatz: Unternehmen investieren, Arbeitnehmer:innen sind besorgt

KI in der Medizin: Was ist derzeit möglich?

OceanStor A800: Huawei setzt neue Maßstäbe im KI-gesteuerten Datenspeicher

Female Lehrlingshackathon – Siegerinnen beim 4GAMECHANGERS Festival präsentiert

Die IT als Triebfeder der Unternehmensziele

EU-NIS2-Richtlinie: jeder dritte Betrieb betroffen

Digitalisierung des Handels mit Gold

Tyrolit treibt digitale Transformation mit IT-Partner Kyndryl weiter voran

Be the first to comment

Leave a Reply Antworten abbrechen