04.05.2020 14:57
Welche Schwachstelle wird ausgenutzt?
Wenn wir nachdenken, ob eine Schwachstellenmeldung eine Warnung wert ist, müssen wir bewerten, wie relevant das Ganze werden könnte.
Manchmal ist das einfach, weil bereits die Auswirkungen sichtbar sind. Manchmal wird auch nur behauptet, dass "exploitation in the wild" bereits passiert. (Aber auch dann können wir uns nicht sicher sein: der aktuelle Fall rund um die Apple Mail App ist ein gutes Beispiel: die Researcher schreiben von über Jahre hinweg ausgenutzt und Apple sieht das anders und lässt sich mit dem Patch Zeit).
Und manchmal kommt man erst über Wochen und Monate drauf, welche Schwachstelle immer und immer wieder dazu benutzt wird, um in relevante Netze einzubrechen. Gute Beispiele dafür waren CVE-2017-0144/EternalBlue und diverse RDP und SharePoint Schwachstellen. Manchmal war das initial nicht abzusehen und daher gab es von uns keine Warnung.
Aktuell machen wir uns Sorgen um:
- Windows Exchange / CVE-2020-0688 (Rapid7, ZDnet)
- Oracle WebLogic / CVE-2020-2883 (Patch Release, Bitte nehmt das ernst von Oracle)
- SaltStack Salt / CVE-2020-11651 (Release, gbhackers)