Windows Server Update Services (WSUS) How to conduct security patch validation and verification
X
Definition

Patch Tuesday

Der Patch Tuesday für Windows-Betriebssysteme ist regulär der zweite Dienstag im Monat. An diesem Tag veröffentlicht Microsoft die Updates für Windows-Betriebssysteme und bis zum Frühjahr 2020 das Windows-Tool zum Entfernen bösartiger Software (MSRT, Malicious Software Removal Tool). Seit dem Mai 2020 wird dieses im vierteljährlichen Rhythmus ausgerollt.

Die Geschichte des Patch Tuesday

Eingeführt wurde der Patch Tuesday oder Update Tuesday, der lange Zeit üblicherweise als Patchday bezeichnet wurde, im Jahr 2003. Ziel war es unter anderem die Bereitstellung von Updates zu optimieren. Die Updates bestanden bis dato traditionell aus den Microsoft Security Bulletins, die um die verschiedenen betroffenen Produkte und Dienste wie Windows, Office, Internet Explorer, .NET-Framework und andere organisiert waren. Der Patchday umfasste jeden Monat gerne einmal 15 bis 20 Sicherheitsupdates, in Ausnahmefällen auch mehr.

Laut Microsoft vereinfacht das Bereitstellen von Sicherheitsupdates nur einmal im Monat zu einem fixen Zeitpunkt, das Patch-Management und spart so Kosten. Der Dienstag wurde dabei deshalb gewählt, weil Montage meist ihre eigenen Probleme mit sich bringen und nach dem Dienstag noch genug Zeit übrig bleibt, um etwaige Probleme mit den Patches zu lösen.

Die Sicherheitsanfälligkeiten werden nach ihrem Schweregrad klassifiziert. Und dieser Schweregrad wird in vier Stufen angegeben und ist in dem entsprechenden Security Bulletin zu finden. kritisch, wichtig, mittel oder niedrig.

Änderungen in der Update-Verteilung und Organisation der Updates

Seit 2017 organisiert Microsoft die Updates über den Leitfaden für Sicherheitsupdates (Security Update Guide). Dieser konzentriert sich auf die Schwachstellen und Gefährdungen. Administratoren können dort nach Datum, Produkt, Schweregrad und Auswirkung suchen. Oder einfach auch nach KB-Nummer (KnowledgeBase) oder CVE-Nummer. (Common Vulnerabilities and Exposures). Früher wurden die einzelnen Sicherheitsupdates über ihre jeweilige KB-Nummer ausgespielt. Inzwischen erhalten die Anwender ein einzelnes kumulatives Update, in dem die für das Produkt passenden Sicherheitsupdates zusammengefasst sind. Über den Leitfaden für Sicherheitsupdates können sich Admins über die jeweiligen Details informieren. Wer ganz bestimmte einzelne Updates sucht, kann zudem den Microsoft Update-Katalog nutzen.

Microsoft arbeitet kontinuierlich daran, die Installation von Sicherheitsupdates für Unternehmen zu optimieren. Selbst, wenn Admins Patches zeitnah verifizieren und einspielen, bergen Zero-Day-Schwachstellen immer die Gefahr, dass insbesondere nach dem Patch Tuesday Angreifer versuchen diese Sicherheitslücken auszunutzen. So können Cyberkriminelle die Updates nach der Veröffentlichung analysieren und dann gezielt die Sicherheitslücken angreifen, die mit den Updates geschlossen werden sollen. Aus diesem Grund wird der Mittwoch nach dem Patchday in manchen Kreisen auch Exploit Wednesday genannt. Ein weiteres Problem besteht darin, dass durch das Veröffentlichen von Sicherheitsupdates nur einmal im Monat, manche Sicherheitslücken für mehrere Wochen nicht geschlossen werden, obwohl sie längst bekannt sind.

Unter Windows 10 hat Microsoft immer wieder die Optionen überarbeitet und verändert, die Admins und Anwendern zur Verfügung stehen, um Updates zu verzögern.

Out-of-Band Patch

Wie beschrieben kann es problematisch sein, wenn eine offene Sicherheitslücke erst mit dem nächsten Patch Tuesday geschlossen wird. Wenn Microsoft diese Situation als entsprechend ernst einstuft und ein Sicherheitsupdate außer der Reihe veröffentlicht, spricht man auch von einem Out-of-Band Patch. Damit dies erfolgt, müssen in der Regel einige Aspekte im Hinblick auf die Schwere der Sicherheitslücke und das Angriffsszenario erfüllt sein.

Diese Definition wurde zuletzt im September 2020 aktualisiert

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

ComputerWeekly.de
Close