Laufende Maßnahmen für mehr Sicherheit zahlen sich bei Microsoft -Produkten endlich aus, erklärte letzte Woche ein Mitarbeiter des Softwarekonzerns. Matt Miller arbeitet als Sicherheitsingenieur im Microsoft Security Response Center (MSRC) und traf diese Aussage auf der Sicherheitskonferenz BlueHat in Israel. Demnach ist die massenhafte Ausnutzung von Sicherheitsfehlern gegen Microsoft-Nutzer heute eher ungewöhnlich – die Ausnahme von der Regel und nicht die Norm.

Miller führt das auf sicherheitsrelevante Verbesserungen der Produkte durch zusätzliche sicherheitsrelevante Features zurück. Dazu zählten eine standardmäßig aktive Firewall, die geschützte Ansicht beim Öffnen von Office -Dokumenten, Datenausführungsverhinderung (Data Execution Prevention, DEP), Address Space Layout Randomization (ASLR), Control Flow Guard (CFG), das Sandboxing von Apps und mehr.

Diese neuen Features erschwerten Cyberkriminellen erheblich, mit Zero-Day-Lücken oder verlässlichen Exploits für von Microsoft eben behobene Bugs aufzuwarten – und verringerten damit die Zahl der in großem Maßstab ausgenutzten Schwachstellen. Wenn eine massenhafte Ausnutzung schließlich erfolgt, geschehe das meist lange nach der Auslieferung von Fixes und ihrer Anwendung durch die Unternehmen.

Statt bei massenhaften Angriffen sieht Miller inzwischen mehr ausgenutzte Schwachstellen im Rahmen gezielter Attacken. Er führte beispielsweise für 2018 an, dass 90 Prozent aller Zero-Day-Lüćken, soweit sie Microsofts Produkte betrafen, durch gezielte Angriffe ausgenutzt wurden. Dabei soll es sich vor allem um Zero-Day-Lücken gehandelt haben, die von nationalstaatlichen Cyberspionage-Gruppen gegen strategische Ziele eingesetzt wurden. Selbst die verbleibenden 10 Prozent versuchter Zero-Day-Ausnutzung gingen demnach nicht auf gewinnorientierte Cyberkriminelle zurück, sondern auf Personen, die mit Proof-of-Concept-Code experimentierten, um eine noch nicht gepatchte Schwachstelle zu verstehen.

„Es ist inzwischen ungewöhnlich, wenn ein Nicht-Zero-Day-Exploit innerhalb von 30 Tagen nach einem verfügbaren Patch veröffentlicht wird“, merkte Matt Miller außerdem an. Ob Zero Day oder nicht, Exploits fielen inzwischen meist viel später an aufgrund der zusätzlichen Sicherheitsfeatures, die Windows und andere Produkte erhielten. Der Sicherheitsingenieur untermauerte diese Aussage mit Präsentationsfolien, die einerseits das häufigere Patchen von Schwachstellen in den letzten Jahren zeigen – und andererseits die seltenere tatsächliche Ausnutzung innerhalb von 30 Tagen nach einem Patch.

[mit Material von Catalin Cimpanu, ZDNet.com ]