Schwachstellensuche - gewünschte Verbesserung

[Tomtom33]

Hallo liebes Team,

bei eurer Schwachstellensuche unter Windows fehlt mir leider die Möglichkeit gefundene Schwachstellen beheben zu lassen, soweit dieses möglich ist.
Aktuell  werden mir einige angezeigt, die sich ausnahmslos auf ältere Versionen von 7z beziehen, da diese von einigen Programmen intern genutzt und automatisch mit installiert werden (da war sogar eine Version 9.x dabei), welche ja in älteren Versionen kritische Schwachstellen aufweisen.

Bei mir betraf das u.A. Winget, welches ich regelmäßig benutze und es natürlich ein Sicherheitsrisiko darstellt, obwohl bei mir die aktuelle Version von 7z installiert ist.
Nun hat Windows ja die Angewohnheit durch die Installationen zu schützen was durchaus Sinn ergibt, aber in solchen Fällen auch extrem hinderlich sein kann, da ich jeweils erst die Rechte übernehmen muss, um die betreffenden Dateien austauschen zu können.
Für einen unerfahrenen Nutzer dürfte das eine unüberwindliche Hürde darstellen und vermutlich wird er das dann ignorieren.

Bei einigten anderen Schwachstellen lässt sich das zwar meist mit Updates beheben, nur eben nicht in dem genannten Fall, wo veraltete Dateien in aktuellen Versionen der Programme einfach mit installiert werden. Ob bei der Nutzung des betreffenden Programms dann die veraltete, oder die aktuell installierte genutzt wird, ist dann nicht so einfach festzustellen, ohne den Quellcode zu kennen.

Nun wäre es sicherlich nicht so sonderlich aufwändig für euch (bin selbst Programmierer) den Nutzern diese Arbeit abzunehmen, zumindest im Falle von 7z und andernfalls eine Lösung dafür vorzuschlagen (bspw. Update des Programms, welches ja zum Teil schon durch eine andere Funktion erfolgt).

Ich denke das dürfte einigen Anwendern dabei helfen mögliche Schwachstellen auch beseitigen zu können.

 

Gruss Tom

[Schulte]

Hallo @Tomtom33, willkommen.

Wenn ein Programm eine bestimmte Bibliothek zur eigenen Verwendung mitbringt, war das schon immer eine undurchsichtige Sache. In den frühen Windowsversionen war es ein absolutes Glücksspiel, da die Programme einfach die systemweit benutzten Bibliotheken ausgetauscht haben, egal wer sie ursprünglich installiert hatte. Oft auch mit einer veralteten Version.

MS hat im Laufe der Zeit aber dazugelernt und erlaubt seit Langem mehrfache Installationen, die dann jeweils nur vom installierenden Programm verwendet werden.
Dadurch tummeln sich dann eventuell auch mehrere veraltete und anfällige Versionen einer einzelnen Bibliothek auf dem Rechner. Diese auszutauschen halte ich für zu aufwendig. Man kann nie sicher sein, ob ein Programm mit einer aktualisierten Bibliothek zurechtkommt. Es könnte also sein, dass damit weitere neue Lücken aufgerissen werden.
Kaspersky (oder andere verantwortungsbewusste Hersteller) können diesen Job schon aus rechtlichen Gründen nicht übernehmen. Die Veränderung eines Programms bzw dessen Bestandteile könnte als Sabotage oder Lizenzverletzung gewertet werden. Auch ein Testen der neuen Konfiguration tausender Programme ist einfach nicht möglich (und wäre Aufgabe des Herstellers). Wer ist dann für einen eventuellen Fehler haftbar? Beim "Update von Programmen" werden ausschließlich die vom jeweiligen Hersteller bereitgestellten Updates benutzt, keine eigenen "Verbesserungen".

Ich würde die Schwachstellensuche einfach als das nehmen, was sie ist: als Hinweisgeber für Sicherheitslücken, die Du selbst in die Hand nehmen könntest, eventuell durch einen Verzicht auf das bemängelte Programm.

Davon abgesehen sind die Schwachstellen ja bekannt. Die Programmkontrolle hat ein besonderes Auge darauf, um ein Ausnutzen zu verhindern. Die Exploits sind in der Regel schon mal beobachtet und analysiert worden und werden bestmöglich erkannt und blockiert.

Ich möchte mich für Deine Gedanken bedanken, aber vielleicht machst Du Dir es auch ein wenig zu schwer. Jedenfalls denkst Du mit...

[Tomtom33]

Du hast sehr ausführlich erklärt und klar, ich bin mir dessen durchaus bewusst.

Sicherlich wäre das u.U. risikobehaftet und vielleicht auch nicht in jedem Fall hilfreich, nur auf der anderen Seite wäre wenigstens ein Hinweis bei derartigen Funden hilfreich und wenn er nur sehr allgemein gehalten wäre, wie "diesen Fund können Sie ignorieren, da eine Ausnutzung von der Programmkontrolle verhindert werden würde", oder ähnlichem.
Ein unbedarfter Anwender kann ansonsten ja nicht wissen, ob das jetzt gefährlich ist, oder nicht und wie er sich da verhalten sollte.

Eine zusätzliche Risikobewertung zu den Funden wäre bspw. auch hilfreich, wo dann anhand der Risikobewertung der Nutzer das ganz einfach ableiten kann.
Auch macht es wohl eher wenig Sinn solche Schwachstellen-Funde zu listen, wenn diese eh ignoriert werden können, da ein Ausnutzen abgefangen wird.
Meine Meinung dazu: wenn listen, dann bitte mit Risikoeinschätzung und Hinweisen, denn sonst ist diese Funktion eigentlich als völlig nutzlos zu werten.

Im Falle der 7z Schwachstelle sehe ich eigentlich sehr wenig Potential, dass ein Austausch negative Folgen haben könnte, sehe dabei aber durchaus Potential seitens Angreifer, die über diesen Umweg ggf. Sicherheitslücken ausnutzen könnten (das bekommen sogar Skript-Kiddies hin). Aber auch richtig ist, dass das gezielte Ausnutzen von der Programmkontrolle erkannt werden sollte, was das Ganze dann natürlich relativiert, nur auf der anderen Seite das Listen solcher Funde unnötig und kontraproduktiv macht.

Man denke dabei bitte auch diejenigen, die bspw. für ein Spiel den Echtzeitschutz vorübergehend deaktivieren (ich weiß keine gute Idee), von jemandem etwas herunterlädt was ihm im Spiel angeblich helfen soll, welches aber genau so etwas ausnutzt und dadurch zum Beispiel ein Backdoor installiert, dann ist es installiert und soweit es bereits bekannt ist, würde es zwar sicherlich erkannt werden, nur ich brauche wohl kaum betonen, dass derartige "Baukästen" dafür immer ausgefeilter werden und damit auch schwer detektierbar sind.
Sicherlich liegt das Problem dabei beim Anwender, eindeutig, aber vielleicht wäre das erst gar nicht möglich gewesen, wenn der Anwender zumindest die Möglichkeit zur Behebung gehabt hätte und solche Schwachstellen behandelt hätte (Deinstallation des betreffenden Programms, Update, oder Austausch der Programmteile wie bei 7z bspw.).

Wie bereits eingangs gesagt, für mich persönlich stellt das kein Problem dar eine eigene Bewertung vorzunehmen, nur gehöre ich auch nicht zu den ca. 98% unbedarften Nutzern und bin in der IT und der IT-Sicherheit ausreichend geschult.

 

[Schulte]

Hi @Tomtom33,

manche Dinge, die Du gerne sehen würdest, sind zumindest angedacht, dazu weiter unten.
Schwachstellen ignorieren in der Erwartung, das AV regelts schon, ist keine empfehlenswerte Einstellung und sollte auch vom unbedarftesten User nicht vertreten werden. Zu IT-Fachleuten werden diese User nie, aber die Sensibilität nimmt auch unter jenen zu. Daher halte ich eine Warnung zumindest nicht für vollkommen nutzlos.

2 hours ago, Tomtom33 said:

Eine zusätzliche Risikobewertung zu den Funden wäre bspw. auch hilfreich, wo dann anhand der Risikobewertung der Nutzer das ganz einfach ableiten kann. Auch macht es wohl eher wenig Sinn solche Schwachstellen-Funde zu listen, wenn diese eh ignoriert werden können, da ein Ausnutzen abgefangen wird. Meine Meinung dazu: wenn listen, dann bitte mit Risikoeinschätzung und Hinweisen, denn sonst ist diese Funktion eigentlich als völlig nutzlos zu werten.

In der Kurzübersicht zu den Funden kannst Du einen markieren und über "Details" weitere Informationen auf "threats.kaspersky.com" dazu nachschlagen.
 

Spoiler

In meinem Beispiel wird auf die Schwachstelle 60809 verlinkt (kann man auch im ausführlichen Untersuchungsbericht nachsehen).
Jetzt kommt das Aha-Erlebnis: es funktioniert (bei mir mit diesem Beispiel) nicht. Ob es an meinem System mit verrammelter Firewall liegt oder ob ein genereller Fehler vorliegt ließ sich auf die Schnelle nicht feststellen. Ersichtlich ist aber der gute Wille, mehr Info in Deinem Sinne zu bieten.

Nach meiner Erfahrung werden oft Alt- bis Uraltinstaller, die der User wohl aus Nostalgiegründen aufgehoben hat, bemängelt. Vermutlich werden sie nie wieder gestartet und können zur Not auch als Ausnahme definiert werden.

Das Problem mit den verwundbaren Bibliotheken noch genutzter Programme bleibt aber.
Windows selbst bietet da schon einen gewissen Schutz. Hat ein Programm seine Bibliotheken nach Vorschrift registriert und sie lungern nicht nur in einem beliebigen Verzeichnis herum, fällt für einem Angreifer der Zugriff schon mal nicht ganz einfach aus. Er muss Tricks anwenden und die fallen dann in den Bereich der Programmkontrolle. Aber zu 100% verlässlich ist nichts. Es wäre schon besser, die verwundbaren Teile zu ersetzen...

 

2 hours ago, Tomtom33 said:

Man denke dabei bitte auch diejenigen, die bspw. für ein Spiel den Echtzeitschutz vorübergehend deaktivieren (ich weiß keine gute Idee), von jemandem etwas herunterlädt was ihm im Spiel angeblich helfen soll, welches aber genau so etwas ausnutzt und dadurch zum Beispiel ein Backdoor installiert

Über diese Spezies sage ich besser nichts. Manchmal lesen hier auch Minderjährige mit...

2 hours ago, Tomtom33 said:

Wie bereits eingangs gesagt, für mich persönlich stellt das kein Problem dar eine eigene Bewertung vorzunehmen, nur gehöre ich auch nicht zu den ca. 98% unbedarften Nutzern und bin in der IT und der IT-Sicherheit ausreichend geschult.

Dann hast Du hoffentlich viele Beratungsgespräche mit Deinem Bekanntenkreis.

[Tomtom33]

Am 28.11.2023 um 22:10 schrieb Schulte:

Hi @Tomtom33,

manche Dinge, die Du gerne sehen würdest, sind zumindest angedacht, dazu weiter unten.
Schwachstellen ignorieren in der Erwartung, das AV regelts schon, ist keine empfehlenswerte Einstellung und sollte auch vom unbedarftesten User nicht vertreten werden. Zu IT-Fachleuten werden diese User nie, aber die Sensibilität nimmt auch unter jenen zu. Daher halte ich eine Warnung zumindest nicht für vollkommen nutzlos.

In der Kurzübersicht zu den Funden kannst Du einen markieren und über "Details" weitere Informationen auf "threats.kaspersky.com" dazu nachschlagen.
 

  Inhalt verstecken

In meinem Beispiel wird auf die Schwachstelle 60809 verlinkt (kann man auch im ausführlichen Untersuchungsbericht nachsehen).
Jetzt kommt das Aha-Erlebnis: es funktioniert (bei mir mit diesem Beispiel) nicht. Ob es an meinem System mit verrammelter Firewall liegt oder ob ein genereller Fehler vorliegt ließ sich auf die Schnelle nicht feststellen. Ersichtlich ist aber der gute Wille, mehr Info in Deinem Sinne zu bieten.

Das funktionierte in meinem Fall bei der Schwachstellensuche auch nicht 😉

Zitat

Nach meiner Erfahrung werden oft Alt- bis Uraltinstaller, die der User wohl aus Nostalgiegründen aufgehoben hat, bemängelt. Vermutlich werden sie nie wieder gestartet und können zur Not auch als Ausnahme definiert werden.

Das Problem mit den verwundbaren Bibliotheken noch genutzter Programme bleibt aber.
Windows selbst bietet da schon einen gewissen Schutz. Hat ein Programm seine Bibliotheken nach Vorschrift registriert und sie lungern nicht nur in einem beliebigen Verzeichnis herum, fällt für einem Angreifer der Zugriff schon mal nicht ganz einfach aus. Er muss Tricks anwenden und die fallen dann in den Bereich der Programmkontrolle. Aber zu 100% verlässlich ist nichts. Es wäre schon besser, die verwundbaren Teile zu ersetzen...

Exakt, einen 100% Schutz gibt es nicht, das steht außer Frage und ja, veraltete und verwundbare Bibliotheken stellen immer ein Risiko dar, weshalb ich ja gerade eine etwas bessere Sichtbarmachung für unabdingbar halte, also eine sofort ersichtliche Klassifizierung.

Zitat

Über diese Spezies sage ich besser nichts. Manchmal lesen hier auch Minderjährige mit...

Dann hast Du hoffentlich viele Beratungsgespräche mit Deinem Bekanntenkreis.

Dazu gehören allerdings nur keine Minderjährigen, sondern eher ältere Semester und Anwender von Firmen 😎
Zu Social Engineering im Allgemeinen brauche ich dir wohl eher nichts erzählen, denn da gibt es so einiges, wo man nur mit dem Kopf schütteln kann.

Aber gut das ist ein anderes Thema.