Patch Tuesday
Was ist der Patch Tuesday?
Patch Tuesday ist der allgemein bekannte Name für die monatliche Veröffentlichung von Sicherheits-Updates für das Windows-Betriebssystem und andere Microsoft-Software durch Microsoft. Er wird auch als Update Tuesday bezeichnet. Lange Zeit war auch durchaus die Bezeichnung Patchday gängig.
Das Microsoft Security Response Center veröffentlicht Bulletins unter Verwendung der CVE-Kennnummern (Common Vulnerabilities and Exposures) für jede Sicherheitsanfälligkeit auf der Security-Update-Guide-Website. Jedes Bulletin enthält Informationen zur Problembehebung und einen Link zu einem Microsoft Knowledge-Base-Artikel mit weiteren Details zum Update.
Die meisten Patch-Tuesday-Updates beheben Sicherheitslücken im Windows-Desktop- und -Server-Betriebssystem. Sie korrigieren auch Probleme in Microsoft Office-Anwendungen, Azure-Hybrid-Cloud-Anwendungen und dem Visual Studio Code Editor. Die Updates decken unterstützte Windows-Systeme ab, einschließlich Windows-Betriebssystemen, die das Ende ihrer Lebensdauer erreicht haben, aber durch das ESU-Programm (Extended Security Update) von Microsoft geschützt sind.
Microsoft veröffentlicht die meisten seiner Sicherheits-Updates am Patch Tuesday. Korrekturen außer der Reihe für schwerwiegendere Sicherheitslücken, sogenannte Out-of-Band-Patches, sind die Ausnahme.
Wann ist Patch Tuesday?
Der Patch Tuesday findet jeden zweiten Dienstag im Monat statt. In Deutschland sind die Updates meist gegen Abend verfügbar. Zu diesem Zeitpunkt veröffentlicht Microsoft seine monatlichen Software-Updates. Das Unternehmen hat den Dienstag als Termin gewählt, um Administratoren einen Tag für die Vorbereitung der Bereitstellung von Updates zu geben. Der Dienstag wurde dabei deshalb auserkoren, weil Montage meist ihre eigenen Probleme mit sich bringen und nach dem Dienstag noch genug Zeit übrig bleibt, um etwaige Probleme mit den Patches zu lösen.
Bis zur Einführung des kumulativen Update-Servicemodells durch Microsoft im Jahr 2016 konnten Administratoren wählen, ob sie einzelne Patches installieren wollten. Sie konnten auch entscheiden, ein Sicherheitsupdate nicht zu installieren und Patches zurückzunehmen.
Microsoft hat dieses Windows-10-Wartungsmodell Ende 2016 auf andere unterstützte Versionen von Windows-Betriebssystemen ausgeweitet. Bei diesem Ansatz können Windows-Administratoren nur die Reihenfolge der Patch-Bereitstellung festlegen und nicht auswählen, welche Patches angewendet werden sollen. Wenn auf einem System ein Problem auftritt, das nicht behoben werden kann, muss der Administrator das gesamte kumulative Update zurücksetzen, bis Microsoft eine Lösung bereitstellt.
Seit 2017 organisiert Microsoft die Updates über den Leitfaden für Sicherheitsupdates (Security Update Guide). Dieser konzentriert sich auf die Schwachstellen und Gefährdungen. Administratoren können dort nach Datum, Produkt, Schweregrad und Auswirkung suchen. Oder einfach auch nach KB-Nummer (KnowledgeBase) oder CVE-Nummer. (Common Vulnerabilities and Exposures). Früher wurden die einzelnen Sicherheitsupdates über ihre jeweilige KB-Nummer ausgespielt. Inzwischen erhalten die Anwender ein einzelnes kumulatives Update, in dem die für das Produkt passenden Sicherheitsupdates zusammengefasst sind. Über den Leitfaden für Sicherheitsupdates können sich Admins über die jeweiligen Details informieren. Wer ganz bestimmte einzelne Updates sucht, kann zudem den Microsoft Update-Katalog nutzen.
Für Windows OS veröffentlicht Microsoft am Patch Tuesday ein monatliches Rollup. Es besteht aus den Sicherheits- und Zuverlässigkeitsupdates des jeweiligen Monats und enthält alle zuvor veröffentlichten Updates. Microsoft nennt dies die B-Version. Microsoft bietet kumulative, nicht sicherheitsrelevante Vorabversionen an, die als C-Release bezeichnet werden. Das C-Release wird normalerweise in der dritten oder vierten Woche des Monats veröffentlicht. Administratoren können sie auf Windows-Systemen testen, bevor es am folgenden Patch Tuesday offiziell veröffentlicht wird.
Andere Unternehmen, wie Oracle und Adobe, haben ebenfalls Zeitpläne für die Bereitstellung von Patches eingeführt, die mit dem Patch Tuesday zusammenfallen.
Warum ist das Einspielen von Patches von so großer Bedeutung?
Regelmäßiges Patching bietet folgende Vorteile:
- Behebung von Softwareproblemen, einschließlich Schwachstellen, Fehlern und Kompatibilitätsproblemen.
- Sorgt dafür, dass die Software aktualisiert wird und ordnungsgemäß funktioniert.
- Führt neue Funktionen ein.
Patches bieten Schutz vor einer Reihe von Sicherheitsrisiken, darunter die folgenden:
- Denial of Service
- Elevation of Privilege (Rechteerhöhung)
- Privilege Escalation (Rechteausweitung)
- Remote Code Execution (Remote-Code-Ausführung)
- Spoofing
Microsoft fordert seine Kunden auf, die Patches zu installieren, sobald diese Sicherheits-Updates veröffentlicht werden. Böswillige Akteure untersuchen ständig den Code in Microsofts Patches, um Anhaltspunkte für die Entwicklung von Malware-Varianten zu sammeln.
IT-Profis müssen ein solides Patch-Management praktizieren, um sicherzustellen, dass die Patches keine Probleme mit anderen Unternehmensprodukten verursachen oder die Benutzer stören. Bewährte Verfahren empfehlen, dass Administratoren eine Testphase, zum Beispiel mit einer Pilotgruppe, durchführen, um Probleme zu erkennen, bevor sie Patches auf Systeme in einer produktiven Umgebung anwenden.
Patches können selbstredend auch Probleme verursachen. Einige IT-Profis haben dem Mittwoch nach dem Patch Tuesday den Spitznamen „Crash Wednesday“ gegeben, weil sie an diesem Tag Probleme mit den Patches vom Dienstag beheben müssen.
Wie verteilt Microsoft die Patches?
Microsoft beschreibt seine monatlichen Fixes für Windows als Qualitäts-Updates, die Sicherheitsbehebungen, Fehlerkorrekturen und Funktionsverbesserungen enthalten. Das Unternehmen kombiniert Sicherheits- und Nicht-Sicherheitsversionen in einem monatlichen Rollup, das auf die folgenden vier Arten verteilt wird:
- Windows Update
- Windows Server Update Services (WSUS)
- System Center Configuration Manager
- Microsoft Update Catalog
Eine Zeit lang verteilte Microsoft auch Sicherheitsupdates für Anwendungen von Drittanbietern. Die bemerkenswerteste Anwendung in dieser Kategorie war der Adobe Flash Player, als er noch von Adobe unterstützt wurde.
Welche Updates werden am Patch Tuesday veröffentlicht?
Die Sicherheits-Updates, die Microsoft am Patch Tuesday veröffentlicht, betreffen in erster Linie Microsoft-Softwareprodukte, -Funktionen und -Rollen, aber auch Anwendungen, die auf mobilen Apple- und Android-Geräten laufen.
Microsoft verwendet ein System zur Einstufung des Schweregrads, bei dem ein Patch als kritisch, wichtig, mäßig oder gering eingestuft wird. Kritische Patches sind beispielsweise für Sicherheitslücken, die keine Benutzeraktion erfordern, wie zum Beispiel das Vorhandensein eines bösartigen Netzwerkwurms. Wichtige Patches erfordern eine Benutzerinteraktion, um die Sicherheitslücke auszulösen, beispielsweise das Öffnen einer speziell gestalteten Datei in einer E-Mail.
Eine Sicherheitslücke, die ohne Patch angegriffen wird, ist ein Zero-Day-Exploit. Das bedeutet, dass Forscher Beweise für eine aktive Ausnutzung gefunden haben, bevor ein Patch verfügbar ist. In diesen Fällen gibt Microsoft häufig Anweisungen zur Schadensbegrenzung, um die Ausnutzung zu verhindern, bis ein Sicherheitsupdate verfügbar ist. So kann das Unternehmen beispielsweise empfehlen, bestimmte Werte in einem Windows-Registrierungsschlüssel zu ändern.
Microsoft- Sicherheits-Updates gelten für viele Arten von Software. Zu den Produkten, Funktionen und Rollen, für die an einem typischen Patch Tuesday Sicherheits-Updates zur Verfügung stehen, gehören unter anderem die folgenden:
- Azure Open Management Infrastructure.
- Microsoft Business Central.
- Microsoft Accessibility Insights for Android.
- Microsoft Defender for IoT.
- Microsoft Edge for Android.
- Microsoft Office.
- Microsoft Windows Codecs Library.
- Microsoft Windows Domain Name System.
- Visual Studio.
- Windows BitLocker.
- Windows Common Log File System Driver.
- Event Tracing for Windows.
- Windows Installer.
- Windows Kernel.
- Windows Print Spooler Components.
- Windows Scripting.
Normalerweise stellt Microsoft die Veröffentlichung von Sicherheits-Updates für Produkte nach dem End-of-Life-Datum im Supportlebenszyklus des Produkts ein. Im Jahr 2017 wich Microsoft jedoch von seiner üblichen Praxis ab und veröffentlichte Patches für nicht unterstützte Betriebssysteme, um sie vor den Ransomware-Angriffen WannaCry und EternalBlue sowie Varianten, die auf dieser Malware basieren, zu schützen. Zu diesen nicht unterstützten Betriebssystemen gehörten Windows XP, Windows 8 und Windows Server 2003.
Was sind Out-of-Band-Patches?
Ein Out-of-Band-Patch ist eine Softwarekorrektur, die außerhalb des Patch-Tuesday-Zeitplans veröffentlicht wird. Diese Patches werden veröffentlicht, um die Verbreitung kritischer Schwachstellen zu verhindern.
Microsoft würde beispielsweise ein solches Patch für eine Zero-Day-Schwachstelle veröffentlichen, die als Bedrohung für viele Systeme angesehen wird. Es würde einen Out-of-Band-Patch und einen Hinweis veröffentlichen, um die Benutzer zum sofortigen Handeln aufzufordern. Wenn der Patch auf Windows OS anwendbar wäre, würde Microsoft ihn in den nächsten Patch Tuesday als Teil seines kumulativen Update-Servicemodells aufnehmen.