Liebe Leserinnen und Leser,

heute geht es um Trends und Erkenntnisse rund um Zero-Days und das Abschalten Alter und das Veröffentlichen neuer Features rund um Windows. 
Alle News dieser Ausgabe:

• Woher kommen eigentlich Zero-Days?
• Google M-Trends 2025 – Neues aus der IR-Welt
• ActiveX ist endlich weg – also fast
• Windows Server kann jetzt Hotpatching

Wir wünschen Ihnen wie immer viel Spaß beim Lesen und freuen uns über Ihre Rückmeldungen!

Mit besten Grüßen
Holger von Rhein & Abraham Söyler

Woher kommen eigentlich Zero-Days? 

Nachtrag (2025-05-16): Nach Hinweisen einiger Lesender haben wir die Definition von Zero-Days am Anfang des Artikels angepasst. Vorher benannten wir Zero-Days als "Lücken, die am heutigen Tage bekannt werden". Dies sorgte daraufhin unternehmensintern für eine (akademische) Diskussion zu dem Thema, die allerdings am Ziel des Beitrages vorbei ging. Insbesondere war dies verwirrend im Kontext des referenzierten Beitrages der GTIG, deren Definition wir in der aktuellen Version übernommen haben. Vielen Dank für die Hinweise!

Sicherheitslücken, die seit n Tage bekannt sind, nennt man „n-days“. Zero-Days sind demzufolge Lücken, die am heutigen Tage bekannt werden. Meist gibt es dann auch noch keine Patches oder Mitigationen dafür, weswegen diese Art von Lücken besonders interessant für Angreifende und Admins zugleich sind. Aber wer findet diese Lücken eigentlich? 

Ein prominenter Player in dem Bereich ist die Google Threat Intelligence Group (GTIG). Im Jahresbericht zu 2024 zieht sie Bilanz zu Zero-Day-Aktivität und -Attribution und was man daraus lernen kann. Neben einigen durchaus spannenden Zahlen zum Thema „ausgenutzte Systeme“ war für uns vor allem der Absatz zu Attribution relevant. Solche Zahlen sind zwar grundsätzlich mit Vorsicht zu genießen, da eine direkte Zuordnung oft sehr schwierig ist. Die GTIG hat „nur“ 34 der 75 erkannten Zero-Days attributiert. Wenn man die Methodik akzeptiert, dann ordnet sie 15 Ausnutzungen staatlichen Akteuren zu. Weitere acht wurden durch kommerzielle Anbieter, wie z. B. Cellebrite, genutzt.

Da auch diese Händler oftmals für staatliche Akteure tätig sind, kann man einen beunruhigenden Trend erkennen: Oftmals wird die Ausnutzung von Zero-Days durch staatliche Akteure gesteuert, also auch durch Steuergeld bezahlt.

https://www.heise.de/news/Steuergeld-finanziert-Angriffe-mit-Zerodays-10367137.html

https://cloud.google.com/blog/topics/threat-intelligence/2024-zero-day-trends?hl=e

Google M-Trends 2025 – Neues aus der IR-Welt

Google bzw. sein Tochterunternehmen Mandiant berichtet im aktuellen M-Trends-Report von ihren Erkenntnissen zu aktuellen Themen aus der Incident Response. @GossiTheDog@cyberplace.social, eine bekannte Persönlichkeit aus der IT-Sicherheitsszene, hat ebenfalls seine Einschätzung zu dem Thema in einem „Toot“ im sozialen Netzwerk Mastodon veröffentlicht. Diese ist nicht nur spannend für IR-Bereiche, sondern auch für Unternehmen, die sich schützen möchten: Ausgenutzte Schwachstellen kommen hauptsächlich in Cybersecurity-Produkten vor, meist innerhalb von Firewalls. Bei der Bewertung sollte jedoch auch berücksichtigt werden: Firewalls werden auch deshalb häufig angegriffen, weil sie die erste Kontaktstelle nach außen sind.  

Es geht ebenfalls um viele weitere Themen, weswegen wir empfehlen, auf jeden Fall einen Blick in den Report zu werfen. Wir freuen uns, die Erkenntnisse mit Ihnen auf Mastodon einzuordnen und zu diskutieren!

https://cyberplace.social/@GossiTheDog/114391441325807269

https://services.google.com/fh/files/misc/m-trends-2025-en.pdf

ActiveX ist endlich weg – also fast

Microsoft hat in den letzten Jahren immer wieder Features standardmäßig deaktiviert, die gerne durch Angreifende genutzt werden (wir erinnern uns an XLM-Macros und VBScript). Nun beglückt uns Redmond erneut mit einer schon lange erwarteten Nachricht: ActiveX wird in M365 und Office 2024 deaktiviert -  zumindest im Standard, eine Reaktivierung ist noch möglich. 

Wir können der Empfehlung von Microsoft nur beipflichten.

https://www.bleepingcomputer.com/news/microsoft/microsoft-blocks-activex-by-default-in-microsoft-365-office-2024

Windows Server kann jetzt Hotpatching

Microsoft hat einen weiteren interessanten Service angekündigt: Hotpatching. Dabei werden acht der 12 monatlichen Patches so installiert, dass die Änderungen im Hauptspeicher angewandt werden, ohne dass ein Reboot des Systems notwendig ist. Ob dies die damit verbundenen Kosten von 1,50 € pro CPU und Monat wert ist, muss man im Einzelfall entscheiden.

https://www.microsoft.com/en-us/windows-server/blog/2025/04/24/tired-of-all-the-restarts-get-hotpatching-for-windows-server/

HiSolutions Know-how to go: IT-Sicherheitsregulierung in Gegenwart und Zukunft - KRITIS, NIS-2 & DORA

Die IT-Sicherheitsregulierung ist im stetigen Wandel und daher herausfordernd für viele Betroffene. Erfahren Sie alles über die neuesten Entwicklungen und Herausforderungen, um für die Zukunft gut aufgestellt zu sein. Unsere Experten bieten Ihnen wertvolle Einblicke in die aktuellen Cyber-Gesetzgebungen wie NIS-2, KRITIS-Dachgesetz und DORA, und zeigen Ihnen, wie Sie diese effizient umsetzen können. Von der Automatisierung von Cloud Compliance über die Auswirkungen der DORA auf IKT-Drittdienstleister bis hin zu praxisnahen Ansätzen zur Erfüllung der NIS-2-Anforderungen – diese Veranstaltung deckt alle relevanten Themen ab! Seien Sie dabei und bereiten Sie sich optimal auf die Zukunft der IT-Sicherheit vor!

Die Teilnahme an unserem Wissensfrühstück ist kostenfrei.
Wann: 12.06.2025 | Wo: Berlin

https://www.hisolutions.com/knowhow

Kostenfreies Webinar zum IT-Asset-Management

Ein wirksames IT-Sicherheitskonzept erfordert Transparenz über die tatsächlich vorhandene IT-Umgebung. In einem Live-Webinar am 26.6.2025 um 10:30 Uhr geben Raynet und HiSolutions Einblicke in moderne Methoden und Tools im IT-Asset-Management.

Die Teilnahme ist kostenfrei.

https://www.hisolutions.com/webinar-it-asset-management