Microsoft (und auch Adobe) haben letzte Woche in ihren monatlichen Patch-Veröffentlichungen eine ganze Menge von Sicherheits-Updates herausgebracht. Falls Ihr Computer diese Upgrades nicht automatisch installiert, sollten Sie wie immer sicherstellen, dass sie installiert werden, wenn sie dazu von Microsoft (oder Adobe) aufgefordert werden.
Ich möchte nicht ewig drauf herumreiten, doch es gibt wirklich keinen Grund, warum man die Sicherheits-Updates nicht installieren sollte. Keinen einzigen. Sie müssen bei der Installationsanfrage einfach nur auf „Ja“ klicken und in den meisten Fällen noch ein paar Minuten warten, während Ihr PC neu startet und die Updates automatisch installiert. Passenderweise hat mich Adobe gerade eben, während ich diese Zeilen schreibe, darüber informiert, dass das Update erfolgreich installiert wurde. Ich wusste gar nicht, dass gerade jetzt etwas installiert wird. So einfach geht das.
Mal davon abgesehen, sind nicht-installierte Sicherheits-Updates irgendwie vergleichbar mit nicht erhaltenen Grippe-Impfungen: Das Risiko einer Infektion ist höher, denn wenn keine Updates installiert werden, gehört Ihr PC zur stetig wachsenden Masse ganz einfach auszunutzender Computer. Zudem ist das eines dieser nervigen, sich selbst befeuernden Probleme: Während immer mehr Computer kompromittiert werden, bekommen die Cyberkriminellen immer mehr Rechen-Power, immer mehr Konto-Zugriffe für Phishing-Attacken, und noch viele weitere Möglichkeiten zum Übernehmen von immer mehr Computern.
Und die Updates sind keine willkürlichen, seltsamen Dinge, die man nicht versteht und nicht braucht. Kriminelle haben zum Beispiel eine mittlerweile geschlossene Sicherheitslücke im Internet Explorer ausgenutzt, die bei Watering-Hole-Attacken gegen das Arbeitsministerium der USA verwendet wurde. Dieser Angriff war wahrscheinlich das Sprungbrett für eine größere Angriffswelle auf Atomwaffen-Forscher im US-Energieministerium. In den Tagen nach der Attacke, wurde die gleiche Sicherheitslücke bei kambodschanischen Watering-Hole-Attacken gegen die amerikanische Agency for International Development (USAID) genutzt.
Beim so genannten Water Holing, auch Watering-Hole-Attacken genannt, kompromittieren die Angreifer eine Webseite, von der sie annehmen, dass sie vom Opfer regelmäßig aufgerufen wird. Bei den Angriffen auf die Ministerien wurde eine Seite des Arbeitsministeriums infiziert, um dessen Mitarbeiter, die Angestellten des Energieministeriums und andere wertvolle Regierungsmitarbeiter einzufangen. Zudem wurden damit USAID-Arbeiter in Kambodscha mit Phishing-Versuchen angegriffen.
Viel alarmierender ist aber vielleicht eine mittlerweile geschlossene Sicherheitslücke in der Adobe-Entwicklungsplattform ColdFusion, die von Hackern bereits ausgenutzt wurde, um Gerichts-Server im US-Bundesstaat Washington anzugreifen. Dabei wurden erstaunliche 160.000 Sozialversicherungsnummern, aber auch die Führerscheinnummern und Namen von über einer Million Bürgern gestohlen.
Wie der Kaspersky-Experte Kurt Baumgartner bereits sagte, hat Microsoft auch Updates für ein paar „weniger sexy“ wirkende, allerdings ebenso gefährliche Sicherheitslücken veröffentlicht, bei denen es um die Vergabe von Rechten auf PCs geht. Diese werden oft nach einer Infizierung genutzt, um Angreifern die komplette Kontrolle über die kompromittierten Computer zu geben. Dadurch kann der Hacker damit alles machen, was er will.