🆕 Software-Update · Lesezeit ca. 6 Min.

CVE Vulnerability Scanner v3.0

Das größte Update seit Veröffentlichung — präziser, schneller, sicherer

Die Version 3.0 des CVE Vulnerability Scanners ist ein grundlegendes Update mit über einem Dutzend neuer Funktionen. Im Mittelpunkt stehen vier Themen, die das Tool für MSPs und IT-Verantwortliche fundamental aufwerten: präzise CPE-basierte Suche statt unscharfer Keyword-Treffer, integrierte Threat Intelligence direkt aus dem CISA-Katalog aktiv ausgenutzter CVEs, deutlich schnellere Scans durch echte Parallelisierung und eine SQLite-basierte Scan-Historie für Trend-Analysen.

Dieser Beitrag fasst zusammen, was sich gegenüber v2.x geändert hat — und warum sich das Update für jeden Bestandskunden lohnt.

🎯 Die 4 wichtigsten Neuerungen auf einen Blick

🔥 Threat Intelligence Der Scanner zeigt jetzt direkt, welche CVEs laut CISA aktuell von Angreifern ausgenutzt werden.	🎯 CPE-basierte Suche Präzise CVE-Erkennung anhand offizieller Software-Identifier statt Keyword-Treffer.
⚡ Parallelisierung Bis zu 4× schnellere Scans durch parallele NVD-Anfragen mit Token-Bucket-Limiter.	📊 Scan-Historie SQLite-basierte Datenbank für Trend-Analyse und Multi-PC-Vergleiche.

🔥 Threat Intelligence: KEV + EPSS

Der Scanner integriert ab v3.0 zwei der wichtigsten öffentlichen Threat-Intelligence-Quellen direkt in die CVE-Auswertung:

CISA Known Exploited Vulnerabilities (KEV): Die US-Cybersecurity-Behörde CISA pflegt einen öffentlichen Katalog aller CVEs, die nachweislich von Angreifern in freier Wildbahn ausgenutzt werden. Eine CVE in dieser Liste bedeutet konkret: SOFORT patchen — keine Diskussion über Priorisierung.

EPSS (Exploit Prediction Scoring System): Ein ML-basiertes Modell von FIRST.org, das die Wahrscheinlichkeit (0–100 %) berechnet, dass eine CVE in den nächsten 30 Tagen ausgenutzt wird. Ideal zur Priorisierung der noch nicht akut ausgenutzten, aber gefährlichen Schwachstellen.

Im Tool werden zwei neue Spalten — “🔥 KEV” und “EPSS” — in allen DataGrids angezeigt. Im HTML-Bericht erscheint ganz oben eine prominente “Hot List” mit allen aktiv ausgenutzten CVEs, sortiert nach CISA-Patch-Deadline.

🎯 CPE-basierte präzise Suche

Bisher suchte der Scanner CVEs anhand des Software-Namens als Freitext-String. Das führte zu False-Positives: Eine Suche nach “Adobe Reader” matchte auch CVEs zu “Adobe Connect” oder “Adobe Flash”.

Ab v3.0 nutzt der Scanner offizielle CPE 2.3 Identifier (Common Platform Enumeration). Aus “Adobe Acrobat Reader DC 24.001.20604” wird der präzise Identifier:

cpe:2.3:a:adobe:acrobat_reader:24.001.20604:*:*:*:*:*:*:*

… der punktgenaue Treffer in der NVD-Datenbank liefert.

📦 Caching: Bekannte CPE-Mappings werden 30 Tage lokal gespeichert. Beim zweiten Scan derselben Software fällt damit eine API-Anfrage komplett weg.

🛡️ Fallback: Wird für eine Software kein passender CPE gefunden, läuft die bisherige Keyword-Suche als Sicherheitsnetz weiter — kein Verlust an Trefferquote.

⚡ Parallelisierung mit Token-Bucket-Limiter

Statt nacheinander mit fixen 650 ms-Pausen läuft der Scan jetzt mit 4 parallelen Threads. Ein globaler Token-Bucket-Limiter sorgt dafür, dass die NVD-API-Limits sicher eingehalten werden — 50 Anfragen pro 30 Sekunden mit API-Key, 5 ohne. Verteilte Worker, ein gemeinsamer Limiter, kein 429-Throttling.

Praxis-Speedup: Beim ersten Scan etwa 30–50 % schneller. Bei wiederholten Scans dank CPE-Cache-Hits oft 70–80 %.

📊 Scan-Historie für Trend-Analyse

Jeder Scan wird ab v3.0 in einer SQLite-Datenbank persistiert:

%APPDATA%\CVEScanner\scan-history.db

Damit lassen sich Fragen beantworten, die mit einem reinen Snapshot-Tool unmöglich sind:

✓Wie hat sich die CVE-Anzahl auf diesem PC über die letzten Monate entwickelt?
✓Welche CVEs sind seit Wochen offen, obwohl wir wiederholt patchen?
✓Welche von 50 betreuten Kunden-PCs haben überdurchschnittlich viele KEV-Treffer?

Schema: ScanRuns mit Header-Daten pro Scan + ScanFindings mit allen CVE-Details, indexiert auf ComputerName + Timestamp für schnelle Trend-Queries. Ideal für die monatliche Erfolgskontrolle der eigenen Patch-Rounds.

🔒 Sicheres Remote-Scanning

⚠️ Sicherheitsproblem in v2.x: Die PowerShell-Remoting-Implementierung übergab Passwörter als Klartext in den Command-Line-Argumenten der externen powershell.exe — sichtbar in der Process-Liste, in Sysmon Event 1, in jedem Audit-Log.

v3.0 löst das vollständig: Remoting läuft jetzt in-process über System.Management.Automation. Credentials werden ausschließlich als SecureString in PSCredential übertragen — keine Klartext-Passwörter mehr in Process-Listen, keine temporären Skript-Dateien im %TEMP%-Ordner.

Bonus: Der API-Key-Storage wurde von DPAPI auf AES-256-GCM machine-bound umgestellt. Bestehende v2.x-Keys werden beim ersten Start automatisch migriert.

✅ Weitere Verbesserungen unter der Haube

✓Service-orientierte Architektur: Code-Reduktion in MainWindow von 5.029 auf etwa 3.350 Zeilen. Alle Services sind isoliert testbar.
✓Vollständiges INPC: Alle DataGrid-Properties feuern PropertyChanged automatisch — kein manuelles Items.Refresh() mehr.
✓Verbesserte Registry-Filter: System-Komponenten, Sub-Updates und Junk-Einträge werden zuverlässig ausgeblendet. Saubere Programm-Liste statt 200 “KB…”-Updates.
✓Newtonsoft.Json entfernt: Komplett auf System.Text.Json umgestellt, weniger Abhängigkeiten und ein schlankerer Build.
✓Robuste HTTP-Schicht: Geteilter HttpClient mit exponentiellem Backoff bei HTTP 429- und 5xx-Fehlern.

🚀 Fazit

Mit v3.0 wird der CVE Vulnerability Scanner vom reinen Discovery-Tool zur vollständigen Vulnerability-Management-Lösung für Windows-Umgebungen. Die Threat-Intelligence-Integration beantwortet die wichtigste Frage des MSP-Alltags direkt im HTML-Bericht: Welche fünf CVEs muss der Kunde diese Woche patchen — und welche können warten?

Das Update ist für alle Bestandskunden mit aktiver Lizenz kostenlos. Die SQLite-Historie startet automatisch beim ersten Scan unter v3.0 — die Datenbasis für aussagekräftige Trend-Reports baut sich also ab dem ersten Tag von selbst auf.

📥 Mehr Infos & Download auf isw-adtools.de