Alt gegen neu: Schwachstellen in zielgerichteten Angriffen

von Trend Micro

Die kürzlich entdeckte Cyberspionage-Kampagne namens Sandworm hat großen Wirbel verursacht. Den Sicherheitsvorfall hatte eine Zero-Day-Schwachstelle in allen unterstützten Versionen von Windows und Windows Server 2008 beziehungesweise 2012 möglich gemacht. Die Analyse der Trend Micro Bedrohungsforscher zeigte, dass die Sicherheitslücke über einen Fehler im OLE-Paket Manager von Windows und Server auch die Ausführung anderer Schadsoftware erlaubt.

Es gab Berichte darüber, dass die Sicherheitslücke in gezielten Angriffen gegen einige Organisation und Industriezweige missbraucht worden war, auch Attacken im Zusammenhang mit SCADA hatte es gegeben. Zudem wurde die Sicherheitslücke bald auch für einen weiteren Angriff ausgenützt, der eine neue Vermeidungstechnik (Evasion-Technik) – bösartige Dateien eingebettet in .PPSX-Dateien – einsetzte.

Mal alt, mal neu

In gezielten Angriffen werden nicht ausschließlich Zero-Day-Exploits verwendet. In der ersten Hälfte 2014 nutzten Angreifer häufig ältere Sicherheitslücken, wie etwa CVE-2012-0158, eine Schwachstelle im Zusammenhang mit Windows Common Controls. Obwohl es seit 2012 einen Patch dafür gibt, ist die Sicherheitslücke ein fester Bestandteil in zielgerichteten Angriffen, einschließlich der PLEAD-Kampagne.

Das bedeutet jedoch nicht, dass Zero-Day-Sicherheitslücken in diesem Jahr keine Rolle spielen. Beispielsweise wurde eine Windows Zero-Day-Lücke in einem Angriff gegen Botschaften missbraucht. Der Fehler wurde in paar Tage später behoben. Eine Zero-Day-Lücke spielte auch eine große Rolle in der Taidoor-Kampagne im März dieses Jahres. Anfang April wurde die Lücke geschlossen.

Der Kompromiss

Schwachstellen werden von den Anbietern fast immer geschlossen, vor allem wenn sie als kritisch eingestuft werden. Doch nicht alle Nutzer und Organisationen spielen die Patches gleich auf ihre Systeme, wohl zum Teil um den Betrieb nicht zu unterbrechen. Auch kann es zu erheblichen Verzögerungen kommen, weil die Patches erst getestet werden müssen, bevor sie auf Unternehmensumgebungen angewendet werden. Aus diesem Grund nutzen Angreifer ältere „verlässliche“ Sicherheitslücken, die getestet und erprobt sind. Auch lässt sich für diese älteren Sicherheitslücken die perfekte Bedrohung erstellen.

Andererseits bieten neuere Sicherheitslücken auch Vorteile. Zero-Day-Exploits können alle unerwartet treffen, einschließlich die Sicherheitshersteller. Damit sind sie effizienter und riskanter.

Zero-Days sind effizienter, wenn die betroffene Plattform oder Anwendung veraltet ist oder sogar nicht mehr unterstützt wird. Gibt es keine neuen Patches, wird das „Unsicherheitsfenster“ zum Dauerzustand. Das passierte mit einer Internet Explorer-Sicherheitslücke, die in gezielten Angriffen missbraucht wurde. CVE-2014-1776 erregte viel Aufsehen, weil es hieß, Microsoft werde keinen Patch für Windows XP veröffentlichen. Doch bald darauf gab es den entsprechenden Patch.

Gegenmaßnahmen

Der Eintrag „Häufige Missverständnisse in Bezug auf gezielte Angriffe“ räumt unter anderem auch mit dem Missverständnis auf, dass zielgerichtete Angriffe immer über eine Zero-Day-Lücke gehen. Wichtig ist, dass alle Sicherheits-Patches sobald wie möglich nach ihrer Veröffentlichung auch aufgespielt werden.

Der Umgang mit Zero-Days kann schwierig sein, ist aber nicht unmöglich. Beispielsweise helfen Taktiken wie virtuelles Patching, die Bedrohung durch eine Zero-Day-Lücke oder durch nicht unterstützte Systeme zu mindern. Honeypots (die Angreifer anziehen) können Angriffe in frühen Stadien erkennen. Techniken wie heuristisches Scanning und Sandboxing helfen dabei, verdächtige Dateien zu erkennen und sie in einer geschützten Umgebung auszuführen, ohne das Netzwerk zu kompromittieren.

Organisationen sollten sich auch um das Training ihrer Mitarbeiter kümmern. E-Mail-Köder sind oft der Anfang einer gezielten Attacke, und wenn Mitarbeiter darauf vorbereitet sind, verdächtige E-mails zu erkennen, so kann der Netzwerkschutz sich erheblich verbessern.

Trend Micros Deep Security schützt die Anwender über folgende Regeln vor Zero-Day-Lücken:

  • 1005801 – Microsoft Windows Kernel Elevation Of Privilege Vulnerability (CVE-2013-5065)
  • 1006030 – Microsoft Internet Explorer Remote Code Execution Vulnerability (CVE-2014-1776)
  • 1006045 – Microsoft Internet Explorer Remote Code Execution Vulnerability (CVE-2014-1776) – 1
  • 1005989 – Identified Malicious C&C Server SSL Certificate  (For CVE-2014-1761)
  • 1005990 – Microsoft Word RTF Remote Code Execution Vulnerability (CVE-2014-1761)
  • 1006000 – Microsoft Word RTF Remote Code Execution Vulnerability (CVE-2014-1761) – 1
  • 1006030 – Microsoft Internet Explorer Remote Code Execution Vulnerability (CVE-2014-1776)
  • 1006045 – Microsoft Internet Explorer Remote Code Execution Vulnerability (CVE-2014-1776) – 1

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*