Home / How-To / Business
How-To

Hacker welcome: Schwachstellen im System entdecken und beseitigen!

Eine offene Schwachstelle im System ist wie eine Einladung für Hacker. Sie macht es Cyberkriminellen leicht, ein System anzugreifen. Deshalb ist es wichtig, wunde Punkte schnell zu entdecken und zu beseitigen.
Dirk Schrader
Von Dirk Schrader
PC-WELT
Schwachstellen im System sind wie eine Einladung für Cyberkriminelle
Image: Fotolia / Thaut Images

Cyberkriminelle wählen stets den einfachsten Weg, um ihr Ziel zu erreichen. Schwachstellen in IT-Systemen kommen da wie gerufen. Darunter versteht man angreifbare Punkte, die zur Manipulation der Systeme ausgenutzt werden können. Sind sie einmal bekannt und werden nicht geschlossen, steht die Tür für Angreifer quasi offen. Cyberkriminelle können über die Schwachstelle eindringen und dann die Verfügbarkeit, Vertraulichkeit und Integrität der Systeme sowie der darin befindlichen Daten kompromittieren.

Der Schweregrad einer Schwachstelle wird nach dem Common Vulnerability Scoring System (CVSS) auf einer Skala von 0 bis 10 bewertet. Das National Infrastructure Advisory Council (NIAC), eine Arbeitsgruppe des US-Ministeriums für Innere Sicherheit, hat dieses Bewertungssystem 2005 eingeführt. Derzeit betreut es das Forum of Incident Response and Security Teams.

Oft sind selbst in neuester Soft- und Hardware Schwachstellen enthalten. Microsoft musste zum Beispiel bei der Einführung von Windows 10 bereits innerhalb der ersten drei Monate 28 Sicherheitslücken mit hohem Schweregrad, also Stufe 7 oder höher auf der CVSS-Skala, einräumen.

Um Schwachstellen zu schließen, veröffentlichen Hersteller Patches. Unternehmen sind dann selbst verantwortlich, diese Sicherheits-Updates auch zeitnah einzuspielen. Oft kommt diese grundlegende Security-Maßnahme leider immer noch zu kurz.

So spüren Sicherheitsexperten Schwachstellen auf

Es gibt zwei grundsätzliche Wege, wie Sicherheitsforscher Schwachstellen aufdecken: den Blackbox- und den Whitebox-Ansatz. Beim Blackbox-Test betrachten die Experten das IT-System von außen, so wie es auch ein normaler Nutzer sehen würde. Sie achten zum Beispiel auf interessante Dateinamen und sammeln Informationen. Wie sieht die Website, die Software oder das Produkt aus? Welche Funktionen hat es und welche sind besonders interessant? Jedes Feld, in dem ein Nutzer etwas eingeben kann, zum Beispiel eine URL, Login-Daten oder einen Text, ist eine mögliche Angriffsfläche.

Eine beliebte Methode, um Schwachstellen aufzuspüren, ist das sogenannte Fuzzing. Das heißt, die Experten geben wirre Befehle in die Eingabefelder ein, die die Entwickler so nicht vorgesehen haben – zum Beispiel 500 Mal den Buchstaben A in ein Feld für einen 8-stelligen Zahlencode. Dann achten sie darauf, ob sich das System ungeplant verhält. Kommt es zu Fehlern? Gibt es eine Nonsense-Antwort?

Wenn die Schwachstellen-Forscher dabei auf interessante Ergebnisse stoßen, versuchen sie im nächsten Schritt, sinnhafte Eingaben zu machen, zum Beispiel „führe Programm x aus“ oder „gib mir Information Y“. Ziel ist es, ein vom Hersteller nicht angedachtes Verhalten zu provozieren.

Beim Whitebox-Test nehmen die Experten dagegen eine Entwickler-Perspektive ein. Sie erhalten Zugriff auf den Quelltext und die Produktspezifikationen und werden häufig vom Hersteller unterstützt. Mit geschultem Auge erkennen sie Muster im Quelltext, die auf potenzielle Schwachstellen hindeuten. Sie müssen nicht unbedingt Fuzzing betreiben, sondern können schon am Code erkennen, wie sich der Programmfluss verhält und was passiert.

Ob Blackbox oder Whitebox: Um Schwachstellen aufzuspüren, brauchen die Experten ein hohes Skill-Niveau. Meist müssen sie sich Tage oder Wochen mit einem System auseinandersetzen, bis sie etwas finden – oder eben auch nicht. Cyberkriminelle betreiben diesen Aufwand nur selten und verfügen oft nicht über die nötige Expertise. Sie nutzen daher lieber bereits bekannte Sicherheitslücken aus, denn so kommen sie deutlich schneller und einfacher ans Ziel.

https://youtu.be/I_wdRE5l7Hs

Im November 2018 haben die Sicherheitsforscher von Greenbone eine schwerwiegende Sicherheitslücke in D-Link-Routern der Modelle DWR und DAP gefunden. Sie hat die CVSS-Wertungen 9,8 und 10 erhalten, also die höchste Gefahrenstufe.

Hacker können damit ohne jegliche Authentifizierung Befehle auf dem Router ausführen und sich sogar uneingeschränkte administrative Rechte verschaffen. Vermutlich liegt der Schwachstelle ein Design-Fehler zu Grunde. Die Sicherheitsexperten fanden eine ausführbare Datei namens EXCU_Shell auf den getesteten Geräten. Diese lässt sich aus dem Web-Browser mit einem sogenannten Get-Request aufrufen.

Eigentlich ist die Datei für harmlose, aber sinnvolle Operationen zuständig, etwa um Informationen über die installierte Firmware-Version anzuzeigen. Indem man jedoch einige Parameter der Datei anpasst, kann man beliebige Befehle einschleusen und ausführen. Da D-Link-Geräte auf dem Markt weit verbreitet sind, hat die Sicherheitslücke eine hohe Tragweite. Zudem lässt sich die Schwachstelle relativ leicht ausnutzen, weil die EXCU_Shell -Datei nicht passwortgeschützt ist. Wenn ein Hacker einmal in den Router eingedrungen ist, kann er von dort aus das gesamte zugehörige Netzwerk angreifen und den kompletten ein- und ausgehenden Internet-Traffic kontrollieren.

Greenbone hat D-Link über die Sicherheitslücke informiert und im Auftrag des Herstellers eine CVE-Nummer (Common Vulnerabilities and Exposures) bei der gemeinnützigen MITRE Corporation beantragt. Sie verwaltet eine Liste aller gemeldeten Schwachstellen. Bisher (Stand 18. Juni 2019) hat D-Link noch nicht alle Patches veröffentlicht. Im Security Feed des Greenbone Vulnerability-Management-Systems wird die Schwachstelle jedoch seit November 2018 angezeigt.

Schwachstellen aufspüren und managen mit Vulnerability Management

Vulnerability Management ist eine wichtige Methode, um Schwachstellen in IT-Systemen aufzuspüren und zu beseitigen. Dabei handelt es sich um einen kontinuierlichen zyklischen Prozess. Die IT-Infrastruktur wird zunächst automatisiert auf Schwachstellen gescannt. Anschließend werden die Funde klassifiziert und anhand ihres Risikos für das Unternehmen bewertet. Daraus ergibt sich, welche Schwachstellen die Sicherheitsverantwortlichen zuerst angehen sollten. Informationen zur Schwachstelle und ihrer Behebung werden dokumentiert, bevor der Kreislauf wieder mit einem neuen Scan beginnt.

Ein Vulnerability-Management-System arbeitet mit anderen Sicherheitssystemen wie Intrusion-Detection- und -Prevention-Systemen (IDS/IPS) und Firewalls zusammen. Es teilt Informationen zu Schwachstellen mit ihnen und hilft dabei, ihre Einstellung zu verfeinern, so dass sich Falschmeldungen reduzieren und Sicherheitsressourcen besser fokussieren lassen.

Fazit

In Zeiten von IoT und Industrie 4.0 sind immer mehr Geräte miteinander vernetzt. Damit wächst auch die Zahl der potenziellen Schwachstellen, die Sicherheitsverantwortliche im Auge behalten müssen. Jeder Angriffspunkt kann sich auf das gesamte Netzwerk auswirken. Vor allem wenn kritische Infrastrukturen wie medizinische Geräte oder Steuerungen für die Strom- oder Wasserversorgung betroffen sind, kann das gravierende Folgen haben.

Unternehmen sollten daher stets darauf achten, aktuelle Patches und Updates einzuspielen, um bekannte Schwachstellen zu schließen. Zusätzlich kann ein gutes Vulnerability-Management-Tool helfen, Sicherheitslücken zu erkennen und Maßnahmen zur Beseitigung anzustoßen.

Auch interessant zu diesem Thema:

Patch-Day im Juni: Microsoft stopft 88 Schwachstellen

Zombieload: So prüfen Sie, ob Ihr PC gefährdet ist

Greifen uns Hacker demnächst aus der Ferne ins Lenkrad?

vgwort

Dirk Schrader (CISSP, CISM) ist Chief Marketing Officer (CMO) bei Greenbone, Lösungsanbieter zur Schwachstellen-Analyse von IT-Netzwerken.