Meltdown, Spectre, Shitrix, Log4Shell, BlueKeep, PrintNightmare, Log4j: Die Liste neuer, aber ebenfalls namhafter IT-Sicherheitslücken vergrößert sich von Tag zu Tag. Bitterernst wird es allerdings erst, wenn diese von Internetkriminellen für kriminelle Anlässe missbraucht werden. Ein mehrfach hierfür eingesetztes Tool sind Exploits. Als „Brecheisen“ oder „Dietrich“ helfen sie den Angreifern dazu, in ein IT-System, Betriebssystem oder Netzwerk einzudringen und hier erheblichen Schaden anzurichten. Was sich unter dieser Angriffsmethode verbirgt, welche Formen es gibt und wie Sie sich sowie Ihr Unternehmen vor ihnen schützen können, lesen Sie in den folgenden Abschnitten. Die Bedrohungslage durch Internetangriffe hat sich weiter zugespitzt. Belastend kommt dazu, dass die Angriffsmethoden eine zunehmende Professionalisierung, technische Fortentwicklung sowie wirtschaftliche Herausbildung erfahren – und demzufolge erheblich an Schlagkraft gewinnen. Aktuellsten Studienergebnissen von SoSafe zufolge hat im vorangegangenen Jahr jedes dritte Unternehmen einen gelungenen Internetangriff erfahren. Zudem sagen drei von vier der Betriebe aus, dass sich die Angriffslage durch Homeoffice sowie hybride Arbeitsmodelle verschlimmert hat. Auch wenn mittlerweile minütlich brandneue Angriffsformen entwickelt werden, sind Internetkriminelle zur Verbreitung von Malware, Ransomware und Co. auf Sicherheitslücken und Schwachstellen in Hardware-Produkten sowie Software-Lösungen angewiesen. Um diese zu finden, bauen sie auf sogenannte Exploits.
Was ist eigentlich ein Exploit?
Unter dem Überbegriff „Exploit“ wird zum einen ein Computerprogramm mit ausführbaren Daten sowie Codezeilen verstanden, mit dem IT-Sicherheitslücken sowie IT-Schwachstellen gezeigt und ausgebeutet werden können. Zum anderen die bloß theoretische Detailbeschreibung einer IT-Schwachstelle. Generell stellen „Exploit-basierte“ Attacken eine immense potente Angriffsform für Internetkriminelle dar, um bösartige Programmierungen einzuschleusen, weiterführende Zugriffe zu erhalten wie auch Datendiebstahl oder vergleichbare illegale Aktivitäten zu begehen. Allerdings können Exploits auch im Rahmen von legitimen Sicherheitsüberprüfungen eingesetzt werden, um etwa eine Software oder Netzwerkkomponente auf beliebte Sicherheitslücken zu prüfen. Ferner lässt sich mit Exploits die Wirksamkeit von Sicherheitsupdates oder auch Patches verifizieren.
Drive-by-Download-Methode oder wie man sich bei einem Website-Besuch ein Exploit einfängt!
Heutzutage gibt es unterschiedliche Wege, auf denen Exploits auf die Hardware, Software oder Netzwerkkomponente kommen können. Zwei dieser gängigsten Methoden sind „Drive-by-Download“ und „Drive-by-Exploits“.
- Drive-by-Download: Bei einem „Drive-by“-Download findet die Infizierung beim Herumsurfen auf einer speziell hierfür präparierten Internetseite statt – ganz ohne dass die Opfer etwas diesbezüglich bemerken. In etlichen Situationen kommen dabei komplette Exploit-Kits zum Einsatz. Jene beinhalten eine Sammlung verschiedener Exploits für viele verschiedene Ziele beispielsweise für PDF-Reader oder aber Webbrowser wie Firefox.
- Drive-by-Exploits: Bei einem Drive-by-Exploit werden die Opfer bewusst infiziert. Dabei werden die Exploits über Dateien in E-Mail-Anhängen, auf USB-Sticks oder externen Festplatten verteilt.
Wie laufen Angriffe mit Exploits ab?
Eine Attacke mit Exploits läuft in der Regel in mehreren Schritten ab.
- Sicherheitslücken finden: Im ersten Schritt muss die ausnutzbare IT-Schwachstelle gefunden werden. Hierzu benutzen die Bedrohungsakteure die „Drive-by-Download“ oder auch die „Drive-by-Exploits“-Möglichkeit, um die Exploits auf ihre Zielsysteme zu trabsportieren. Nachdem sie auf den IT-Systemen installiert sind, suchen sie nach angreifbaren IT-Sicherheitslücken oder IT-Schwachstellen.
- Schadcode ablegen und Programmfluss umleiten: Nachdem die Exploits eine geeignete IT-Schwachstelle entdeckt haben, positionieren diese einen Schadcode, welcher den normalen Programmfluss auf den manipulierten Code lenkt.
- Aktiv werden und Malware nachladen: Dieser aktive Schadcode ist dann in der Lage, die Eigenschaften des gekaperten IT-Systems und die generell zugänglichen Betriebssystem-Funktionen aufzurufen. Auf diese Weise sammelt der Exploit beispielsweise Auskünfte über das System und kann zusätzlichen Schadcode, etwa eine Ransomware, einen Banking-Trojaner oder auch andere Malware aus dem Internet auf das IT-System nachladen.
Exploits: Die verschiedenen Varianten auf einen Blick!
Abhängig von der genutzten Angriffsart wie auch den zeitlichen Faktoren lassen sich Exploits in unterschiedliche Typen aufgliedern:
- Zero-Day-Exploits: Zero-Day-Exploits sind wohl die bekannteste sowie gefürchtetste Form von Exploits. Hierbei dreht es sich um eine entdeckte Sicherheitslücke, welche dem Anbieter der Software oder Hardware noch nicht bekannt ist. Sie kann deshalb höchstens erst beim allerersten Angriff auf ein System aufgefunden werden. Weil der Produzent erst einen Patch für das Exploit entwickeln muss, erhält der Eindringling mehr Zeit, um eine deutlich größere Anzahl von IT-Systeme zu manipulieren oder größere Fehler anzurichten.
- Remote ausgeführte Exploits: Remote-Exploits zielen auf Schwachstellen der Netzwerksoftware und benutzen manipulierte Datenpakete für ihre Angriffe.
- Denial-of-Service-Exploits: Denial-of-Service-Exploits, ebenfalls bekannt als DoS-Exploits, führen keinerlei speziellen Code auf den angegriffenen Systemen aus, sondern initiieren eine Überanstrengung der Benutzung.
- SQL-Injection-Exploits: Webanwendungen, welche auf Basis von SQL-Datenbanken ihre Funktionen ausführen, sind unter Umständen über SQL-Injection-Exploits angreifbar.
- Command-Execution-Exploits: Anhand eines Command-Execution-Exploits wird ein Programmcode vom Angreifer gesteuert und mit weitreichenden Rechten auf einem kompromittierten System umgesetzt.
Best Practices zur Verhinderung von Exploit-Angriffen!
IT-Sicherheitslücken sind eine der mächtigsten Schwierigkeiten für die IT-Sicherheit. Um Exploit-basierten Angriffen äußerst wenig Angriffsfläche zu bieten, sollten IT-Verantwortliche dafür sorgen, dass sie die neuesten Software-Updates und Sicherheitsupdates auf allen IT-Systemen und Anwendungen eingerichtet haben. Diese beseitigen die IT-Sicherheitslücken und sorgen dafür, dass diese IT-Systeme vor schon vertrauten Angriffsmustern abgesichert sind. Exploits, die ihre Angriffe über das Web ausführen, lassen sich in den meisten Fällen mit dem Einsatz von modernen Firewall-Lösungen der folgenden Generation oder auch Intrusion-Detection und Intrusion-Prevention-Lösungen abwehren. Fazit: Schlagen Sie Internetkriminelle mit ihren eigenen Waffen! Die wachsende Anzahl kritischer IT-Sicherheitslücken sowie die damit einhergehenden Exploit-Angriffe werden auch zukünftig eine unvermeidbare Gefahr sein. Je entscheidender ist es für Betriebe, die IT-Infrastruktur durch eine mehrschichtige IT-Sicherheitsstrategie mit wirkungsvollen Techniken zur Exploit-Abwehr sowie IT-Sicherheitsschulungen zur Problematik zu schützen. Denn nur auf diese Weise lassen sich Risiken sowie Folgeschäden eines Exploit-Angriffs erheblich minimieren.
Wollen auch Sie Ihre IT-Systeme sowie Geschäftsanwendungen mit leistungsstarken Lösungen zur Exploit-Abwehr absichern? Oder haben Sie noch weitere Anliegen zum Thema? Sprechen Sie uns an!KontaktvorÜbersichtzurück