Meltdown, Spectre, Shitrix, Log4Shell, BlueKeep, PrintNightmare, Log4j: Die Liste neuer, aber auch namhafter IT-Sicherheitslücken vergrößert sich täglich. Ernst wird es allerdings erst dann, wenn diese von Internetkriminellen für kriminelle Zwecke missbraucht werden. Ein mehrfach hierfür eingesetztes Werkzeug sind Exploits. Als „Brecheisen“ oder „Dietrich“ nützen sie den Angreifern dabei, in ein IT-System, Betriebssystem oder auch Netzwerk einzudringen, um dort erheblichen Schaden anzurichten. Was sich unter jener Angriffsmethode versteckt, welche Formen es gibt und wie Sie sich und Ihr Unternehmen vor ihnen beschützen können, erfahren Sie in den folgenden Abschnitten.
Die Bedrohungslage durch Internetangriffe hat sich progressiv verschärft. Erschwerend kommt dazu, dass die Angriffsmethoden eine zunehmende Professionalisierung, technische Weiterentwicklung sowie wirtschaftliche Herausbildung erleben – und demzufolge erheblich an Schlagkraft gewinnen.
Aktuellsten Studienergebnissen laut SoSafe zufolge hat im vergangenen Jahr jedes dritte Unternehmen einen erfolgreichen Internetangriff erlebt. Zudem sagen drei von vier der Unternehmen aus, dass sich die Angriffslage durch Homeoffice sowie remote Arbeitsmodelle zugespitzt hat.
Auch wenn mittlerweile im Minutentakt brandneue Angriffsformen entwickelt werden, sind Internetkriminelle zur Ausbreitung von Malware, Ransomware und Co. auf Sicherheitslücken sowie Schwachstellen in Hardware-Produkten sowie Software-Lösungen angewiesen.
Mit dem Ziel diese zu finden, setzen sie auf so bezeichnete Exploits.
Was ist ein Exploit?
Unter dem Oberbegriff „Exploit“ wird zum einen ein Programm mit ausführbaren Daten und Codezeilen verstanden, mit dem IT-Sicherheitslücken und IT-Schwachstellen gezeigt wie auch ausgenutzt werden können. Zum anderen eine rein theoretische Beschreibung einer IT-Schwachstelle.
Generell stellen „Exploit-basierte“ Attacken eine potente Angriffsform für Internetkriminelle dar, um bösartige Programmierungen einzuschleusen, weiterführende Zugriffe zu bekommen wie auch Datendiebstahl oder vergleichbare illegale Tätigkeiten zu machen. Dennoch können Exploits auch im Kontext von legitimen Sicherheitsüberprüfungen eingesetzt werden, um beispielsweise eine Computersoftware oder Netzwerkkomponente auf beliebte Sicherheitslücken abzuchecken. Außerdem lässt sich mit Exploits die Wirksamkeit von Sicherheitsupdates oder Patches verifizieren.
Wie funktionieren Drive-by-Downloads und Drive-by-Exploits?
Mittlerweile gibt es unterschiedliche Wege, auf denen Exploits auf die Hardware, Software oder Netzwerkkomponente gelangen können. Zwei dieser gängigsten Methoden sind „Drive-by-Download“ sowie „Drive-by-Exploits“.
- Drive-by-Download: Bei dem „Drive-by“-Download findet eine Infizierung beim Herumsurfen auf einer speziell dafür präparierten Webseite statt – ohne dass die Opfer etwas davon bemerken. In vielen Fällen kommen hierbei komplette Exploit-Kits zum Einsatz. Jene beinhalten eine Sammlung verschiedener Exploits für etliche unterschiedliche Ziele etwa für PDF-Reader oder aber Webbrowser wie Firefox.
- Drive-by-Exploits: Bei einem Drive-by-Exploit werden die Opfer bewusst infiziert. Dabei werden die Exploits über Dokumente in E-Mail-Anhängen, auf USB-Sticks oder externen Festplatten verbreitet.
Wie laufen Angriffe mit Exploits ab?
Ein Angriff mit Exploits läuft meist in einigen Steps ab.
- Sicherheitslücken finden: Im ersten Step muss eine ausnutzbare IT-Schwachstelle ausgemacht werden. Dafür nutzen die Bedrohungsakteure die „Drive-by-Download“ oder auch die „Drive-by-Exploits“-Methode, um die Exploits auf ihre Zielsysteme zu trabsportieren. Nachdem diese auf den IT-Systemen verankert sind, suchen diese nach angreifbaren IT-Sicherheitslücken bzw. IT-Schwachstellen.
- Schadcode ablegen und Programmfluss umleiten: Nachdem die Exploits eine geeignete IT-Schwachstelle entdeckt haben, positionieren sie einen Schadcode, welcher den regulären Programmfluss auf den manipulierten Code leitet.
- Aktiv werden und Malware nachladen: Dieser aktive Schadcode ist dann in der Lage, die Funktionen des gekaperten IT-Systems sowie die generell zugänglichen Betriebssystem-Funktionen aufzurufen. Auf diese Weise sammelt der Exploit zum Beispiel Informationen über das System und kann weiteren Schadcode, etwa eine Ransomware, einen Banking-Trojaner oder andere Malware aus dem Internet auf das IT-System nachladen.
Welche Exploit-Varianten gibt es?
Abhängig von der genutzten Angriffsart wie auch den zeitlichen Aspekten lassen sich Exploits in verschiedene Klassen unterteilen:
- Zero-Day-Exploits: Zero-Day-Exploits sind vermutlich die populärste sowie gefürchtetste Art von Exploits. Hierbei dreht es sich um eine entdeckte Sicherheitslücke, die dem Hersteller der Software oder auch Hardware noch nicht bekannt ist. Sie kann daher höchstens erst beim allerersten Angriff auf das System aufgefunden werden. Weil der Hersteller zunächst einen Patch für das Exploit erzeugen muss, erhält der Eindringling mehr Zeit, um eine deutlich größere Anzahl von IT-Systeme zu verfälschen oder größere Fehler anzurichten.
- Remote ausgeführte Exploits: Remote-Exploits zielen auf Schwachstellen der Netzwerksoftware und verwenden manipulierte Datenpakete für deren Angriffe.
- Denial-of-Service-Exploits: Denial-of-Service-Exploits, ebenfalls bekannt als DoS-Exploits, führen keinen speziellen Code auf den angegriffenen Systemen aus, sondern initiieren eine Überlastung der Benutzung.
- SQL-Injection-Exploits: Webanwendungen, welche auf Grundlage von SQL-Datenbanken deren Funktionen ausführen, sind möglicherweise über SQL-Injection-Exploits angreifbar.
- Command-Execution-Exploits: Mit Hilfe eines Command-Execution-Exploits wird der Code vom Angreifer gelenkt und mit weitreichenden Rechten auf dem kompromittierten System ausgeführt.
Best Practices zur Verhinderung von Exploit-Angriffen!
IT-Sicherheitslücken sind eine der mächtigsten Herausforderungen für die IT-Absicherung. Um Exploit-basierten Angriffen möglichst wenig Angriffsfläche zu bieten, sollten IT-Verantwortliche hierfür sorgen, dass sie die aktuellsten Software-Updates sowie Sicherheitsupdates auf ihren IT-Systemen und Anwendungen eingerichtet haben. Diese beheben die IT-Sicherheitslücken und stellen sicher, dass die IT-Systeme vor bereits vertrauten Angriffsmustern abgesichert sind. Exploits, welche ihre Angriffe über das Internet durchführen, lassen sich in den allermeisten Situationen mit dem Gebrauch von innovativen Firewall-Lösungen der folgenden Generation oder auch Intrusion-Detection sowie Intrusion-Prevention-Lösungen abwehren.
Fazit: Schließen Sie die Schlupflöcher der Hacker!
Die steigende Zahl kritischer IT-Sicherheitslücken sowie die hiermit verbundenen Exploit-Angriffe werden auch in Zukunft eine unvermeidbare Bedrohung bleiben. Umso entscheidender ist es für Betriebe, ihre IT-Infrastruktur durch eine mehrschichtige IT-Sicherheitsstrategie mit wirkungsvollen Techniken zur Exploit-Abwehr sowie IT-Sicherheitsschulungen zum Thema abzusichern. Nämlich nur so lassen sich Gefahren sowie Folgeschäden eines Exploit-Angriffs deutlich verringern.
Möchten auch Sie Ihre IT-Systeme sowie Geschäftsanwendungen mit leistungsstarken Lösungen zur Exploit-Abwehr schützen? Oder haben Sie noch weitere Fragen zum Thema? Kontaktieren Sie uns!