Exploits: Von A bis Z!

Meltdown, Spectre, Shitrix, Log4Shell, BlueKeep, PrintNightmare, Log4j: Die Auflistung neuartiger, doch ebenfalls bekannter IT-Sicherheitslücken wächst von Tag zu Tag. Ernst wird es allerdings erst, wenn solche von Internetkriminellen für kriminelle Zwecke missbraucht werden. Ein häufig hierfür eingesetztes Werkzeug sind Exploits. Als „Brecheisen“ oder „Dietrich“ helfen sie den Angreifern dazu, in ein IT-System, Betriebssystem oder Netzwerk einzudringen, um dort erheblichen Schaden anzurichten. Was sich unter dieser Angriffsmethode versteckt, welche Formen es gibt und wie Sie sich sowie Ihr Unternehmen vor ihnen beschützen können, lesen Sie in den folgenden Abschnitten.
Die Bedrohungslage durch Internetangriffe hat sich progressiv zugespitzt. Erschwerend kommt hinzu, dass jene Angriffsmethoden eine stärkere Professionalisierung, technische Fortentwicklung und wirtschaftliche Entfaltung erleben – und dadurch deutlich an Schlagkraft gewinnen.
Aktuellsten Studienergebnissen laut SoSafe zufolge hat im vorangegangenen Jahr jedes dritte Unternehmen einen gelungenen Internetangriff erlebt. Zudem sagen drei von vier der Unternehmen aus, dass sich die Angriffslage durch Homeoffice und hybride Arbeitsmodelle zugespitzt hat.
Wenngleich mittlerweile im Minutentakt neue Angriffsformen entwickelt werden, sind Internetkriminelle zur Verbreitung von Malware, Ransomware und Co. auf Sicherheitslücken sowie Schwachstellen in Hardware-Produkten sowie Software-Lösungen angewiesen.
Mit dem Ziel diese ausfindig zu machen, bauen sie auf sogenannte Exploits.

Was ist eigentlich ein Exploit?

Unter dem Überbegriff „Exploit“ wird zum einen ein Computerprogramm mit ausführbaren Daten sowie Codezeilen verstanden, mit dem IT-Sicherheitslücken und IT-Schwachstellen aufgezeigt und ausgenutzt werden können. Zum anderen die bloß theoretische Detailbeschreibung einer IT-Schwachstelle.
Generell stellen „Exploit-basierte“ Angriffe eine potente Angriffsform für Internetkriminelle dar, um bösartige Programmierungen einzuschleusen, erweiterte Zugriffe zu erhalten und Datendiebstahl oder ähnliche illegale Tätigkeiten zu begehen. Dennoch können Exploits auch im Kontext von legitimen Sicherheitsüberprüfungen eingesetzt werden, um etwa eine Computersoftware oder Netzwerkkomponente auf beliebte Sicherheitslücken zu prüfen. Ferner lässt sich durch Exploits die Wirksamkeit von Sicherheitsupdates oder auch Patches überprüfen.
Drive-by-Download-Methode oder wie man sich bei einem Website-Besuch ein Exploit einfängt!
Heutzutage gibt es unterschiedlichste Varianten, auf denen Exploits auf eine Hardware, Software oder Netzwerkkomponente kommen können. Zwei dieser geläufigsten Methoden sind „Drive-by-Download“ sowie „Drive-by-Exploits“.
  • Drive-by-Download: Bei einem „Drive-by“-Download findet die Infizierung beim Surfen auf einer eigens hierfür präparierten Webseite statt – ohne dass die Opfer etwas diesbezüglich bemerken. In vielen Situationen kommen hierbei ganze Exploit-Kits zum Gebrauch. Diese enthalten eine Sammlung unterschiedlicher Exploits für etliche unterschiedliche Ziele etwa für PDF-Reader oder aber Webbrowser wie Firefox.
  • Drive-by-Exploits: Bei einem Drive-by-Exploit werden die Opfer gezielt infiziert. Dabei werden die Exploits über Dateien in E-Mail-Anhängen, auf USB-Sticks oder externen Festplatten verteilt.

Wie läuft ein Exploit-basierter Angriff ab?

Eine Attacke mit Exploits läuft meist in mehreren Schritten ab.
  1. Sicherheitslücken finden: Im ersten Step muss die ausnutzbare IT-Schwachstelle ausgemacht werden. Hierzu benutzen die Bedrohungsakteure die „Drive-by-Download“ oder auch die „Drive-by-Exploits“-Methode, um die Exploits auf die Zielsysteme zu trabsportieren. Nachdem diese auf den IT-Systemen verankert sind, suchen diese nach angreifbaren IT-Sicherheitslücken oder IT-Schwachstellen.
  2. Schadcode ablegen und Programmfluss umleiten: Nachdem die Exploits eine geeignete IT-Schwachstelle entdeckt haben, platzieren sie einen Schadcode, welcher den normalen Programmfluss auf den manipulierten Code leitet.
  3. Aktiv werden und Malware nachladen: Dieser aktive Schadcode ist dann in der Position, die Funktionen des gekaperten IT-Systems sowie die generell zugänglichen Betriebssystem-Funktionen aufzurufen. Auf diese Weise sammelt der Exploit beispielsweise Informationen über das System und kann zusätzlichen Schadcode, etwa eine Ransomware, einen Banking-Trojaner oder auch anderweitige Malware aus dem Internet auf das IT-System laden.

Welche Arten von Exploits gibt es!

Abhängig von der genutzten Angriffsart wie auch den zeitlichen Aspekten lassen sich Exploits in verschiedene Klassen unterteilen:
  • Zero-Day-Exploits: Zero-Day-Exploits sind vermutlich die populärste und gefürchtetste Art von Exploits. Dabei dreht es sich um eine entdeckte Sicherheitslücke, die dem Hersteller der Software oder Hardware noch keineswegs bekannt ist. Diese kann deshalb höchstens erst beim allerersten Angriff auf das System entdeckt werden. Weil der Hersteller zunächst einen Patch für das Exploit entwickeln muss, bekommt der Angreifer mehr Zeit, um eine deutlich größere Anzahl von IT-Systeme zu verfälschen wie auch größeren Schaden anzurichten.
  • Remote ausgeführte Exploits: Remote-Exploits fokussieren sich auf Schwachstellen der Netzwerksoftware und benutzen manipulierte Datenpakete für ihre Angriffe.
  • Denial-of-Service-Exploits: Denial-of-Service-Exploits, ebenfalls bekannt als DoS-Exploits, führen keinerlei speziellen Programmcode auf den angegriffenen Systemen aus, sondern verursachen eine Überlastung der Benutzung.
  • SQL-Injection-Exploits: Webanwendungen, welche auf Grundlage von SQL-Datenbanken ihre Features durchführen, sind möglicherweise über SQL-Injection-Exploits verwundbar.
  • Command-Execution-Exploits: Anhand eines Command-Execution-Exploits wird der Programmcode vom Angreifer gesteuert und mit weitreichenden Rechten auf dem kompromittierten System ausgeführt.

Maßnahmen zum Schutz vor Zero-Day-Angriffen

IT-Sicherheitslücken sind eine der größten Herausforderungen für die IT-Absicherung. Um Exploit-basierten Angriffen äußerst wenig Angriffsmöglichkeit zu bieten, sollten IT-Verantwortliche hierfür sorgen, dass sie die neuesten Software-Updates sowie Sicherheitsupdates auf allen IT-Systemen und Anwendungen installiert haben. Jene beheben die IT-Sicherheitslücken und sorgen dafür, dass diese IT-Systeme vor schon vertrauten Angriffsmustern geschützt sind. Exploits, welche die Angriffe über das Internet durchführen, lassen sich in den meisten Fällen durch den Einsatz von innovativen Firewall-Lösungen der nächsten Generation oder Intrusion-Detection sowie Intrusion-Prevention-Lösungen unterdrücken.

Fazit: Schließen Sie die Schlupflöcher der Hacker!

Die wachsende Anzahl kritischer IT-Sicherheitslücken und die hiermit verbundenen Exploit-Angriffe werden auch in Zukunft eine unvermeidbare Gefahr sein. Umso entscheidender ist es für Betriebe, ihre IT-Infrastruktur über eine mehrschichtige IT-Sicherheitsstrategie mit wirkungsvollen Techniken zur Exploit-Abwehr sowie IT-Sicherheitsschulungen zum Thema abzusichern. Nämlich nur auf diese Weise lassen sich Risiken und Folgeschäden eines Exploit-Angriffs erheblich minimieren.

 

Du bist IT-Dienstleister: Du bist an unserem Blogartikel Plus Abo interessiert? Dann freuen wir uns auf Deine Kontaktaufnahme per Mail an ingo.luecker@itleague.de.