Tatort Zero-Day-Exploit und warum Windows ein echter Cyber-Security-Krimi ist

Schwachstellen sind gefragter denn je: Unter anderem bietet der Exploit-Händler Zerodium für noch unentdeckte Sicherheitslücken bis zu 1 Millionen Dollar an, um sie an interessierte Dritte weiterzuverkaufen. So können Geheimdienste und andere Akteure diese nutzen und durch Zero-Day-Attacken in fremde Systeme eindringen. Was können OS-Hersteller wie Microsoft dagegen tun?

Erst vor kurzem lobte die Premium-Bug-Bounty-Plattform Zerodium ein hohes Preisgeld für Zero-Day-Exploits in den Windows VPN-Clients drei bekannter Anbieter aus. Die Virtual Private Networks ermöglichen es, die eigene IP-Adresse beim Zugriff auf Ressourcen zu verschleiern, um die Privatsphäre im Internet zu schützen. Zerodium hingegen sucht speziell nach Problemen, die Informationen über Benutzer und ihre IP-Adressen preisgeben sowie nach Schwachstellen, die sich zur Ausführung von Malware aus der Ferne ausnutzen lassen.

So wäre das Betriebssystem aus Redmond durch fehlerhafte Drittsoftware indirekt betroffen. Aber auch sonst kommt es bei Windows häufiger als einem lieb ist zu unerwünschten Codefehlern und sogenannten Bugs, die das OS anfällig für Attacken machen.

Warum gibt es Bugs?

Ein Bug ist ein logischer Fehler im Code, der dazu führt, dass Programme nicht wie gewünscht oder überhaupt nicht funktionieren. Die Bezeichnung stammt vom englischen Wort für Käfer und rührt daher, dass die genutzten Schaltkreise oft von Insekten blockiert wurden, was zu Kurzschlüssen geführt hat.

Dabei muss ein Bug nicht zwingend ein Sicherheitsproblem darstellen – meist handelt es sich um unbeabsichtigte und harmlose Fehler, die lediglich die Funktion einschränken. Die ernsten Sicherheitsprobleme beginnen erst, wenn die Programmierfehler in der Software oder in Betriebssystemen zu Sicherheitslücken führen, die von Hackern ausgenutzt werden können.

Wenn ein Programm oder ein Prozess z. B. aufgrund eines Bugs versucht, mehr Daten in einem Puffer (temporärer Datenspeicher) zu speichern, als dort vorgesehen ist, kann es zu einem „Buffer Overflow“ kommen. Die Situation ähnelt der Überlastung bei Menschen: Wenn man komplett ausgelastet ist oder eine stressige Situation zu bewältigen hat, vergisst man wichtige Dinge oder man bringt seine Aufgaben durcheinander. Ergo wird man für Angreifer zu einem leichteren Ziel.

Herrscht eine Insektenplage bei Microsoft?

In den letzten Monaten kann Microsoft leider ein Lied von Bugs singen, denn die Negativmeldungen über die in Windows entdeckten „Fehler“ reißen nicht ab. Dabei ist die gehäufte Entdeckung meist kein Zufall: Wenn Hacker oder Sicherheitsforscher eine Lücke finden, die sie eventuell teuer verkaufen können, prüfen sie auch andere Produkte auf lohnende Schwachstellen. Da viele Software-Produkte ihren Code teilen, ist die Wahrscheinlichkeit hoch, dass die gleichen Probleme auch an anderen Stellen existieren.

Dazu verfügt allein Windows 10 über rund 50 bis 65 Millionen Zeilen Code. So ist es schlicht und einfach nicht möglich, jeden einzelnen Befehl oder jede Schnittstelle zu einem im Betriebssystem verwendeten Programm fehlerfrei zu schreiben. Wer Microsoft dafür den schwarzen Peter zuschieben möchte, der ist einfach nicht fair.

Das Code-Auditing und die heutigen Probleme

Eine Möglichkeit, Fehlern vorzubeugen, kann ein Software-Code-Audit sein. Dabei handelt es sich um eine umfassende Analyse des Quellcodes, mit der Fehler, Sicherheitsverletzungen oder Verstöße gegen Programmierkonventionen entdeckt werden sollen. Obwohl es dabei verschiedene Möglichkeiten gibt, klassische Probleme sofort zu beheben – z. B. über die Highlight-Funktion zu statischen und dynamische Code-Analysen direkt im Editor – wird es dennoch immer Fehler geben.

Dazu kommt die Herausforderung, dass viele Produkte noch mit veralteten Protokollen arbeiten. Ein bekannter Fall sind Windows-PCs, die noch mit einer älteren Variante des SMB1-Protokolls betrieben werden, das dem NSA-Exploit EternalBlue die Tür geöffnet hat. Die Sicherheitslücke im Server-Message-Block-Protocol (SMB) von Microsoft ermöglicht es, beliebigen Code auf dem Zielrechner auszuführen, was Hacker prompt für die bekannten Ransomware-Angriffe WannaCry und Petya nutzten.

Printer Nightmare, OWA Vulnerabilities & Co.

Etwas frischer ist ein Exploit-Code für eine weitere Zero Day-Sicherheitslücke innerhalb des Windows-Druckerspoolers: Seit Juni 2021 laboriert Microsoft daran, verschiedene unter dem Namen „Printer Nightmare“ zusammengefasste Schwachstellen im Windows Drucker-Spooler-Dienst durch Updates zu schließen. Durch die Ausnutzung ist ein authentifizierter Benutzer innerhalb des internen Netzwerks in der Lage, auf einem System beliebigen Schadcode mit Systemrechten auszuführen.

Auch die Liste der Exchange und Outlook Web Access Vulnerabilities ist mittlerweile lang. Besonders brisant war eine im März dieses Jahres bekannt gewordene Sicherheitslücke, die Tausende Server und angeschlossene Rechner bedrohte. Davon betroffen waren Firmennetzwerke, bei denen die E-Mail-Kommunikation über einen Exchange-Server von Microsoft läuft.

Was Sie für mehr Sicherheit tun können

Klar ist: Die Sicherheitslücken und damit einhergehenden Probleme werden auch in Zukunft nicht weniger werden. Und erst recht werden sie nicht verschwinden. Es gibt zwar immer wieder neue Ansätze, die z. B. auch Technologien wie künstliche Intelligenz oder Machine Learning zur automatisierten Codeanalyse nutzen – allerdings können auch die das Problem bisher nicht vollständig lösen, sondern lediglich verschieben. Dennoch gibt es einige Dinge, die Sie selbst unternehmen können:

• Überprüfen Sie die eigene Infrastruktur regelmäßig auf mögliche Schwachstellen und konzentrieren sie sich auf die wirklich wichtigen Schwachstellen zuerst
• Betreiben Sie ein aktives Monitoring des Systems und der eingesetzten Produkte z. B. durch den Einsatz von Tools oder SOC
• Aktualisieren und Patchen Sie Ihre Soft- und Hardwaresysteme regelmäßig
• Nutzen Sie unabhängige Partner, um Angriffssimulationen oder Pentests zur Aufdeckung von Schwachstellen durchzuführen und zwar auf regelmäßiger Basis
• Schulen und sensibilisieren Sie das Sicherheitsbewusstsein Ihrer Mitarbeiter und Mitarbeiterinnen in Security-Awareness-Trainings

SIEM und EDR als reaktionsschnelle Lösungen?

Das tückische an Zero-Day-Exploits ist, dass man selbst mit einem sorgfältigen Patchmanagement keine Chancen hat, die „unbekannten“ Sicherheitslücken zu stopfen. Es hilft halt erst, wenn der Exploit öffentlich bekannt ist und der Hersteller einen Fix anbietet. Dennoch können Sie vorbeugen, indem Sie z. B. mit einem SIEM (Security Information and Event Management) die Sichtbarkeit im Netzwerk erhöhen, um in Echtzeit auf Bedrohungen zu reagieren. Oder auch, indem Sie eine EDR-Lösung (Endpoint Detection and Response) einsetzen, um sämtliche Endpunkte verhaltensbasiert auf verdächtige Aktivitäten zu überwachen.

Und sollten Sie zu Zero-Day-Exploits, fehlerhaftem Code in Windows, möglichen Lösungen oder zu anderen Cyber-Security-Themen noch Fragen haben, zögern Sie nicht, uns jederzeit zu kontaktieren!