Viele, insbesondere technisch beschlagene Ransomware-Banden und andere Hackergruppen suchen aktiv nach Sicherheitslücken in IT-Produkten, welche den Herstellern noch nicht bekannt sind. Entdecken sie eine, können sie solche Zero-Day-Lücken oft lange unbemerkt für ihre Angriffe ausnutzen.

Aber warum mühsam nach neuen Schwachstellen suchen, wenn es in IT-Systemen auch wohlbekannte, teilweise schon vor Jahren entdeckte und von den Herstellern eigentlich gepatchte Schwachstellen gibt? Die IT-Abteilungen vieler Unternehmen und anderer Organisationen sind konfrontiert mit einer unaufhörlichen Flut von Updates, die sie einspielen müssten, und versäumen des Öfteren, auch kritische Sicherheitslöcher zu schliessen. Für manche Angreifer ein gefundenes Fressen. Sie wissen genau, wie man Netzwerke, in denen diese Schwachstellen vorhanden sind, findet und diese Lücken ausnützt.

Das Security-Beratungsunternehmen Qualys hat eine Liste von 5 altbekannten Sicherheitslücken veröffentlicht, die gegenwärtig am häufigsten von Ransomware-Angreifern ausgenützt werden.

Die älteste ist CVE-2012-1723, eine Schwachstelle im Java Runtime Environment (JRE) von Oracle Java SE 7. Laut Qualys wird gegenwärtig oft die Ransomware "Urausy" via diese im Jahre 2012 entdeckte Lücke eingeschleust.

Zwei weitere Java-Schwachstellen in den Top 5 sind nur ein Jahr jünger, CVE-2013-0431 und CVE-2013-1493. Die erste wird für das Einschleusen der Ransomware "Reyeton", die zweite für "Exxroute" missbraucht.

"Nur" 3 Jahre alt ist die Adobe-Acrobat-Schwachstelle CVE-2018-12808. Sie kann durch Phishing-Mails mit präparierten PDFs ausgenützt werden. Sowohl "Ryuk" als auch "Conti" verwenden unter anderem diese Schwachstelle, um in ungepatchte Systeme einzudringen.

Die "Netwalker"-Ransomware-Bande wiederum nützt gerne CVE-2019-1458, eine 2019 bekannt gewordene Windows-Schwachstelle. 

Ob eine Sicherheitslücke in IT-Systemen, die vom Internet aus erreichbar sind, nun alt ist oder noch ganz neu, spielt aber wohl keine grosse Rolle. Wie man weiss, versuchen Hacker schon sehr kurze Zeit, nachdem eine Lücke beschrieben wurde, betroffene Systeme zu finden und die Schwachstelle auszunutzen.

Ein Vulnerability-Management-Prozess, der es IT-Abteilungen erlaubt, mit der Schwachstellen-Flut zurechtzukommen, kritische Updates und Patches zu identifizieren und zu priorisieren und zumindest diese zeitnah einzuspielen, tut daher dringend Not.