Ransomware: Ur­alte Sicherheits­lücken werden immer noch ausgenützt

11. Oktober 2021, 10:02
  • security
  • lücke
image

Auch mehrere Jahre alte Lücken sind noch nicht überall gepatcht und werden deshalb auch immer noch angegriffen.

Viele, insbesondere technisch beschlagene Ransomware-Banden und andere Hackergruppen suchen aktiv nach Sicherheitslücken in IT-Produkten, welche den Herstellern noch nicht bekannt sind. Entdecken sie eine, können sie solche Zero-Day-Lücken oft lange unbemerkt für ihre Angriffe ausnutzen.
Aber warum mühsam nach neuen Schwachstellen suchen, wenn es in IT-Systemen auch wohlbekannte, teilweise schon vor Jahren entdeckte und von den Herstellern eigentlich gepatchte Schwachstellen gibt? Die IT-Abteilungen vieler Unternehmen und anderer Organisationen sind konfrontiert mit einer unaufhörlichen Flut von Updates, die sie einspielen müssten, und versäumen des Öfteren, auch kritische Sicherheitslöcher zu schliessen. Für manche Angreifer ein gefundenes Fressen. Sie wissen genau, wie man Netzwerke, in denen diese Schwachstellen vorhanden sind, findet und diese Lücken ausnützt.

Oldies but not goldies

Das Security-Beratungsunternehmen Qualys hat eine Liste von 5 altbekannten Sicherheitslücken veröffentlicht, die gegenwärtig am häufigsten von Ransomware-Angreifern ausgenützt werden.
Die älteste ist CVE-2012-1723, eine Schwachstelle im Java Runtime Environment (JRE) von Oracle Java SE 7. Laut Qualys wird gegenwärtig oft die Ransomware "Urausy" via diese im Jahre 2012 entdeckte Lücke eingeschleust.
Zwei weitere Java-Schwachstellen in den Top 5 sind nur ein Jahr jünger, CVE-2013-0431 und CVE-2013-1493. Die erste wird für das Einschleusen der Ransomware "Reyeton", die zweite für "Exxroute" missbraucht.
"Nur" 3 Jahre alt ist die Adobe-Acrobat-Schwachstelle CVE-2018-12808. Sie kann durch Phishing-Mails mit präparierten PDFs ausgenützt werden. Sowohl "Ryuk" als auch "Conti" verwenden unter anderem diese Schwachstelle, um in ungepatchte Systeme einzudringen.
Die "Netwalker"-Ransomware-Bande wiederum nützt gerne CVE-2019-1458, eine 2019 bekannt gewordene Windows-Schwachstelle. 
Ob eine Sicherheitslücke in IT-Systemen, die vom Internet aus erreichbar sind, nun alt ist oder noch ganz neu, spielt aber wohl keine grosse Rolle. Wie man weiss, versuchen Hacker schon sehr kurze Zeit, nachdem eine Lücke beschrieben wurde, betroffene Systeme zu finden und die Schwachstelle auszunutzen.
Ein Vulnerability-Management-Prozess, der es IT-Abteilungen erlaubt, mit der Schwachstellen-Flut zurechtzukommen, kritische Updates und Patches zu identifizieren und zu priorisieren und zumindest diese zeitnah einzuspielen, tut daher dringend Not.

Loading

Mehr zum Thema

image

Cyberangriff auf die Uni Zürich

Die Angreifer scheinen äusserst professionell vorzugehen, erklärt die Zürcher Hochschule. Noch gebe es keine Hinweise, dass Daten verschlüsselt oder abgegriffen worden sind.

publiziert am 3.2.2023
image

So arbeiten Googles interne Hacker

Hoodies, Plasmalampen, digitale Brandstiftung. Daniel Fabian, Leiter von Googles Team Red, zeigt Praktiken seiner Hacker-Gruppe.

publiziert am 2.2.2023
image

Cyberangriff auf Adesso Deutschland

Kriminelle haben Systeme kompromittiert und Daten kopiert. Kundendaten sind laut dem IT-Dienstleister nicht abgeflossen.

publiziert am 2.2.2023
image

Darkweb-Salärstudie: Das sind die Löhne der Cyberkriminellen

Für gefragte Malware-Entwickler gibt es Top-Löhne. Das Durchschnittsgehalt ist aber vergleichsweise bescheiden.

publiziert am 1.2.2023