Die 10 katastrophalsten Sicherheitslücken – Teil 2
Sicherheitslücken machen Anwendern und Entwicklern das Leben schwer, während sich Cyberkriminelle über neue Einfallstore freuen. Blicken wir zurück auf die 10 katastrophalsten Sicherheitslücken – heute mit den Plätzen 5 – 1.
Platz 5: Flash reiht Lücke an Lücke
Der Adobe Flash Player schafft es auf unseren fünften Platz: Adobe stopft und stopft und stopft – jedoch ohne größere Erfolge, denn immer wieder tun sich im Flash Player neue Sicherheitslücken auf. Das Problem an der Sache: Flash ist nahezu überall vertreten; die enorme Verbreitung führt dazu, dass Anwender entweder auf zahlreiche Inhalte verzichten oder Sicherheitslücken in Kauf nehmen müssen.
Im Oktober 2015 war etwa zu lesen: „Gerade erst hat Adobe das Flash-Update für Oktober verteilt, da klafft schon die nächste Lücke in der Player-Software.“ Die neuerliche Schwachstelle wurde bereits ausgenutzt und immer häufiger wurde dazu geraten, Flash zu deaktivieren oder gleich zu deinstallieren.
Angesichts der Tatsache, dass Adobe mit dem Löcher flicken kaum mehr hinterherkommt und die Sicherheitslücken häufig aktiv ausgenutzt wurden und werden, verabschieden sich immer mehr Plattformen von Flash-Inhalten. Mitte/ Ende Dezember gab beispielsweise Facebook an, den hauseigenen Videoplayer von Flash auf HTML5 umzustellen. Andere werden nachziehen und Flash mitsamt seinen Sicherheitslücken langsam aber sicher den Garaus machen.
Platz 4: „SQL Slammer“ nutzt Sicherheitslücke bei Microsofts SQL-Server
Im Jahre 2003 zitterte die Welt vor einem neuen Wurm: „SQL Slammer“ breitete sich rasant im World Wide Web aus und nutzte dazu eine Schwachstelle in Microsofts SQL-Server. Von infizierten Systemen griff der Wurm per Zufallsprinzip andere Systeme im Web an und verursachte einen enorm hohen Traffic. Binnen 12 Stunden soll Slammer mehrere Milliarden Angriffe erreicht haben.
Diese enorm hohe Verbreitung von Slammer konnte nur durch eine Schwachstelle in Microsofts SQL 2000 Server erreicht werden. Seit Oktober 2002 stand dafür bereits ein Patch bereit. Die immense Verbreitung von Slammer zeigt die hohe Update-Müdigkeit. Slammer soll sich zügiger verbreitet haben als „Code Red“ und hat durch die durch ihn generierte Datenlast die Performance im Internet tiefgreifend beeinflusst. Weitere Informationen über Slammer finden Sie beispielsweise bei golem.de.
Platz 3: Stagefright – Mutter androider Sicherheitslücken
1,4 Milliarden Android-Geräte – lassen Sie sich das bitte auf der Zunge zergehen: 1,4 Milliarden! – waren und sind von der Mutter aller androiden Sicherheitslücken betroffen: Stagefright. Das Leck war nicht neu, betroffen sind nahezu sämtliche Android-Geräte, also ab Systemversion 1.0 bis hin zur Version 5.1.1 (Lollipop).
Stagefright und Stagefright 2, der Nachfolger, der Ende 2015 Anwender in Angst und Schrecken versetzte, machen Android-Devices zur Wanze. Jeweils eine Lücke in der Medienbibliothek „libstagefight“ sowie in der Systemdatei „libutils“ ermöglichen Stagefright, wobei es erst die lückenhafte Medienbibliothek ermöglicht, die Sicherheitslücke mithilfe modifizierter MP3- oder MP4-Dateien auszunutzen. Um einen Angriff auszuführen, genügt bereits das Laden von Metadaten. Der Angreifer übernimmt dann die Kontrolle des Android-Geräts. Die erste Stagefright-Lücke machte Angriffe besonders über manipulierte MMS-Nachrichten kinderleicht.
Erfolgreiches Ausnutzen der Lücke bringt Angreifern Zugriffsrechte. Sämtliche Fotos, Videos, das Aktivieren von Bluetooth, das Auslesen der SD-Karte – all das ist möglich, ohne dass Anwender auch nur etwas davon mitbekommen. Im Oktober reagierte Google auf die Schwachstelle und verteilte Sicherheitsupdates. In der Android-Version 6.0 (Marshmallow) sind die Patches bereits inklusive, sodass diese Version nicht betroffen ist. Auch CyanogenMod hat reagiert und stopfte die Lücken. Alles Wissenswerte inklusive der Information, welcher Hersteller zu wann Updates geplant hat, können Sie auf AndroidPit nachlesen.
Platz 2: Shellshock verbreitet Malware, Angst und Schrecken
Shellshock gelangte auch unter dem Namen „Bash-Sicherheitslücke“ an zweifelhafte Berühmtheit: die Sicherheitslücke befand sich in der Kommandozeile Bash, woraus sich auch ihr Name entwickelte. Fachleute schätzten die Sicherheitslücke als ähnlich dramatisch ein wie Heartbleed – und das möchte was heißen! Unter der offiziellen ID CVE-2014-6271 wurde Shellshock in der CVE-Datenbank des NIST geführt und mit einer maximalen Gefährlichkeit (10 Punkte) eingeschätzt.
In der Funktionalität von Bash lag der Kern des ganzen Problems: die Funktion erlaubt, mit beliebigen Variablen Funktionen zu definieren. Wie die Variable heißt, ist unerheblich. Der Fehler sorgt nun dafür, dass hinter einer Funktionsdefinition unbemerkt und vor allem ungeprüft weiterer Code ausgeführt werden kann – selbst dann, wenn die Funktion nicht aufgerufen wird.
Bedeutet im Umkehrschluss: das Ausnutzen der Sicherheitslücke ist ein Kinderspiel. Neu ist dieser Fehler im Übrigen nicht, schon seit über zwei Jahrzehnten ist die Sicherheitslücke Teil des Bash-Codes. Da Bash unter zahlreichen Linux-Systemen sowie unter Mac OS X als Standardshell Einsatz findet, können Sie sich die immense Verbreitung lebhaft vorstellen. Alle weiteren Details inklusive der Möglichkeit, Ihr System auf die Sicherheitslücke Shellshock zu testen, lesen Sie bitte in unserem Beitrag „Shellshock: Schwachstelle macht Betriebssysteme angreifbar“ nach.
Platz 1: Heartbleed – der Super-GAU
Auf Platz 1 der katastrophalsten Sicherheitslücken aller Zeiten liegt: Heartbleed. Die Sicherheitslücke klaffte in dem weitverbreiteten Tool OpenSSL. Angreifer konnten die Sicherheitslücke ausnutzen, um private Keys von den Servern abzufangen – der Super-GAU in der Verschlüsselung! Wir richteten seinerzeit eine Notfall-Hotline ein, um Sie nicht nur mit Rat und Tat, sondern auch mit dem kostenfreien Austausch Ihres SSL-Zertifikats zu unterstützen.
Der Aufschrei über die Sicherheitslücke Heartbleed war gigantisch: namhafte Plattformen wie Facebook oder auch Dropbox waren genauso betroffen wie jede erdenkliche Website, die auf gesicherte TLS-Verbindungen setzt. Jedoch … nach dem ersten Aufschrei wurde es ruhig. Viel zu ruhig. Die Update-Bereitschaft stagnierte bereits zwei Wochen nach Bekanntwerden der Sicherheitslücke. Als wir im November 2014, also sieben Monate nach Bekanntwerden von Heartbleed, für unseren Status Quo-Bericht recherchierten, war die Update-Müdigkeit ernüchternd.
Es war notwendig, die SSL-Zertifikate auszutauschen und die privaten Schlüssel zu ändern. Während den ersten Schritt immerhin noch viele gingen, verzichtete die große Masse auf den Schlüsselaustausch und behielt somit womöglich kompromittierte private Schlüssel. Bedenkt man, dass es bereits 21 Stunden und 29 Minuten nach der Veröffentlichung der Schwachstelle den ersten nachweisbaren Angriff gab, ist diese Update- und Austausch-Müdigkeit mehr als bedenklich.
Katastrophale Sicherheitslücken: wir sind Ihr Sicherheitspartner!
Bei Sicherheitslücken, die gravierende Folgen haben können, ist es unabdingbar, zügig zu reagieren. Dabei unterstützen wir Sie! Bleiben Sie stets auf dem Laufenden, indem Sie uns auf Facebook, Google Plus oder Twitter folgen. Haben Sie ein konkretes Anliegen, fühlen Sie sich frei, mit unserem Support zu sprechen – wir unterstützen Sie mit Sicherheit!
Schreibe einen Kommentar