Ausnutzung von Schwachstellen
MOVEit – ein Deja-vu
Wieder wird vor Angriffen auf eine Schwachstelle in MOVEit gewarnt. Doch so erstaunlich das erscheinen mag, ist es nicht. Für Angreifer sind Lücken ein hohes Gut, und sie versuchen daher mit geringen Modifikationen neue Chancen zu schaffen.
Am 26. Juni meldete das BSI Versuche von Kriminellen, eine Softwareschwachstelle in der Datenmanagementlösung MOVEit des Herstellers Progress für Angriffe zu missbrauchen. Kunden der Software wird dabei dringend geraten, den vom Hersteller zur Verfügung gestellten Patch zu implementieren. Das Verwunderliche daran… vor fast genau einem Jahr im Mai und Juni 2023 stand MOVEit ganz oben in den IT-Security-Schlagzeilen. Auch damals ging es um Schwachstellen. Auch damals gab es schnell Angriffe. Und auch damals warnte das BSI davor und riet den betroffenen Kunden in Deutschland, schnellstmöglich zu aktualisieren. Ist das ein Deja-vu? Oder hat beim BSI einfach jemand die Jahreszahl verwechselt?
Gar nicht so ungewöhnlich
Weder noch. Und wenn man sich näher mit dem Vorgehen von Tätern im Zusammenhang mit Sicherheitslücken befasst, kann man auch nicht behaupten, dass dies ungewöhnlich ist. Cyberkriminelle sind Pragmatiker. Geschäftsmodelle, die einmal erfolgreich sind, werden nachgemacht. Je mehr Aufmerksamkeit ein Cyberangriff in ihren Kreisen verursacht, desto höher die Lust nachzueifern. Und der MOVEit Angriff von 2023 hatte es in sich. Die Verursacher, eine Untergrundorganisation namens Clop (wahlweise mit o oder 0) stahlen Daten von (nach aktuellsten Erkenntnissen) etwa 1000 Unternehmen, darunter viele aus dem Bereich des Finanzwesens und der Energiebranche. Über Wochen standen die Vorfälle in den Nachrichten, weil immer wieder Firmen erklärten, nun auch betroffen zu sein. Und es floss Geld. Nach Untersuchungen der Firma Chainalysis waren es Millionen. Wofür? Offenbar gibt es bereitwillige Zahler, die entweder verhindern wollen, dass andere in den Besitz dieser Daten kommen oder im Gegenteil, Käufer, die gerne diese Daten haben möchten. Es sollte deshalb niemanden überraschen, dass eine Möglichkeit des Angriffes auf eine Schwachstelle bei MOVEit die „Schmeißfliegen“ der Branche anzieht.
Schwachstellen als Geschäftsmodell
2023 wurden mehr als 28.000 Schwachstellen mit einer CVE -Nummer versehen. Für die Kriminellen haben diese eine unterschiedliche Bedeutung. Viele der Schwachstellen befinden sich in sehr exotischen Produkten und eignen sich daher fast ausschließlich für gezielte Angriffe. Die Mehrzahl ist nur mit komplexen technischen Mitteln verwendbar. Darauf haben die meisten Kriminellen keine Lust. Echte Arbeit ist nicht so ihr Ding - sonst müsste man nicht kriminell werden.
Die spannendsten Schwachstellen gibt es in weitverbreiteten Produkten, und sie sind einfach zu verwenden. Auf diese stürzt man sich. Aber natürlich tun das auch alle anderen. Und nachdem auch bei Verbrechern Marktgesetze wie Angebot und Nachfrage eine Rolle spielen, wird je nach Anzahl der kriminellen Angreifer die Anzahl der verwundbaren „Kunden“ kleiner. Passiert das im „normalen Markt“, versucht man die Nachfrage zu steigern, indem neue Funktionen angeboten werden, und gleiches sehen wir auch hier. Je mehr Opfer die Schwachstelle geschlossen haben, desto größer die Nachfrage nach den neuen Funktionen, die den Hahn wieder aufdrehen. Und danach wird gezielt gesucht. Es ist also kein Wunder, dass MOVEit wieder im Fokus steht.
Häufiger und schneller als man denkt
Ein Großteil der bereits genannten 28.000 Sicherheitslücken sind deshalb nicht unbedingt „neu“ im Sinne von „unvorhergesehen“. Werden Lücken geschlossen, weil sie als brandgefährlich gelten oder bereits von Angreifern genutzt werden, dann zählt Geschwindigkeit. Die IT-Teams schließen erstmal das Nötigste und patchen nach, sobald dafür Luft ist, oder neue Angreifer es erzwingen. Für die offensivere, sprich gegnerische, Fraktion bedeutet das auch, dass sie versucht, existierende Patches so gut es geht zu modifizieren. Damit besteht eine gewisse Wahrscheinlichkeit, mit abgeänderten Angriffen durchzukommen. Und auch danach wird gesucht.
Immer häufiger setzen dabei beide Seiten auf künstliche Intelligenz. Sie ist zwar noch nicht in der Lage, eigenständig Angriffe zu entwickeln, aber sie unterstützt, indem sie die dafür nötigen Prozesse beschleunigt. Ernstzunehmende Angriffe stehen deshalb oft nur Stunden nach Bekanntwerden einer Lücke zur Verfügung. Das Katz-und-Maus-Spiel geht weiter, und die eigentlichen Opfer, die Unternehmen, die diese Patche installieren müssen, kommen nicht mehr hinterher. Die so genannte „Mean-Time-to-Patch“ (MTTP) – die durchschnittliche Zeit für das Ausrollen eines Patches liegt bei etwa 33 Tagen für Lücken, die als gefährlich eingestuft werden. Die Angriffsgeschwindigkeit liegt sogar bei „normalen“ Patches, also solchen, die der betroffene Hersteller selbst findet und veröffentlicht, im Bereich von Stunden.
Was ist zu tun?
Patch Management ist gesetzlich vorgeschrieben. Aber es wird zunehmend zum Cybersecurity Risiko Management, wie es im neusten EU Gesetz NIS2 auch als solches beschrieben wird. Davon auszugehen, dass man in der Lage ist, alle Patches rechtzeitig einzuspielen, wird immer unrealistischer.
Lösungen wie so genanntes Attack Surface Risk Management (ASRM) unterstützen dabei, die Gefährlichkeit von Sicherheitslücken im eigenen Netz einzuschätzen und zu priorisieren. Alternative Optionen wie „virtuelles Patchen“ bieten häufig einen Quick Fix um die Verwundbarkeit zu reduzieren. Letztlich unterstützen auch Detection & Response-Lösungen dabei, das Problem zu bekämpfen.
Alle diese Systeme haben einen unterschiedlichen Fokus. Im Rahmen eines Risikomanagements dient ein ASRM dazu, die Eintrittswahrscheinlichkeit zu reduzieren. Detection & Response (z.B. XDR und EDR) sollen die Auswirkung eines Ereignisses minimieren. Das Schöne an solchen Lösungen ist, dass sie nicht nur auf ein Problem reduziert werden, sondern IT-Security als Gesamtherausforderung betrachten und Methoden zur Reduzierung der Eintrittswahrscheinlichkeit und Auswirkung für alle Cyberangriffe umfassen. Sie sind lediglich je Ereignis unterschiedlich effektiv, weshalb beides gebraucht wird. Deshalb werden sie idealerweise zusammen implementiert.