Schwachstellen in Software und Hardware sind ein wichtiges Thema in der Auseinandersetzung mit IT-Sicherheit. Wie ihr in unserem Bericht über die Bedrohungstrends für Unternehmen im Jahr 2015 nachlesen könnt, zählen Sicherheitslücken zu den zentralen Bedrohungen in diesem Jahr. Anhand der drei Beispiele Heartbleed, Shellshock und Poodle wird gezeigt, welch weitreichende Folgen solche Schwachstellen haben können.
Unsere ESET-Kollegen aus Lateinamerika haben zudem im Zuge einer Umfrage unter Unternehmen herausgefunden, dass Sicherheitslücken für 68 Prozent der Befragten zu den größten Sicherheitssorgen gehören. Doch nicht die Schwachstellen an sich sind das Problem, sondern die Tatsache, dass es Bösewichte da draußen gibt, die Programme erstellen, mit denen sie ausgenutzt werden können – sogenannte Exploits. In diesem Artikel soll es deshalb um das Verhältnis zwischen Schwachstellen, Malware, Exploits und Exploit Kits gehen – die Werkzeuge der Cyberkriminellen, um Fehler in Systemen oder Anwendungen für ihre Zwecke zu nutzen.
Verhältnis zwischen Malware, Exploits und Exploit Kits
Den Unterschied zwischen Malware und Exploits haben wir hier auf WeLiveSecurity bereits ausführlich beleuchtet. Dabei haben wir erklärt, dass Exploits Programme oder Skripte sind, mit denen Fehler im Design eines Systems oder einer Anwendung ausgenutzt werden. Diese Exploits haben an sich keine schädlichen Funktionen, sondern schaffen Einfallstore, über die ein schädlicher Code eingeführt werden kann. So erlangen Angreifer zum Beispiel unautorisiert Zugriff auf ein System oder erhalten gewisse Berechtigungen.
Noch einen Schritt weiter kann man mit sogenannten Exploit Kits gehen. Hierbei besteht die Grundidee darin, ein automatisiertes System zur Ausnutzung von Schwachstellen zu schaffen. Exploit Kits haben deshalb in der Regel eine grafische Benutzeroberfläche und beinhalten eine Vielzahl an Exploits, die jeweils für bestimmte Schwachstellen eingesetzt werden können.
Solche Exploit Kits bieten also eine relativ komfortable Methode, um Systeme zu kompromittieren und Attacken auszuführen, für die der Angreifer nicht einmal besondere technische Fähigkeiten benötigt. Solche Systeme werden normalerweise über Schwarzmärkte angeboten und verkauft.
Oftmals beinhalten Exploit Kits neben den Programmen, mithilfe derer man in Systeme eindringen kann, auch gleichzeitig sogenannte Payloads, also die schädliche Funktion, die nach erfolgreicher Ausnutzung einer Schwachstelle im System platziert wird und das eigentliche Unheil stiftet.
(Weiter)Entwicklung von Malware und Exploit Kits
Das erste Exploit Kit, über das es Aufzeichnungen gibt, ist unter dem Namen WebAttacker bekannt. Es wurde 2006 entdeckt und über den Russischen Schwarzmarkt verbreitet. Später tauchte es unter Mpack erneut auf und wurde genutzt, um Malware zu verbreiten. Nutzer wurden dabei über manipulierte Webseiten angegriffen, bei deren Besuch Schwachstellen im Browser oder im Betriebssystem ausgenutzt wurden.
Mit der Weiterentwicklung von Schutzmaßnahmen gegen solche Bedrohungen suchen natürlich auch Angreifer nach immer neuen Methoden, um ihre Ziele zu erreichen. So gibt es mittlerweile schädliche Codes und Exploit Kits, die mit Antivirus-Erkennungs- oder Virtualisierungsfunktionen ausgestattet sind, um potenziellen Hindernissen aus dem Weg zu gehen und unentdeckt zu bleiben. Zudem werden zunehmend auch andere Techniken genutzt, um die Malware zu tarnen und damit einer Erkennung durch Antiviren-Lösungen zu entgehen.
Schutzmaßnahmen gegen Bedrohungen
Die Effektivität von Exploit Kits hängt zu einem großen Teil davon ab, ob die Schwachstelle bekannt ist und der Hersteller der betroffenen Soft- oder Hardware bereits Patches bereitgestellt hat oder ob es sich um eine noch unbekannte Sicherheitslücke handelt (Zero Day).
Ein Exploit, der eine öffentlich noch nicht bekannte Schwachstelle ausnutzt, verspricht natürlich eine höhere Infektionsrate, da es in diesem Fall noch kein Update gibt, mit dem der Fehler behoben werden kann. Mit anderen Worten: Um erfolgreich zu sein, müssen Malware-Entwickler die Entdeckung neuer Schwachstellen und die Reparatur von bekannten Sicherheitslücken stets berücksichtigen und Exploit Kits dementsprechend kontinuierlich aktualisieren.
Deshalb sollten Privatnutzer sowie Unternehmen stets darauf achten, ihre Software auf dem aktuellen Stand zu halten. Updates und Patches sollten installiert werden, sobald sie vom Hersteller bereitgestellt werden. Zudem können Unternehmen Prozesse entwickeln, um eigenständig Schwachstellen in Hardware und Software zu identifizieren, zu analysieren, zu bewerten und entsprechende Korrekturen vorzunehmen.
Zuletzt ist es vor allem für Unternehmen äußerst wichtig, bestimmte Vorsichtsmaßnahmen zu treffen. Der erste Schritt ist die Nutzung einer guten Sicherheitslösung, die nicht nur herkömmliche Schadsoftware erkennt, sondern auch solche Bedrohungen, die mithilfe bestimmter Funktionen einer Erkennung durch Antiviren-Produkte zu entgehen oder aber Schwachstellen in weit verbreiteter Software auszunutzen versucht.