Level rot mit Zero-Day Exploits

Bedrohungslage: Level rot mit Zero-Day Exploits

Für den Betrieb von eigenen Servern innerhalb der Firma gibt es mehrere gute Gründe. Einer davon ist meistens der Einsatz von spezieller Software, die nicht als Cloudservice betrieben werden kann..

Weitere Gründe bestehen in der Hoheit über die gespeicherten Daten und DSGVO-konforme Aufbewahrung. Zudem wird in der Regel gekaufte Software eingesetzt, die mehrere Jahre betrieben werden kann und keine monatlichen Abogebühren verursacht.

Der Nachteil dieser Vorgehensweise besteht darin, dass man selbst für die Absicherung der Systeme verantwortlich ist. Dies beinhaltet u.a. das regelmäßige Einspielen von Updates und sonstigen Patches.

Regelmäßiges Patchen reicht oft nicht, oder: Hier kommt der Zero-Day Exploit

Keine Software ist komplett fehlerfrei. Aus diesem Grunde veröffentlichen die jeweiligen Hersteller regelmäßig Updates und Bugfixes. Updates zur Beseitigung von Fehlern lassen sich grob in zwei Kategorien unterteilen: Behebung von Fehlern in der Software selbst und Beseitigung von Sicherheitslücken. Letzteres bedeutet, dass die Software zwar fehlerfrei funktioniert, aber in der Regel vom Internet aus angegriffen werden kann. Durch das Absetzen von präparierten Anfragen kann ein Angreifer beispielsweise Viren auf Computer einschleusen, die weiteren Schaden verursachen. In der Regel werden Informationen zu Sicherheitslücken erst veröffentlicht, wenn ein Update bereitsteht, damit Betreiber von Servern diese einspielen können, bevor massive Angriffswellen durch das Internet rollen.

Das Schreckgespenst unter den Sicherheitslücken heißt Zero-Day Exploit. Zero Day bedeutet hier, dass eine entdeckte Lücke bereits aktiv angegriffen wird, aber noch keine Updates bereitstehen.

Ein aktuelles Beispiel ist der beliebte Mailserver Microsoft Exchange. Siehe hier auch weitere Informationen unter https://www.heise.de/news/Exchange-Server-Zero-Day-Bisheriger-Workaround-unzureichend-7283072.html

Gegenmaßnahmen

In solchen Situationen ist es wichtig, unverzüglich zu handeln. Als erste Aktion muss geprüft werden, ob ein solcher Zero-Day Exploit die eigenen Computer betrifft. Im nächsten Schritt muss geprüft werden, welche Maßnahmen gangbar sind, um die Situation zumindest temporär zu entspannen, bis Updates vom Hersteller bereitstehen.

Eine Lösung kann darin bestehen, die Nutzer nicht vom Internet aus direkt auf den Server zugreifen zu lassen, sondern ein VPN zu benutzen.

Ist hochwertige Netzwerktechnik (Firewall) vorhanden, so lassen sich je nach Natur der Angriffsmöglichkeiten die Zugriffe filtern. Hier kommen sogenannte Reverse Proxies, oder “Web Application Firewalls/Filter (WAF)” zum Einsatz, die alle Anfragen, die beispielsweise an den Exchange gerichtet sind, auf Korrektheit prüfen und präparierte Anfragen ausfiltern.
Sind derartige Maßnahmen nicht umsetzbar, sollte abgewogen werden, unter Umständen den Dienst temporär abzuschalten, um größeren Schaden zu verhindern. Ein infiziertes Netzwerk bedeutet oft mehrere Tage Ausfall und Datenverlust!