Solarwinds-Fall, Exchange-Fall: Patchen völlig unzureichend!

Von Prof. Dr. Hartmut Pohl, Geschäftsführer von GmbH

Ziel von Angriffen wie Solarwind und Exchange ist es, Backdoors in den IT-Systemen vieler Anwender zu installieren. Was ist in diesem Fall zu tun?

Die Angreifer nutzen bis dahin unveröffentlichte Sicherheitslücken in einer Standardsoftware, in diesen Fällen Solarwinds Orion und MS Exchange.

Im Exchange-Fall konnten die angeblich bereits seit November in kriminellen Kreisen bekannten – ansonsten unveröffentlichten – Sicherheitslücken zwar allgemein ausgenutzt werden, sie wurden aber insbesondere benutzt, um Backdoors in die Systeme der Anwender einzubauen.

Ein Patchen der Sicherheitslücken ist also völlig unzureichend. Unverzichtbar ist vielmehr die Identifizierung der Backdoors und ihre Behebung.

Backdoors sind undokumentierte (unveröffentlichte) Ein-/Ausgabeschnittstellen, die – unter Umgehung des Zugriffskontrollsystems – Zugriffe auf das IT-System erlauben. Das perfide an Backdoors ist, dass sie – praktisch nicht erkennbar – genutzt werden können, um Daten in den IT-Systemen zu lesen und/oder zu verändern und weitere (Angriffs-)Programme einzufügen.

Solange die Backdoors nicht identifiziert und behoben sind, können sie auch nicht erkannt werden – auch nicht von Anti-Viren-Software wie SIEM. Und zwar zeitlich unbegrenzt. Und was nicht bekannt ist, kann auch nicht gepatcht werden!

Die Ausnutzung von Backdoors durch Kriminelle wurde bereits nachgewiesen mit Ransomware (Erpressungssumme bis zu 50 Mio. $), Systeme zum Cryptocurrency-Mining etc. Allerdings sind das nur die ersten Fälle. Die Taktik der Angreifer besteht eigentlich darin, nach dem erfolgreichen Angriff erst einmal still zu halten, um jeden eventuell erkennbaren Datenverkehr zu vermeiden.

Die Folgen der Ausnutzung solcher Backdoors werden unmittelbar deutlich, wenn man beispielsweise einige Adressaten des Exchange-Falls betrachtet wie Robert-Koch-Institut (RKI), Paul-Ehrlich-Institut, European Medicines Agency (EMA) und Impfstoff-Hersteller.

Nur scheinbar lustig wird es, wenn sich die in der Szene aktiven kriminellen Unternehmen (mehr als 10) gegenseitig bekriegen, indem sie die Backdoors der Konkurrenten beseitigen, um das Opfersystem selbst ausnutzen zu können.

Dazu kommt die häufig anzutreffende Unvollständigkeit von Patches und fehlende Zielgenauigkeit. Es werden Patches angeboten, die die identifizierte Sicherheitslücke nur teilweise oder gar nicht beheben und/oder – noch schlimmer – selbst eine (neue) Sicherheitslücke enthalten.

Generell kann nun nicht mehr nur empfohlen werden zu patchen, weil der Patch wie im Solarwinds-Fall selbst der Angriff ist – die internationalen Sicherheitsbehörden dies aber nicht erkennen oder zwar erkennen, aber geheim halten, um laufende geheimdienstliche Operationen nicht zu gefährden.

Die Opfer waren bisher zufrieden, wenn eine Backdoor identifiziert wurde. Es wäre allerdings eine Illusion, wenn wir glauben, dass die Angreifer nur eine einzige Backdoor einbauen. Naturgemäß werden mehrere – wenn nicht viele – Backdoors eingebaut. Bisher wurden weit über 5.000 Backdoors auf mehr als 20.000 Exchange Servern bekannt. Sie unterscheiden sich allerdings zum Teil nur geringfügig (durch eine IP-Adresse).

Was bedeuten dies nun für Sie?

Gegen die über zwei Monate von Microsoft geheim gehaltenen Exchange-Sicherheitslücken konnten Sie erst nach Veröffentlichung Anfang März etwas tun. Gegen die installierten Backdoors müssen Sie sofort tätig werden.

Unsere Empfehlung lautet daher:

    • Identifizierung und Behebung der Backdoors und sogar
    • Neu-Aufsetzen aller Software-Systeme mit einer manipulationsfreien Version.

hat sich auf alle Probleme rund um die Cyber-Security spezialisiert und berät herstellerunabhängig Unternehmen und Behörden.

Erschienen bei elektroniknet.de