Die 5 bedeutsamsten IT-Sicherheitsvorfälle der letzten 10 Jahre
von Tina Siering
Cyberkriminelle entwickeln immer raffiniertere, immer komplexere Taktiken, Techniken und Prozeduren (TTPs), um an ihr Ziel zu gelangen. Vor allem die Zahl der Zero-Day-Exploits hat in den vergangenen Jahren deutlich zugenommen. Gleichzeitig wurde die Zeitspanne zwischen dem Bekanntwerden von Schwachstellen und dem Ausnutzen durch Cyberkriminelle immer kürzer, mitunter nahezu in Echtzeit. Von SolarWinds bis zur OLE-Schwachstelle Sandworm sind einige Cyberangriffe besonders im Gedächtnis geblieben:
Platz 1: SolarWinds-Hack und FireEye-Schwachstelle
- Entdeckt am: 08.12.2020
- Patch veröffentlicht am: 13.12.2020
- Status: aktiv
- CVE-Code: CVE-2021-35211
Sicherheitsforscher von Trustwave bezeichnen den Supply-Chain-Angriff auf das Netzwerk-Überwachungstool SolarWinds Orion als den „verheerendsten Breach des Jahrzehnts“. Bei dem Cyberangriff nutzten Hacker interne Threat-Intelligence Daten des Herstellers und Red-Team-Tools von FireEye aus, um ein bösartiges Backdoor-Update zu installieren. Das Update namens Sunburst betraf rund 18.000 Kunden, darunter große Unternehmen und US-Behörden. Sunburst versetzte die Hacker in die Lage, Daten in den Kundenetzwerken zu ändern, zu stehlen oder zu zerstören. Die tatsächliche Anzahl der Opfer, die durch Sunburst gehackt wurden, betrug laut offiziellen Angaben weniger als 100 – allerdings haben tausende Organisationen die Malware heruntergeladen. Trotz eines sehr zeitnah veröffentlichten Patches sind auch heute noch Server infiziert. Da Unternehmen die inaktiven Angriffsvektoren nicht zuverlässig aufspüren können, finden über die Schwachstelle nach wie vor Cyberangriffe statt. Professor Shital Thekdi von der University of Richmond, Experte für Risikomanagement und Industrie- und Betriebstechnik, bezeichnet den SolarWinds-Angriff als beispiellos, denn er ist in der Lage, „erhebliche physische Folgen zu verursachen und auch kritische Infrastrukturen zu beeinträchtigen.“
Platz 2: EternalBlue-Exploit, WannaCry und NotPetya
- Entdeckt am: 14.04.2017
- Patch veröffentlicht am: 14.04.2017
- Status: aktiv
- CVE-Code: CVE-2017-0144
Der EternalBlue-Exploit dient der Verbreitung von zwei der bekanntesten und gefürchtetsten Ransomware-Schädlinge überhaupt: WannaCry und NotPetya. Mit den Malware-Arten sind tausende Systeme weltweit angegriffen worden, vorrangig aus dem Gesundheitssektor. In Großbritannien und der Ukraine hinterließ die Malware eine Spur der Verwüstung und verursachte schweren Schaden. Der Exploit zielte auf eine Schwachstelle ab, die nahezu umgehend von Microsoft gepatcht wurde. Dennoch ist EternalBlue nach wie vor aktiv – die IoT Suchmaschine Shodan (durchsucht das Internet nach offenen TCP/IP-Ports) listet über 7.500 Systeme auf, die für EternalBlue anfällig sind. Der EternalBlue-Exploit ist dabei aus zwei Gründen gefährlich. Zum einen ermöglicht er einen sofortigen Remote-, zum anderen einen nicht authentifizierten Zugriff auf so gut wie jedes ungepatchte Windows-System. Unterschiede zwischen privat genutzten und geschäftlichen Systemen macht der Exploit dabei nicht.
Platz 3: Sicherheitslücke Shellshock in Bash-Shell
- Entdeckt am: 12.09.2014
- Patch veröffentlicht am: 24.09.2014
- Status: inaktiv
- CVE-Code: CVE-2014-7196
Die “Bourne again Shell” (Bash) ist die Standard-Shell auf jedem System, das auf Linux basiert. Jedes Mal, wenn ein webfähiger Prozess eine Shell aufruft – um Eingaben zu verarbeiten oder einen Befehl auszuführen – ruft er hierzu Bash auf. Die Sicherheitslücke Shellshock, die 2014 entdeckt wurde, basiert auf einem Fehler in der “Bourne again Shell”, der über 30 Jahre existierte und unentdeckt blieb. Durch die Sicherheitslücke konnten Angreifer die komplette Kontrolle über ein System übernehmen, ohne dafür Benutzernamen und Passwörter kennen zu müssen. Mit einem Patch aus September 2014 wurde die Sicherheitslücke zwar geschlossen und gilt seitdem als inaktiv, dennoch wurde Shellshock auch später noch für Cyberangriffe verwendet. Zuletzt im Rahmen der Hacker-Kampagne „Sea Turtle“ im Jahr 2019, bei der Cyberkriminelle Shellshock ausnutzen, um sich mittels DNS Hijacking Zutritt zu geschützten Systemen zu verschaffen.
Platz 4: BlueKeep und Remote-Desktops als Zugriffsvektor
- Entdeckt am: 01.01.2018
- Patch veröffentlicht am: 01.04.2018
- Status: aktiv
- CVE-Code: CVE-2019-0708
Spätestens seit der Corona-Pandemie ist der Remote-Arbeitsalltag im Home-Office in vielen Unternehmen zum Standard geworden. Doch schon früher waren Remote-Desktops im Visier von Cyberkriminellen. Besonders im Fokus persönliche Daten und Anmeldeinformationen, damit auf den zumeist schlecht gesicherten Systemen Ransomware installiert werden konnte. Durch die Entdeckung der gefährlichen Sicherheitslücke BlueKeep 2019, wurde die Bedrohung durch Remote Desktops als eine mögliche Angriffsoberfläche breiter bekannt. BlueKeep konnte sich “wurmartig”, also ohne menschliches Zutun, weiter verbreiten. Die National Security Agency (NSA) stufte die Bedrohung als extrem ernst ein, denn „obwohl Microsoft einen Patch veröffentlicht hat, sind potenziell Millionen von Computern immer noch anfällig.“ Auch wenn der Patch bereits vier Jahre veröffentlicht ist, ist BlueKeep nach wie vor aktiv. Auf Shodan finden sich über 30.000 anfällige Systeme.
Platz 5: OLE-Schwachstelle Sandworm in Microsoft Windows
- Entdeckt am: 03.09.2014
- Patch veröffentlicht am: 15.10.2014
- Status: inaktiv
- CVE-Code: CVE-2014-4114
Eine 2014 entdeckte Schwachstelle in “MS Object Linking and Embedding” (OLE), im Betriebssystem Windows, wurde durch russische Cyberspione für Angriffe gegen die Nato, westliche und ukrainische Regierungsorganisationen und gegen Unternehmen im Energiesektor ausgenutzt. Die Angreifer hatten es hier gezielt auf kritische Infrastrukturen abgesehen. Benannt wurde die OLE-Schwachstelle nach der russischen Hackergruppe Sandworm.
Cyberkriminelle nutzen die Sicherheitslücke durch speziell entwickelte Microsoft Office Dateien aus, in die remote eingeschleuste OLE-Dateien integriert sind. Durch die Schwachstelle im Microsoft Object Linking and Embedding wird es den Angreifern ermöglicht, gezielt Schadcode in das kompromittierte System einzuschleusen. Betroffen waren alle Betriebssystem-Versionen von MS Windows und Windows Server von 2008 und 2012. Die Schwachstelle gilt aktuell als inaktiv.
Fazit: Ein effektives Patch Management ist als Schutzmaßnahme unverzichtbar
Selbst wenn Unternehmen sehr zeitnah auf Zero-Day-Exploits reagieren und entsprechende Patches einspielen, ist dies jedoch kein Garant für umfassende Sicherheit, denn nicht immer existieren auch ad hoc verfügbare Updates. Darüber hinaus verlagert sich der Fokus im Laufe der Zeit häufig auf neue Schwachstellen, was dazu führt, dass ältere Patches nicht ausreichend berücksichtigt werden.
Die Folge: Je älter eine bekannte Schwachstelle ist, desto mehr Wissen kursiert in einschlägigen Kreisen, wie diese Schwachstelle auch nur mit geringen Fähigkeiten auszunutzen ist. Für erfahrene Hacker sind sie besonders leichte Ziele. Neben den Herstellern stehen daher vor allem Anwender in der Verantwortung, eine regelmäßiges und effektives Patch Management umzusetzen.
Durch proaktives Threat Hunting mittels einer Lösung für “Managed Detection and Response” können Unternehmen und Organisationen dazu einen effektiven Schutz ihrer Systeme und Netzwerke sicherstellen, sodass potentielle Angriffsmuster rechtzeitig erkannt und gestoppt werden.