Schwachstellen-Management

Sicherheitslücken in Applikationen richtig beseitigen

| Autor / Redakteur: Dirk Arendt / Peter Schmitz

Schwachstellen in Web-Applikationen sind Alltag und manchmal sind Kriminelle bei deren Ausnutzung schneller. Daher gilt es die richtigen Vorbereitungen zu treffen, um schnell reagieren zu können.
Schwachstellen in Web-Applikationen sind Alltag und manchmal sind Kriminelle bei deren Ausnutzung schneller. Daher gilt es die richtigen Vorbereitungen zu treffen, um schnell reagieren zu können. (Bild: Pixabay / CC0)

Anwender sind der Ansicht, dass Firmen hinsichtlich der Sicherheit von Kundendaten im Internet mehr Verantwortung tragen müssen. Unternehmen müssen daher dafür sorgen, dass Schwachstellen in ihren Applikationen schnell behoben werden. Ein positives Beispiel dafür ist LinkedIn.

In einer repräsentativen Studie hat dimap im Auftrag des Deutschen Institutes für Vertrauen und Sicherheit im Internet (DIVSI) eine Bevölkerungsbefragung in Deutschland durchgeführt, in der über 1.200 Menschen interviewt wurden. Ziel war es, deren Meinung zum Thema IT-Sicherheit und Digitalisierung zu erfahren. Eine der wichtigsten Erkenntnisse dabei war die Erwartungshaltung an Unternehmen: 85 Prozent aller Teilnehmer stimmen der Aussage zu, dass Firmen hinsichtlich der Sicherheit von Kundendaten im Internet mehr Verantwortung tragen sollen. Ähnlich hoch sind die Erwartung an die Bundesregierung. Die Befragten räumen aber auch ein, dass ebensoviel Eigenverantwortung verlangt werden muss.

In der Praxis sind solche Aussagen für Organisationen schwierig umzusetzen. Die Gefahrenlandschaft hat sich grundlegend gewandelt und IT-Abteilungen haben alle Hände voll zu tun, um Cyberangriffe und andere Bedrohungen abzuwehren. Gleichzeitig müssen die eigenen Produkte integrationsfähig und sicher für die Digitalisierung gemacht werden. Gerade bei Online-Produkten ergeben sich oft Schwachstellen. Jedoch gibt es auch Beispiele für ein akkurates Handling mit kritischen Faktoren – wie es LinkedIn vor kurzem bewies: Mehrere Schwachstellen wurden durch einen IT-Sicherheitsanbieter bekannt und Mitte Juni 2017 an LinkedIn gemeldet. Dort begann man umgehend mit der Beseitigung, zehn Tage später waren die Schwachstellen behoben. Weltweit hat das soziale Netzwerk mehr als 500 Millionen Mitglieder in über 200 Ländern – natürlich auch in Deutschland. Die insgesamt drei Schwachpunkte enthielten ein großes Gefahrenpotenzial, bei dem Schadcode über verseuchte Dateien in Netzwerke und auf Zielgeräte eingeschleust werden konnten. Da es sich um ein Berufsnetzwerk handelt, nutzen viele User die Plattform nicht nur auf privaten Endpunkten, sondern auch auf Firmengeräten. Deshalb war eine schnelle Beseitigung besonders wichtig.

Schwachstellen in LinkedIn – was ist passiert?

Die Forscher erkannten Sicherheitsprobleme beim Versenden von Nachrichten mit Datenanhängen. Grundsätzlich erlaubt der LinkedIn-Messenger aus Sicherheitsgründen nur den Versand von Dokumenten (csv, xls, xlsx, doc, docx, ppt, pptx, pdf, txt) und Bilddateien (gif, jpeg, jpg, png). Die Kontrolle der Formate reichte allerdings nicht aus, um den Service abzusichern. Zwar werden die Anhänge in den Nachrichten auf schädliche Inhalte gescanned, allerdings können Angreifer diese Sicherheitsmechanismen aushebeln. Dazu tarnen sie Malware in einer legitimen Datei, wodurch die Sicherheitsprüfung von LinkedIn keinen Alarm schlägt.

Die Flaws erlaubten danach die Ausführung von beliebigem Code auf dem Computer des Opfers. Ein erster Angriffsvektor war ein schädliches Power Shell Skript, welches man in einem PDF speichert und auf den CDN-Server bei LinkedIn hochlädt. Dieses wird dann über den Messenger an die Opfer versandt.

Die PDF wird als erlaubtes Datenformat erkannt und das Opfer erhält die Datei. Nach dem Öffnen führt das Skript den Schadcode aus und infiziert das Endgerät. Beispielsweise können so Einträge in der Registrierdatenbank verändert werden. Im Praxistest ist genau dies gelungen – Endgeräte konnten so übernommen werden.

Außerdem war es möglich über Makros Malware zu verschicken. Im Rahmen der Untersuchung gelang es, eine verseuchte XLSM-Datei als XLSX-Format zu tarnen und verschlüsselte Visual Basic Script Shell Codes einzuschleusen. Erneut wurde die Datei über den CDN-Server geladen und versandt – ohne Entdeckung des Schädlings – wieder war eine Infektion die Folge.

Ähnlich wurde auch bei den letzten identifizierten Schwachstellen vorgegangen, allerdings dienten hier docx-Dateien als Grundlage, die auf ein HTA-Dokument des Angreiferservers verlinkt wurden. Nach dem Öffnen durch MS Word auf dem Zielgerät wird die HTA-Datei geladen und der Schadcode installiert.

Fazit

Cybersicherheit ist Basis der Digitalisierung. Grundsätzlich ist die Bevölkerung offen für neue Technologie, allerdings muss die Sicherheit gewahrt werden. Ohne Vertrauen ist kein Fortschritt möglich. Dabei stehen in erster Linie Unternehmen in der Pflicht, die Schutzleistungen gewähren müssen die über die eigenen Assets hinausgehen.

Organisationen müssen jede Facette der vernetzten Welt bedenken und damit auch ihre eigenen Produkte aufarbeiten. Die User gehen ganz klar davon aus, dass Unternehmen beim Thema Sicherheit und Datenschutz für sie mitdenken. Hierauf geht auch die Datenschutzgrundverordnung (DSGVO) der EU ein. Sichtworte sind Security-by-Default und Security-by-Design.

Schwachstellen wie in LinkedIn sind Alltag und in manchen Fällen sind Kriminelle bei deren Entdeckung und Ausnutzung schneller. Daher gilt es die richtigen Vorbereitungen zu treffen, um, wie im Beispiel von LinkedIn, schnell reagieren zu können. IT-Abteilungen sollten sich beim Thema Sicherheit von Experten beraten lassen, damit Schutzmechanismen und Policies entsprechend an die aktuelle Bedrohungslage angepasst werden können.

Über den Autor: Dirk Arendt ist Leiter Public Sector & Gov Relations bei Check Point Software Technologies.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44935600 / Sicherheitslücken)