Definition Remote Code Execution | RCE Was ist Remote Code Execution?

Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Remote Code Execution ermöglicht es, unerwünschten Programmcode auf einem Rechner aus der Ferne auszuführen. Häufig sind Sicherheitslücken im Betriebssystem und in Anwendungen oder schlecht abgesicherte Eingabemöglichkeiten der Grund für dieses Sicherheitsproblem. Angreifer nutzen das Internet, um per Remote Code Execution in Systeme einzudringen, Malware auszuführen oder die Systeme komplett zu übernehmen.

Unter Remote Code Execution versteht man das – meist unautorisierte – Ausführen von Programmcode aus der Ferne.
Unter Remote Code Execution versteht man das – meist unautorisierte – Ausführen von Programmcode aus der Ferne.
(Bild: gemeinfrei / Pixabay )

Der deutsche Begriff für Remote Code Execution (Abkürzung RCE) lautet "Code-Ausführung aus der Ferne". Es handelt sich um die Möglichkeit, einen Rechner oder ein Gerät aus der Ferne über ein Netzwerk wie das Internet dazu zu veranlassen, nicht vorgesehenen oder unerwünschten Programmcode auszuführen. Die Anfälligkeit von Computern, Betriebssystemen und Anwendungen für die Remote-Code-Ausführung ist ein häufig auftretendes Sicherheitsproblem. Cyber-Kriminelle nutzen diese Anfälligkeit, um auf fremden Rechnern Malware auszuführen, Änderungen an den Systemen vorzunehmen, sensible Informationen zu stehlen, sich Administratorrechte zu verschaffen oder Systeme komplett zu übernehmen. Sie benötigen keinen physischen Zugriff auf die Rechner, sondern führen ihre Angriffe aus der Ferne über das Internet aus.

Von der Anfälligkeit der Remote-Code-Ausführung betroffen sein können Geräte wie PCs, Laptops, Smartphones, Tablets, Server, Router und viele mehr. Beispiele für RCE-Angriffe sind der Besuch einer präparierten Internetseite, die Schwachstellen des Webbrowsers oder des Betriebssystems für die Remotecodeausführung nutzt, die Eingabe von Programmcode über schlecht abgesicherte Webformulare oder das Hochladen unerwünschter Dateien und Ausführen von enthaltenem Programmcode (Arbitrary File Upload).

Möglicher Ablauf einer Remotecodeausführung

Zunächst muss eine Angreifer Systeme oder Geräte aufspüren, die eine Schwachstelle besitzen und anfällig für Remote Code Execution sind. Angreifer nutzen hierfür automatisierte Tools, die über das Internet erreichbare Systeme nach bestimmten Informationen wie Betriebssystemversion, Browserversion, offene Ports oder verwendete Anwendungen und Softwarestände scannen oder diese automatisiert über speziell vorbereitete Webserver abfragen. Ist ein System mit einer Anfälligkeit gefunden, läuft der Angriff oft in mehreren Stufen ab. Zunächst verschaffen sich die Angreifer durch die Ausführung eines Codes erhöhte Nutzerrechte am System. Mit Hilfe dieser Rechte kann weitere Malware nachgeladen oder das System komplett übernommen werden. Einen so gekaperten Rechner missbrauchen die Angreifer für diverse kriminelle Machenschaften.

Mögliche Ursachen für Remote-Code-Ausführung

Die Ursachen für die Anfälligkeit eines Systems für die Remote-Code-Ausführung können vielfältig sein. Typische Probleme und Schwachstellen sind ein schlechtes Speichermanagement (Erzeugen von Buffer Overflows), schlechte Absicherung von Eingabemasken oder fehlerhafte Validierung von Usereingaben (Eingaben von ausführbaren Befehlen möglich), schlechte Absicherung gegen den Upload von Dateien mit ausführbarem Programmcode (Arbitrary File Upload) und einiges mehr.

Maßnahmen zur Verhinderung von Remote Code Execution

Wirksame Maßnahmen zur Verhinderung von Remote Code Execution sind:

  • regelmäßiges Einspielen von Softwareupdates und Sicherheitspatches (Schließen von bekannten Sicherheitslücken)
  • zuverlässige Absicherung von Benutzereingaben und Datei-Uploadmöglichkeiten
  • Einschränkung des Netzwerkzugriffs auf Systeme aus der Ferne (zum Beispiel das Sperren bestimmter Ports oder IP-Adressbereiche)
  • keine veralteten Betriebssysteme oder Anwendungen nutzen
  • Verwendung von Intrusion Detection und Intrusion Prevention Systemen (IDS und IPS)

(ID:47386160)

Über den Autor