Die 10 gefährlichsten Sicherheitslücken gemäss FBI, CISA und Co.
Das FBI hat in Zusammenarbeit mit der Cybersecurity and Infrastructure Security Agency eine Liste mit den 10 am häufigsten ausgenutzten Schwachstellen veröffentlicht. Die Liste zeigt auch, dass Unternehmen ihre Systeme nur ungenügend patchen: Eine Schwachstelle war bereits 2015 auf der Liste.
Das Ministerium für Innere Sicherheit der Vereinigten Staaten hat eine Liste mit den 10 am häufigsten ausgenutzten IT-Schwachstellen veröffentlicht. Die Liste stellten das Federal Bureau of Investigation (FBI), die Cybersecurity and Infrastructure Security Agency (CISA) und weitere Organisationen der US-amerikanischen Regierung zusammen.
Die Liste ist für IT-Security-Verantwortliche gedacht, damit sie ihre Unternehmen absichern können. Sie informiert nicht nur über die Schwachstellen, sondern auch über mögliche Anzeichen einer Kompromittierung (Indicators of compromise - IOC) sowie Anleitungen, wie die Schwachstellen zu beheben sind.
Die 10 am häufigsten ausgenutzten Schwachstellen zwischen 2016 und 2019
CVE-2017-11882: Eine "Microsoft Office Memory Corruption Vulnerability", die es einem Angreifer ermöglicht, beliebigen Code im Kontext des Benutzers auszuführen.
CVE-2017-0199: Eine "Microsoft Office/WordPad Remote Code Execution Vulnerability w/Windows API", die es dem Angreifer erlaubt, beliebigen Code über ein präpariertes Dokument auszuführen.
CVE-2017-5638: Eine Schwachstelle in Apache Struts verursacht eine fehlerhafte Ausnahmebehandlung bei Error-Meldungen während versuchten Datei-Uploads. Angreifer können durch manipulierte HTTP-Header beliebige Befehle ausführen.
CVE-2012-0158: Eine Schwachstelle in MSCOMCTL.OCX, die es Angreifern ermöglicht, über eine präparierte Website, Office-Dokumente oder .rtf-Dateien beliebigen Code auszuführen, die eine "System State"-Korruption auslöst.
CVE-2019-0604: Eine "Microsoft SharePoint Remote Code Execution Vulnerability". Die Software scheitert daran, das Quellcode-Mark-up eines Anwendungspakets zu überprüfen.
CVE-2017-0143: Eine "Windows SMB Remote Code Execution Vulnerability", aufgrund derer die Angreifer mittels manipulierter Packets aus der Ferne beliebigen Code ausführen können.
CVE-2018-4878: Eine Schwachstelle im Adobe Flash Player aufgrund eines hängenden Zeigers im Primetime SDK. Ein erfolgreicher Angriff kann zur Ausführung von beliebigem Code führen.
CVE-2017-8759: Eine ".NET Framework Remote Code Execution Vulnerability". Mittels manipulierten Dokumenten oder Applikationen können Angreifer Befehle aus der Ferne ausführen.
CVE-2015-1641: Eine sogenannte "Microsoft Office Memory Corruption Vulnerability". Mit einer präparierten .rtf-Datei können Angreifer beliebigen Code ausführen.
CVE-2018-7600: Eine Schwachstelle in Drupal aufgrund eines Problems, das mehrere Subsysteme mit Standard- oder gemeinsamen Modulkonfigurationen betrifft. Ein Angreifer kann beliebigen Code ausführen, wenn er sie ausnutzt.
Bereits seit 2015 in den Top 10
Gemäss einer Auswertung der US-Regierung, werden insbesondere Schwachstellen in Microsofts „Object Linking and Embedding“-Technologie häufig ausgenutzt. Durch die Technologie könnten Dokumente eingebettete Inhalte aus anderen Anwendungen enthalten.
CVE-2017-11882, CVE-2017-0199 und CVE-2012-0158 etwa stehen alle im Zusammenhang mit der „Object Linking and Embedding“-Technologie. Dabei handelt es sich gemäss der Mitteilung um die drei Schwachstellen, die am häufigsten von chinesischen, iranischen, nordkoreanischen und russischen Akteuren ausgenutzt werden.
Die Liste zeigt auch, dass Unternehmen ihre IT-Systeme oftmals nicht oder nicht richtig aktualisieren. Die Schwachstelle CVE-2012-0158 beispielsweise war bereits 2015 auf der Liste der am häufigsten ausgenutzten Schwachstellen der US-amerikanischen Regierung.
Der Grund für das zögerliche Patch-Verhalten liege wohl in der inhärenten Gratwanderung: Ein Patch ist für IT-Security-Verantwortliche immer ein Abwägen zwischen der Notwendigkeit, die Systeme abzusichern und der Notwendigkeit, die Systeme am Laufen zu halten. Insbesondere wenn es um mehrere Sicherheitslücken geht, ist die Behebung mit einem erheblichen Aufwand verbunden.
Der Faktor Mensch
Die Liste informiert zudem über gewisse weiterer Schwachstellen, die aktuell ausgenutzt werden. CVE-2019-19781, ein Problem im Citrix Application Delivery Controller (ADC) und Gateway sowie CVE-2019-11510, eine Schwachstelle in Pulse Secure Pulse Connect Secure (PCS) 8.2.
Zudem warnen CISA, FBI und Co. in der Mitteilung vor hastig implementierten Office-365-Umgebungen. Diese häufen sich aufgrund der Coronakrise. Eine weitere wichtige Schwachstelle, für die es jedoch keinen Patch gibt, ist der Faktor Mensch. Ungenügend sensibilisierte Mitarbeiter seien etwa ein Einfallstor für Ransomware-Angriffe.
Wie man seine Angestellten schützen kann, auch wenn diese von zuhause aus arbeiten, lesen Sie hier im Podium zum Thema Security im Homeoffice. Mit Tipps der Experten von All for One, Check Point, Ensec, Eset, G Data, der GKB, Ispin, Melani, den SBB und Terreactive.
Wer mehr zum Thema Cybercrime und IT-Sicherheit lesen will, kann dies im IT-Security-Blog von IT-Markt auf www.it-markt.ch/Security tun. Der Blog wird laufend aktualisiert.