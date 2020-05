Offensichtlich patchen Admins vor allem Windows-Systeme nicht regelmäßig, sodass es immer wieder eigentlich vermeidbare Sicherheitsvorfälle gibt. Oft bevorzugen Angreifer nämlich Attacken auf bekannte alte, ungepatchte Lücken, weil dafür oft weniger Ressourcen nötig sind, als Exploits für "brandneue" Sicherheitslücken zu entwickeln.

Das geht aus einem Bericht der Cybersecurity and Infrastructure Security Agency (CISA), dem Federal Bureau of Investigation (FBI) und der US-Regierung hervor. Sie raten Admins dringend dazu, regelmäßig Sicherheitsupdates zu installieren. Außerdem sollten sie ihre System auf ältere Lücken prüfen, für die es bereits Patches gibt. Außerdem zeigen die Autoren die zehn am meisten ausnutzten Sicherheitslücken im Zeitraum 2016 bis 2019 auf.

In dem Bericht finden Admins tiefergehende Hinweise zu den Lücken und den dazugehörigen CVE-Nummern. Mithilfe diese Infos sollten es leichter fallen, Verwundbarkeiten in den eigenen Systemen auszuloten und zu schließen.

Windows im Fadenkreuz

Untersuchungen der US-Regierung zufolge haben es Angreifer vor allem auf Sicherheitslücken in Microsofts Objekt Linking and Embedding (OLE) abgesehen. Damit kann man beispielsweise eine Tabellenkalkulation in ein Textdokument einbinden. Solche Lücken könnten Angreifer, wie 2017 geschehen, ausnutzen, um Schadcode auf Computer zu holen und auszuführen. Dem Bericht zufolge haben es vor allem staatliche Hacker aus China, Iran, Nordkorea und Russland auf OLE-Lücken abgesehen.

Lücken in Apache Struts (CVE-2017-5638) sind ebenfalls sehr beliebt. Das Webframework steht immer wieder unter Beschuss. Außerdem sind noch ältere Lücken in .NET Framework (CVE-2017-8759), Drupal (CVE-2018-7600), Office (CVE-2017-11882, CVE-2017-0199, CVE-2012-0158), SharePoint (CVE-2019-0604), verschiedenen Windows- und Windows-Server-Versionen (CVE-2017-0143) und Word (CVE-2015-1641) im Visier von Angreifern. Natürlich darf auch Adobes Flash Player (CVE-2018-4878) in der Liste nicht fehlen.

Durch das erfolgreiche Ausnutzen der Lücken haben Angreifer beispielsweise den Banking-Trojaner Dridex verbreitet. Aber auch der Info Stealer Loki ist so auf Computer gelangt.

Status quo

Im aktuellen Jahr haben es Hacker vor allem auf eine eine Lücke (CVE-2019-19781) in Citrix Application Delivery Controller (ADC) abgesehen. Sicherheitspatches sind seit Ende Januar 2020 verfügbar. Die VPN-Lösung von Pulse Secure steht dieses Jahr ebenfalls hoch im Kurs. Updates stehen seit Anfang Januar 2020 zum Download bereit.

Im April hat die National Security Agency (NSA) einen Bericht vorgelegt, in dem sie beliebte Einfallstore für Server-Angriffe auflisten. (des)