Sicherheitslücken gefährden Ihre Sicherheit – jetzt patchen!

Egal, wie und wo Sie arbeiten – fast immer ist Software im Einsatz: Der Außendienst nutzt Smartphones und Notebooks, im Büro erfolgt die Arbeit mit Workstations und E-Mails werden über E-Mail-Server und Clients versendet. Befinden sich Sicherheitslücken in der verwendeten Software, haben es Cyberkriminelle relativ leicht, an Informationen, Daten oder Zugänge zu kommen. Deshalb ist es unabdingbar, immer über Patches informiert zu sein. Um hier einen Einstieg zu finden, stellen wir Ihnen im Folgenden nicht nur die schwerwiegendsten Sicherheitslücken aus 2021 vor, die auch heute noch relevant sind, sondern blicken auch auf aktuelle Meldungen zu kritischen Sicherheitslücken. Zum Schluss geben wir Ihnen Tipps, wie und wo Sie sich auf dem Laufenden halten können.

Sicherheitslücken aus 2021

Das vergangene Jahr nahm gleich im Januar Fahrt auf, als über 18.000 Organisationen, Unternehmen und Behörden vom SolarWinds-Hack betroffen waren. Im März 2021 kam es zur nächsten Katastrophe: Schwachstellen in Microsofts Exchange Server sorgten dafür, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) die IT-Bedrohungslage „rot“ ausrief. Eine weitere Sicherheitswarnung – ebenfalls mit Warnstufe Rot – folgte im Dezember, als die Log4j-Sicherheitslücke die IT-Landschaft erneut bedrohte. Im Einzelnen:

SolarWinds-Hack

Im Dezember 2020 wurde bekannt, dass es Cyberkriminellen gelungen war, die Schadsoftware Sunburst auf dem Update-Server der IT-Management-Software Orion aus dem Hause SolarWinds einzuschleusen – offenbar zwischen März und Juni 2020. Seither wurde eben diese Schadsoftware vielfach über die Update-Server heruntergeladen – und jeder, der dies in gutem Glauben tat, lud sich die Schadsoftware mit hinunter. Wie dieser Supply-Chain-Angriff konkret vor sich ging, zeigten wir in unserem Beitrag „SolarWinds-Hack: Cyberattacke sorgt für globale Alarmstimmung“ auf.

Hinweisen zufolge lag es nicht zuletzt an schwachen Passwörtern, dass die Cyberkriminellen so einfach in die Update-Server des Unternehmens eindringen konnten. Zu den Opfern des SolarWind-Hacks gehörten neben zahlreichen US-Behörden und –Unternehmen auch 15 deutsche Bundesämter und Ministerien. Ein erhöhtes Sicherheitsbewusstsein, das effektive Absichern von Zugängen und das Nutzen von sicheren Passwörtern hätten den SolarWinds-Hack deutlich erschwert.

Microsoft Exchange-Server-Hack

Über den Exchange-Server-Hack berichteten wir im März 2021 in unserem Beitrag „Microsoft Exchange-Server-Hack verursacht IT-Bedrohungslage rot“. Wie schon beim SolarWinds-Hack gab es auch beim Exchange-Server-Hack Warnungen im Vorfeld, die – wären sie von den Anbietenden ernstgenommen worden – Schlimmeres eventuell verhindert hätten. Leider nahm die Katastrophe ungeachtet der Warnungen ihren Lauf: Als Anfang des Jahres 2021 die Verwundbarkeit der Exchange-Server publik wurde, begannen Massenscans nach verwundbaren Instanzen, die automatisch mit einer Webshell infiziert wurden. Zwar stellte Microsoft Patches bereit, die Cyberkriminellen waren jedoch schneller als viele Administratoren. Hinzu kam die unschöne Tatsache, dass die Patches zum Teil nicht eingespielt werden konnten. Erst die Patches, die am 09. März erschienen, konnten die Sicherheitslücken auf allen Systemen schließen.

Betroffen von dem Exchange-Server-Hack waren zehntausende von Unternehmen, Behörden, Banken oder Forschungseinrichtungen. Und das war tragisch, denn: E-Mails konnten mitgelesen werden, zuweilen war das Fernsteuern von Rechnern möglich. Die Schätzungen der hierzulande betroffenen Unternehmen lagen zwischen 60.000 bis hin zu mehreren 100.000; nahezu jedes Unternehmen war also betroffen. Provider wurden angehalten, ihre von dem Hack betroffenen Kunden zu informieren, während das BSI die IT-Bedrohungslage rot ausrief. Leider sind nach wie vor nicht alle Exchange-Server gepatcht; noch immer nutzen Angreifende die Lücken aktiv aus – es besteht also auch ein Jahr später noch Handlungsbedarf.

Log4j Sicherheitslücke

Eine noch größere Sicherheitsbedrohung als bei SolarWinds – so beschrieb IT-Riese Microsoft die Log4j Sicherheitslücke. Und auch dem BSI war schnell klar, dass Handlungsbedarf besteht – deshalb gab es erneut eine Cybersicherheitswarnung mit der Warnstufe Rot heraus. Angreifenden kann es durch diese Sicherheitslücke gelingen, remote Code zu injizieren. Wie das genau funktioniert, hatten wir im Dezember 2021 in unserem Beitrag „Log4j Sicherheitslücke: Das müssen Sie wissen“ erklärt.

Leider wollte es auch hier mit den Patches nicht so recht klappen: Log4j 2.15.0 schützte zwar vor der Code-Einschleusung, brachte jedoch neue Probleme mit sich. Diese neue Lücke wurde zwar mit einem Update auf Log4j 2.16.0 geschlossen, diesmal jedoch konnten Cyberkriminelle mit DDoS-Attacken erfolgreich angreifen. Mit Version 2.17 waren die Probleme dann endlich behoben – jedoch wurden neben dem Update noch zusätzliche Maßnahmen notwendig. Neben Unternehmen und Behörden war es auch für Privatanwendende sinnvoll, alle im Heimnetz laufenden Dienste zu prüfen.

Sicherheitslücken 2022: Aktuelle Meldungen

Richtig durchatmen können Administratoren auch in diesem Jahr nicht, denn kaum ist es vier Monate jung, häufen sich auch schon die Meldungen über Sicherheitslücken, über die wir im Folgenden informieren.

OpenSSL ist verwundbar

Wann immer eine Schwachstelle in OpenSSL für Verwundbarkeit sorgt, werden alte Erinnerungen wieder wach: An Heartbleed, eine Sicherheitslücke, die 2014 mit Fug und Recht als Super-GAU in die OpenSSL-Geschichte einging (wir berichteten). Die jetzige Lücke erlaubt es Angreifenden, Clients und Server durch präparierte TLS-Zertifikate lahmzulegen, wie die Entwickelnden in einer Warnmeldung berichteten: Damit das gelingt, müssen Angreifende dafür sorgen, dass durch sie präparierte TLS-Zertifikate bzw. private Schlüssel mit elliptischen Kurven von Servern verarbeitet werden.

Die mit dem Bedrohungsgrad „hoch“ eingestufte Sicherheitslücke findet sich in den OpenSSL-Versionen 1.0.2, 1.1.1 sowie 3.0. Ein zeitnahes Update auf die abgesicherten Ausgaben 1.1.1n oder 3.0.2 wird dringend empfohlen. Für die 1.1.0-Version ist der Support bereits ausgelaufen, sodass es hierfür keine Sicherheitspatches mehr gibt.

Sicherheitslücken in Backup-Software

Im März dieses Jahres fielen Sicherheitslücken in der Backup-Software Veeam Backup & Replication sowie in der IBM-Backup-Software Spectrum Protect auf. In beiden Fällen konnten Angreifende die Kontrolle über die Systeme übernehmen. Einer Warnmeldung von Veeam Backup & Replication zufolge wurden zwei als „kritisch“ eingestufte Sicherheitslücken gefunden; abgesicherte Versionen (10a sowie 11a) stehen bereit.

IBMs Sicherheitsmeldung fällt leider nicht so detailreich aus, verweist jedoch auf die fehlerbereinigte Version 8.1.14.100, die auf der Download-Seite von IBM bereitsteht.

Schwachstelle in Lenovo-Notebooks

Der Sicherheitsanbieter ESET fand drei gefährliche Schwachstellen auf Lenovo-Geräten, durch die es Angreifenden beispielsweise möglich wäre, Malware einzuschleusen. Weitere mögliche Szenarien beschreiben die ESET-Forschenden im hauseigenen Blog. Die Backdoors, die durch Angreifende ausgenutzt werden könnten, stammen übrigens von Lenovo selbst: Sie sollten eigentlich ausschließlich beim Fertigungsprozess zugänglich sein. Ein Fehler jedoch sorgte dafür, dass die Hintertüren in die BIOS-Images übernommen wurden, die an Kundinnen und Kunden ausgeliefert wurden.

„Mehr als hundert verschiedene Laptop-Modelle mit Millionen von Nutzern weltweit“ seien laut ESET betroffen. Der Sicherheitsanbieter meldete am 11. Oktober 2021 die Schwachstellen an Lenovo, die im November dann geprüft und bestätigt wurden. Inzwischen sind Patches veröffentlicht. Wie Sie am besten vorgehen, erfahren Sie im Blogbeitrag von ESET.

Sicherheitslücken zeitnah patchen!

Sicherheitslücken können verschiedene Auswirkungen haben, wie unser Bericht zeigt: Vom Verteilen von Malware über das Abgreifen von wertvollen Informationen bis hin zur Übernahme von Systemen ist vieles möglich. Es vergeht immer eine Zeitlang vom Feststellen einer Sicherheitslücke bis zu einem Patch, der diese schließen soll. Zuweilen werden Sicherheitslücken in diesem Zeitraum bereits ausgenutzt, in anderen Fällen werden Cyberkriminelle auf Schwachstellen erst aufmerksam, wenn Sicherheitspatches bereitstehen. Nicht immer verhalten sich Herstellende dann so, wie Nutzende es sich wünschen würden – manchmal braucht es einige Patches, bis sämtliche Sicherheitslücken geschlossen sind.

Wie Sie sehen, sind immer mehrere Akteure am Werk: Hinter der Software mit der Sicherheitslücke steht ein Entwickler, der die Lücke stopfen möchte. Sicherheitsforschende weisen die Herstellenden oft auf etwaige Schwachstellen hin, während Cyberkriminelle versuchen, Schwachstellen aufzuspüren, bevor Patches eingespielt werden. Dazwischen gibt es noch die Anwendenden, die sich auf sichere Software verlassen möchten, jedoch auch ihren Teil dazu beitragen müssen: Stehen Patches bereit, so müssen diese auch eingespielt werden. Insbesondere der Exchange-Server-Hack zeigt auch heute noch, dass dies nicht immer geschieht.

Deshalb: Informieren Sie sich regelmäßig über Sicherheitslücken, Updates und Patches bei der von Ihnen verwendeten Software. Dafür gibt es verschiedene Mittel und Wege: Lassen Sie sich informieren, indem Sie sich Benachrichtigungen einrichten. Neben Google Alerts gibt es Talkwalker Alerts und weitere Alternativen. Dazu zählt beispielsweise auch der heise Security-Alerts-Service. Hilfreich ist es auch, sich regelmäßig die Sicherheitswarnungen des BSI anzusehen oder diese zu abonnieren; es existiert ein E-Mail-Service, sodass Sie keine Warnung mehr verpassen. Auch wir, die PSW GROUP, informieren Sie regelmäßig – hier im Blog, per Newsletter oder in den sozialen Netzwerken.