Egal, wie und wo Sie arbeiten \u2013 fast immer ist Software im Einsatz: Der Au\u00dfendienst nutzt Smartphones und Notebooks, im B\u00fcro erfolgt die Arbeit mit Workstations und E-Mails werden \u00fcber E-Mail-Server und Clients versendet. Befinden sich Sicherheitsl\u00fccken in der verwendeten Software, haben es Cyberkriminelle relativ leicht, an Informationen, Daten oder Zug\u00e4nge zu kommen. Deshalb ist es unabdingbar, immer \u00fcber Patches informiert zu sein. Um hier einen Einstieg zu finden, stellen wir Ihnen im Folgenden nicht nur die schwerwiegendsten Sicherheitsl\u00fccken aus 2021 vor, die auch heute noch relevant sind, sondern blicken auch auf aktuelle Meldungen zu kritischen Sicherheitsl\u00fccken. Zum Schluss geben wir Ihnen Tipps, wie und wo Sie sich auf dem Laufenden halten k\u00f6nnen.<\/p>\n
Das vergangene Jahr nahm gleich im Januar Fahrt auf, als \u00fcber 18.000 Organisationen, Unternehmen und Beh\u00f6rden vom SolarWinds-Hack betroffen waren. Im M\u00e4rz 2021 kam es zur n\u00e4chsten Katastrophe: Schwachstellen in Microsofts Exchange Server sorgten daf\u00fcr, dass das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) die IT-Bedrohungslage \u201erot\u201c ausrief. Eine weitere Sicherheitswarnung \u2013 ebenfalls mit Warnstufe Rot \u2013 folgte im Dezember, als die Log4j-Sicherheitsl\u00fccke die IT-Landschaft erneut bedrohte. Im Einzelnen:<\/p>\n
Im Dezember 2020 wurde bekannt, dass es Cyberkriminellen gelungen war, die Schadsoftware Sunburst auf dem Update-Server der IT-Management-Software Orion aus dem Hause SolarWinds einzuschleusen \u2013 offenbar zwischen M\u00e4rz und Juni 2020. Seither wurde eben diese Schadsoftware vielfach \u00fcber die Update-Server heruntergeladen \u2013 und jeder, der dies in gutem Glauben tat, lud sich die Schadsoftware mit hinunter. Wie dieser Supply-Chain-Angriff konkret vor sich ging, zeigten wir in unserem Beitrag \u201eSolarWinds-Hack: Cyberattacke sorgt f\u00fcr globale Alarmstimmung\u201c<\/a> auf.<\/p>\n Hinweisen zufolge lag es nicht zuletzt an schwachen Passw\u00f6rtern, dass die Cyberkriminellen so einfach in die Update-Server des Unternehmens eindringen konnten. Zu den Opfern des SolarWind-Hacks geh\u00f6rten neben zahlreichen US-Beh\u00f6rden und \u2013Unternehmen auch 15 deutsche Bundes\u00e4mter und Ministerien. Ein erh\u00f6htes Sicherheitsbewusstsein, das effektive Absichern von Zug\u00e4ngen und das Nutzen von sicheren Passw\u00f6rtern h\u00e4tten den SolarWinds-Hack deutlich erschwert.<\/p>\n \u00dcber den Exchange-Server-Hack berichteten wir im M\u00e4rz 2021 in unserem Beitrag \u201eMicrosoft Exchange-Server-Hack verursacht IT-Bedrohungslage rot\u201c<\/a>. Wie schon beim SolarWinds-Hack gab es auch beim Exchange-Server-Hack Warnungen im Vorfeld, die \u2013 w\u00e4ren sie von den Anbietenden ernstgenommen worden \u2013 Schlimmeres eventuell verhindert h\u00e4tten. Leider nahm die Katastrophe ungeachtet der Warnungen ihren Lauf: Als Anfang des Jahres 2021 die Verwundbarkeit der Exchange-Server publik wurde, begannen Massenscans nach verwundbaren Instanzen, die automatisch mit einer Webshell infiziert wurden. Zwar stellte Microsoft Patches bereit, die Cyberkriminellen waren jedoch schneller als viele Administratoren. Hinzu kam die unsch\u00f6ne Tatsache, dass die Patches zum Teil nicht eingespielt werden konnten. Erst die Patches, die am 09. M\u00e4rz erschienen, konnten die Sicherheitsl\u00fccken auf allen Systemen schlie\u00dfen.<\/p>\n Betroffen von dem Exchange-Server-Hack waren zehntausende von Unternehmen, Beh\u00f6rden, Banken oder Forschungseinrichtungen. Und das war tragisch, denn: E-Mails konnten mitgelesen werden, zuweilen war das Fernsteuern von Rechnern m\u00f6glich. Die Sch\u00e4tzungen der hierzulande betroffenen Unternehmen lagen zwischen 60.000 bis hin zu mehreren 100.000; nahezu jedes Unternehmen war also betroffen. Provider wurden angehalten, ihre von dem Hack betroffenen Kunden zu informieren, w\u00e4hrend das BSI die IT-Bedrohungslage rot ausrief. Leider sind nach wie vor nicht alle Exchange-Server gepatcht; noch immer nutzen Angreifende die L\u00fccken aktiv aus \u2013 es besteht also auch ein Jahr sp\u00e4ter noch Handlungsbedarf.<\/p>\n Eine noch gr\u00f6\u00dfere Sicherheitsbedrohung als bei SolarWinds \u2013 so beschrieb IT-Riese Microsoft die Log4j Sicherheitsl\u00fccke. Und auch dem BSI war schnell klar, dass Handlungsbedarf besteht \u2013 deshalb gab es erneut eine Cybersicherheitswarnung mit der Warnstufe Rot heraus. Angreifenden kann es durch diese Sicherheitsl\u00fccke gelingen, remote Code zu injizieren. Wie das genau funktioniert, hatten wir im Dezember 2021 in unserem Beitrag \u201eLog4j Sicherheitsl\u00fccke: Das m\u00fcssen Sie wissen\u201c<\/a> erkl\u00e4rt.<\/p>\n Leider wollte es auch hier mit den Patches nicht so recht klappen: Log4j 2.15.0 sch\u00fctzte zwar vor der Code-Einschleusung, brachte jedoch neue Probleme mit sich. Diese neue L\u00fccke wurde zwar mit einem Update auf Log4j 2.16.0 geschlossen, diesmal jedoch konnten Cyberkriminelle mit DDoS-Attacken erfolgreich angreifen. Mit Version 2.17 waren die Probleme dann endlich behoben \u2013 jedoch wurden neben dem Update noch zus\u00e4tzliche Ma\u00dfnahmen notwendig. Neben Unternehmen und Beh\u00f6rden war es auch f\u00fcr Privatanwendende sinnvoll, alle im Heimnetz laufenden Dienste zu pr\u00fcfen.<\/p>\n Richtig durchatmen k\u00f6nnen Administratoren auch in diesem Jahr nicht, denn kaum ist es vier Monate jung, h\u00e4ufen sich auch schon die Meldungen \u00fcber Sicherheitsl\u00fccken, \u00fcber die wir im Folgenden informieren.<\/p>\n Wann immer eine Schwachstelle in OpenSSL f\u00fcr Verwundbarkeit sorgt, werden alte Erinnerungen wieder wach: An Heartbleed, eine Sicherheitsl\u00fccke, die 2014 mit Fug und Recht als Super-GAU in die OpenSSL-Geschichte einging (wir berichteten<\/a>). Die jetzige L\u00fccke erlaubt es Angreifenden, Clients und Server durch pr\u00e4parierte TLS-Zertifikate lahmzulegen, wie die Entwickelnden in einer Warnmeldung<\/a> berichteten: Damit das gelingt, m\u00fcssen Angreifende daf\u00fcr sorgen, dass durch sie pr\u00e4parierte TLS-Zertifikate bzw. private Schl\u00fcssel mit elliptischen Kurven von Servern verarbeitet werden.<\/p>\n Die mit dem Bedrohungsgrad \u201ehoch\u201c eingestufte Sicherheitsl\u00fccke findet sich in den OpenSSL-Versionen 1.0.2, 1.1.1 sowie 3.0. Ein zeitnahes Update auf die abgesicherten Ausgaben 1.1.1n oder 3.0.2 wird dringend empfohlen. F\u00fcr die 1.1.0-Version ist der Support bereits ausgelaufen, sodass es hierf\u00fcr keine Sicherheitspatches mehr gibt.<\/p>\n Im M\u00e4rz dieses Jahres fielen Sicherheitsl\u00fccken in der Backup-Software Veeam Backup & Replication sowie in der IBM-Backup-Software Spectrum Protect auf. In beiden F\u00e4llen konnten Angreifende die Kontrolle \u00fcber die Systeme \u00fcbernehmen. Einer Warnmeldung<\/a> von Veeam Backup & Replication zufolge wurden zwei als \u201ekritisch\u201c eingestufte Sicherheitsl\u00fccken gefunden; abgesicherte Versionen (10a<\/a> sowie 11a<\/a>) stehen bereit.<\/p>\n IBMs Sicherheitsmeldung<\/a> f\u00e4llt leider nicht so detailreich aus, verweist jedoch auf die fehlerbereinigte Version 8.1.14.100, die auf der Download-Seite von IBM<\/a> bereitsteht.<\/p>\n Der Sicherheitsanbieter ESET fand drei gef\u00e4hrliche Schwachstellen auf Lenovo-Ger\u00e4ten, durch die es Angreifenden beispielsweise m\u00f6glich w\u00e4re, Malware einzuschleusen. Weitere m\u00f6gliche Szenarien beschreiben die ESET-Forschenden im hauseigenen Blog<\/a>. Die Backdoors, die durch Angreifende ausgenutzt werden k\u00f6nnten, stammen \u00fcbrigens von Lenovo selbst: Sie sollten eigentlich ausschlie\u00dflich beim Fertigungsprozess zug\u00e4nglich sein. Ein Fehler jedoch sorgte daf\u00fcr, dass die Hintert\u00fcren in die BIOS-Images \u00fcbernommen wurden, die an Kundinnen und Kunden ausgeliefert wurden.<\/p>\n \u201eMehr als hundert verschiedene Laptop-Modelle mit Millionen von Nutzern weltweit\u201c seien laut ESET betroffen. Der Sicherheitsanbieter meldete am 11. Oktober 2021 die Schwachstellen an Lenovo, die im November dann gepr\u00fcft und best\u00e4tigt wurden. Inzwischen sind Patches ver\u00f6ffentlicht. Wie Sie am besten vorgehen, erfahren Sie im Blogbeitrag von ESET.<\/p>\n Sicherheitsl\u00fccken k\u00f6nnen verschiedene Auswirkungen haben, wie unser Bericht zeigt: Vom Verteilen von Malware \u00fcber das Abgreifen von wertvollen Informationen bis hin zur \u00dcbernahme von Systemen ist vieles m\u00f6glich. Es vergeht immer eine Zeitlang vom Feststellen einer Sicherheitsl\u00fccke bis zu einem Patch, der diese schlie\u00dfen soll. Zuweilen werden Sicherheitsl\u00fccken in diesem Zeitraum bereits ausgenutzt, in anderen F\u00e4llen werden Cyberkriminelle auf Schwachstellen erst aufmerksam, wenn Sicherheitspatches bereitstehen. Nicht immer verhalten sich Herstellende dann so, wie Nutzende es sich w\u00fcnschen w\u00fcrden \u2013 manchmal braucht es einige Patches, bis s\u00e4mtliche Sicherheitsl\u00fccken geschlossen sind.<\/p>\n Wie Sie sehen, sind immer mehrere Akteure am Werk: Hinter der Software mit der Sicherheitsl\u00fccke steht ein Entwickler, der die L\u00fccke stopfen m\u00f6chte. Sicherheitsforschende weisen die Herstellenden oft auf etwaige Schwachstellen hin, w\u00e4hrend Cyberkriminelle versuchen, Schwachstellen aufzusp\u00fcren, bevor Patches eingespielt werden. Dazwischen gibt es noch die Anwendenden, die sich auf sichere Software verlassen m\u00f6chten, jedoch auch ihren Teil dazu beitragen m\u00fcssen: Stehen Patches bereit, so m\u00fcssen diese auch eingespielt werden. Insbesondere der Exchange-Server-Hack zeigt auch heute noch, dass dies nicht immer geschieht.<\/p>\n Deshalb: Informieren Sie sich regelm\u00e4\u00dfig \u00fcber Sicherheitsl\u00fccken, Updates und Patches bei der von Ihnen verwendeten Software. Daf\u00fcr gibt es verschiedene Mittel und Wege: Lassen Sie sich informieren, indem Sie sich Benachrichtigungen einrichten. Neben Google Alerts gibt es Talkwalker Alerts und weitere Alternativen. Dazu z\u00e4hlt beispielsweise auch der heise Security-Alerts-Service. Hilfreich ist es auch, sich regelm\u00e4\u00dfig die Sicherheitswarnungen des BSI<\/a> anzusehen oder diese zu abonnieren; es existiert ein E-Mail-Service, sodass Sie keine Warnung mehr verpassen. Auch wir, die PSW GROUP, informieren Sie regelm\u00e4\u00dfig \u2013 hier im Blog, per Newsletter<\/a> oder in den sozialen Netzwerken.<\/p>\nMicrosoft Exchange-Server-Hack<\/h3>\n
Log4j Sicherheitsl\u00fccke<\/h3>\n
Sicherheitsl\u00fccken 2022: Aktuelle Meldungen<\/h2>\n
OpenSSL ist verwundbar<\/h3>\n
Sicherheitsl\u00fccken in Backup-Software<\/h3>\n
Schwachstelle in Lenovo-Notebooks<\/h3>\n
Sicherheitsl\u00fccken zeitnah patchen!<\/h2>\n