Schwachstelle und Waffe: EternalBlue

Dirk Arendt SecTank

Dirk Arendt, IT-Sicherheitsexperte und Leiter Public Sector & Government Relations bei Check Point Software Technologies GmbH

 

CVE-2017-0144, dieser Zahlen- und Buchstabencode bezeichnet bei Microsoft intern eine interessante Schwachstelle. Hinter dieser unscheinbaren Kombination verbirgt sich eine mächtige Waffe, so mächtig, dass sogar Geheimdienste sie einsetzen und geheim halten wollten. Das Problem jedoch ist, dass die Sicherheitslücke inzwischen nicht nur von Geheimdiensten, sondern auch von Cyber-Kriminellen genutzt wird. Die Vorfälle im Zuge der weltweiten Infektionswellen um die Schadprogramme WannaCry und NotPetya lassen sich allesamt auf die Schwachstelle zurückführen, die sich hinter CVE-2017-0144 verbirgt.

 

Nach einigen Unternehmen erreichen die Auswirkungen neue Dimensionen, denn mit Baltimore geriet die größte Stadt im US-Bundesstaat Maryland erfolgreich ins Visier von Internetverbrechern. Außerdem blieb es nicht bei dieser einen Ansiedlung. Zahlreiche Städte sind mittlerweile von Ransomware-Attacken auf Basis dieser Schwachstelle betroffen. In den USA liegen sie unter anderem in den Bundesstaaten Pennsylvania und Texas, wie San Antonio, die siebtgrößte Stadt der Vereinigten Staaten. Aus zahlreichen Berichten und Interviews lässt sich ableiten, dass Geheimdienste ihren Umgang mit dieser Art von Cyber-Waffen derzeit nicht kritisch genug hinterfragen. Was bleibt, ist der Verdacht, dass es ein ganzes Arsenal von Schwachstellen in gängigen IT-Systemen gibt, die geheime Behörden vor den Herstellern verbergen.

 

Wie aber schützen sich Unternehmen vor so etwas? Die Angriffe können mit technischen und organisatorischen Maßnahmen, ähnlich denen gegen Zero-Day-Attacken, in ihrer Auswirkung zumindest begrenzt werden. Das gilt auch für die Schädlinge der GenVI. Fremde und illegitime Zugriffe auf Netzwerke lassen sich zudem mit Hilfe verschiedener technischer Lösungen wie Firewalls, Application Control (App-Control), URL-Filtering, Intrusion Prevention-Systeme (IP-Systeme), Anti-Viren-, Anti-Bot- und Sandboxing-Technologien einschränken – wenn auch nicht gänzlich verhindern. Doch Firewalls überwachen den eingehenden und ausgehenden Netzverkehr. App-Control kontrolliert den Zugriff von und auf Anwendungen. URL-Filter schützen vor dem Besuch schädlicher Webseiten. IP-Systeme bekämpfen zusammen mit den Viren-Scannern und Anti-Bot-Programmen die Malware und die Sandbox ermöglicht es, potentielle Schadprogramme in einer Quarantäne zu untersuchen und zu öffnen, um Malware zu isolieren. Es gibt also einige Möglichkeiten, um die eigenen IT-Bereiche gut abzuschirmen.

 

Falls die IT-Sicherheitssysteme zusätzlich über eine zentrale Plattform miteinander kommunizieren und Daten austauschen, kann eine große Anzahl von Cyber-Attacken frühzeitig erkannt und rechtzeitig abgewehrt werden. Letzten Endes gilt jedoch vor allem Patchen, Patchen und nochmals Patchen, um die Sicherheitssysteme stets auf dem aktuellsten Stand zu halten.