Vulnerability Management: Wie Angreifer Exploits kombinieren

Foto: OB KCP – shutterstock.com

Exploit Chains (oder Vulnerability Chains) sind Cyberangriffe, bei denen mehrere Exploits kombiniert werden, um ein Ziel zu kompromittieren. Kriminelle nutzen die Methode, um ihre Erfolgschancen, beziehungsweise den Wirkungsgrad ihres Angriffs, zu steigern. “Das Ziel von Exploit-Chain-Angriffen ist es, Zugriff auf Kernel-, Root- oder Systemebene zu erhalten, um ein System zu kompromittieren und einen Angriff auszuführen”, erklärt Forrester-Analyst Steve Turner. ” Indem sie Schwachstellen in normalen Systemprozessen ausnutzen, um Verteidigungsmaßnahmen zu umgehen, versetzen Exploit Chains die Angreifer in die Lage, sich in die Umgebung eines Unternehmens einzuschleichen.”

Zwar erforderten Exploit-Chain-Attacken im Regelfall deutlich mehr Zeit, Aufwand und Knowhow. Im Erfolgsfall entstünden jedoch Angriffe, die – je nach Länge und Raffinesse der Exploit-Kombination – sehr schwierig zu beheben seien, so der Experte.

Exploit-Chain-Risiken

Exploit Chains stellen für Unternehmen demnach ein erhebliches Risiko dar. Auch, weil deren Ausführung in der Regel sehr schnell abläuft und die meisten Unternehmen nicht über die richtigen Prozesse, Playbooks und Tools verfügten, meint Turner.

“Die bedauerliche Realität sieht so aus, dass fast alle Exploits bekannte Schwachstellen und Exploit-Ketten ausnutzen, die nicht entschärft wurden”, weiß Ortal Keizman, Research Teamlead bei Vulcan Cyber. “Vulnerability Management kommt heutzutage einem gigantischen Whac-A-Mole-Spiel gleich und mindestens 56 Prozent der Unternehmen sind nicht in der Lage, Schwachstellen so schnell oder in dem Umfang zu beheben, wie es für den Schutz ihres Unternehmens erforderlich wäre.”

Es sei davon auszugehen, dass die meisten Sicherheitsverantwortlichen die Schwachstellen-Listen von NIST und CISA mit einem schlechten Bauchgefühl betrachten, da sie ihre Risikolage nicht richtig einschätzen könnten, meint Keizman: “Man kann ein Risiko nicht mindern, wenn man es nicht messen kann. Eine Risikopriorisierung ist allerdings bedeutungslos, wenn sie nicht speziell auf die individuelle Risikotoleranz der jeweiligen Organisation oder Geschäftseinheit abgestimmt ist.”

Exploit-Chain-Beispiele

Im folgenden finden Sie einige – real aufgetretene und hypothetische – Beispiele für Exploit-Chain-Angriffsszenarien.

Attacke auf SolarWinds

Eines der prominentesten Beispiele für einen real abgelaufenen Exploit-Chain-Angriff ist der Hackerangriff auf SolarWinds, der weit über eine einzelne zu patchende Schwachstelle hinausging, wie Keizman erläutert: “In diesem Fall wurden Schwachstellen sowohl in proprietärem als auch in quelloffenem Code ausgenutzt. Die Hacker entwickelten einem Advanced Persistent Threat, indem sie zunächst kritische Schichten der Software-Lieferkette ausnutzten, die dann Remote-Zugriff und Rechteausweitung innerhalb privater Netzwerke ermöglichten.”

Nachdem die Backdoor errichtet war, stellten die Angreifer sicher, dass Proof-of-Concept-Exploits zur Verfügung standen, um das Netzwerk über bekannte Schwachstellen, die aus verschiedenen Gründen nicht entschärft worden waren, weiter zu infiltrieren.

Exploit Chains vs. Mobile Devices

Aus Sicht von John Bambenek, Principal Threat Hunter bei Netenrich, werden Exploit Chains vor allem zum Einsatz kommen, um mobile Geräte zu kompromittieren: “Aufgrund der Beschaffenheit von Mobiltelefon-Architekturen müssen mehrere Exploits eingesetzt werden, um Root-Zugriff zu erhalten. Nur so kann mobile Malware ihre Aufgaben erfüllen.”

Dies unterstreiche auch eine Untersuchung des Sicherheitsanbieters Lookout, in der mehrere Android-Überwachungstools beschrieben wurden, die seit Jahren in China gegen die Bevölkerungsgruppe der Uiguren eingesetzt werden: “Exploit Chains können auf herkömmliche Computer abzielen, aber oft weist die Kette Lücken auf. Beispielsweise führen viele Ransomware-Angriffe, sobald sie in den Perimeter eingedrungen sind, zu lateralen Bewegungen oder der Verwendung von PowerShell. Das kann dazu führen, dass ein weiterer Exploit für die Rechteausweitung verwendet werden muss.”

Exploit Chains vs. Browser

Tyler Reguly, Mitglied des Vulnerability-Forschungsteams bei Tripwire, kennt auch Exploit Chains, die auf Browser-Schwachstellen abzielen: “Angreifer leiten User über Phishing-Mails auf bösartige Webseiten, wo wiederum Drive-by-Angriffe intiiiert werden, um Browser-Schachstellen auszunutzen. Diese werden dann mit einer zweiten Schwachstelle kombiniert, um aus der Sandbox auszubrechen. Eine dritte sorgt schließlich für die Rechteausweitung.”

Von diesem Punkt aus wollen die Angreifer sich im gesamten Netzwerk und spezifischen Systemen ausbreiten: “Je nachdem, welche Verteidigungsmaßnahmen eine Organisation eingezogen hat, können auch unorganisierte Exploit Chains erfolgreich sein.”

Ransomware Exploit-Toolkits

Auch Ransomware-Akteure setzen immer häufiger auf Exploit Chaining, meint Turner: “Zu den bekanntesten Beispielen zählen sogenannte Zero-Click-Exploit-Chains, bei denen Code ohne Zutun der Benutzer ausgeführt wird und “ProxyLogon”, bei dem ein Angreifer eine Exploit Chain ausnutzen kann, um Administratorrechte zu erlangen und beliebigen Code auszuführen.”

Ransomware-Gruppen nutzen diese Möglichkeiten, um möglichst schnell in Umgebungen Fuß zu fassen, Daten zu exfiltrieren und Lösegeld einzufordern: “Wir gehen davon aus, dass Angreifer bekannte RCE-Schwachstellen wie die Log4j-Schwachstelle nutzen werden, um zusätzliche Exploit-Toolkits zu erstellen. Diese dürften eine Reihe von Exploits kombinieren, um so schnell wie möglich Zugriff auf die System-/Kernel-Ebene zu erlangen.”

Exploit-Chain-Angriffe verhindern

Um das Risiko eines Exploit-Chain-Angriffs zu minimieren, ist es laut Reguly am wichtigsten, daran zu denken, dass jedes Glied der Kette unterbrochen werden kann: “Auch wenn ein gewisser Schaden bereits entstanden ist, verhindert diese Unterbrechung weiteren potenziellen Schaden. Ein robustes und ausgereiftes Cybersicherheitsprogramm setzt Techniken, Technologien und Ressourcen ein, mit denen potenziell jedes Glied in der Kette durchbrochen werden kann. Diese Haltung bietet maximalen Schutz gegen jeden möglichen Angriff. Wenn das in einem Unternehmen nicht möglich ist, empfiehlt es sich, über die Cyber-Kill-Chain und die Punkte nachzudenken, an denen sie gestoppt werden kann.”

Keizman ist der Ansicht, dass die Bekämpfung von Exploit-Ketten eine koordinierte Anstrengung der Open-Source-Community und den Anbietern kommerzieller Software erfordert: “Open-Source-Softwareentwicklungspraktiken waren und werden in diesem Bereich eine große Hilfe sein. Es gab nie einen besseren Zeitpunkt für die kommerziellen und Open-Source-Softwareentwicklungslager, um ihre Kräfte zu bündeln.”

Mit Blick auf den CISO, plädiert Keizman für eine ganzheitliche, risikobasierte Implementierung von Cyberhygiene, statt jede Schwachstelle blindlings zu beheben, sobald sie auftritt: “Unternehmen, die keine Strategie in Sachen Vulnerability Management vorweisen können, die auf ihren Geschäftsanforderungen fußt, werden das Spiel verlieren.”

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.