2013 - Das Jahr der 0-Day-Exploits
Das Jahr ist bald vorbei, in einer Woche ist Weihnachten, in zwei Wochen ist Sylvester. Wenn nichts dazwischen kommt (also diese Woche nicht zum Beispiel ein weiterer 0-Day-Exploit auftaucht) wird dies der letzte "Standpunkt" für 2013 sein. Da habe ich mich natürlich gefragt, über was ich diese Woche schreibe. Einen Rückblick auf 2013? Dafür ist es zu früh, 2012 kam kurz vor Jahresende noch die 0-Day-Schwachstelle im IE ans Tageslicht, und in diesem an 0-Day-Exploits reichen Jahr könnte so ein verfrühter Rückblick voreilig sein. Außerdem dürfte bei den NSA-Enthüllungen das dicke Ende noch ausstehen, und wer weiß, was da noch kommt? Ein ganz besondere Sylvesterknaller für die Herren mit den schlappen Hüten vielleicht?
Praktischerweise gab es aber letzte Woche Microsofts "0-Day-Patchday", an dem gleich vier bereits für Angriffe ausgenutzte Schwachstellen, also 0-Day-Schwachstellen, behoben wurden. Darunter zwei, die das Einschleusen von Code erlauben. Das Adobe auch eine bereits für Angriffe ausgenutzte Schwachstelle im Flash Player behoben hat, fiel da fast gar nicht ins Gewicht. Aber die 0-Day-Exploits sind dieses Jahr ein gutes Thema.
2013 - Bisher 21 0-Day-Exploits in 50 Wochen
2013 gab es (bisher) 21 0-Day-Schwachstellen in Desktop-Anwendungen, über die aus der Ferne Schadcode eingeschleust wurde. Einige Schwachstellen oder die Angriffe darauf waren vor der Veröffentlichung der Patches bereits allgemein bekannt, oft kam aber auch erst beim Erscheinen des Patches heraus, dass eine Schwachstelle im Rahmen gezielter Angriffe ausgenutzt wurde. So wie zum Beispiel in der vorigen Woche: Die Schwachstelle in Microsoft Graphics war bereits seit Anfang November bekannt, die ebenfalls bereits ausgenutzte Schwachstelle in der WinVerifyTrust-Funktion wurde erst mit der Veröffentlichung der Patches bekannt gemacht. Was ich für ein Spiel mit dem Feuer halte - wer übernimmt die Verantwortung für Angriffe, die durch eine rechtzeitige Information der Allgemeinheit hätten verhindert werden können?
Das Spiel mit dem Feuer
Bei Microsoft scheint die Abwägung, ob eine aktiv ausgenutzte Schwachstelle veröffentlicht wird oder nicht, davon ab zu hängen, wie stark sie ausgenutzt wird und wie wahrscheinlich eine Entdeckung der Angriffe ist. Oder ob Dritte darüber berichten, so dass man gezwungenermaßen zugeben muss, dass es die Schwachstelle samt Angriffen darauf gibt. Jedenfalls ist bei mir dieser Eindruck entstanden. Ob der richtig ist oder nicht weiß ich natürlich nicht, und für diese Geheimhaltung mag es Gründe geben, ich sehe aber eher die gravierenden Nachteile: Es gibt gezielte Angriffe, also erste Opfer. Je eher die Allgemeinheit informiert wird, desto eher können Schutzmaßnahmen ergriffen werden. Was ist mit den Opfern gezielter Angriffe, die erst nach Microsofts Information über diese Angriffe attackiert werden? Hätten sie von den Angriffen gewusst, hätten sie sich schützen können. Zum Beispiel, indem sie notfalls auf das betroffenen Produkt verzichten. Wäre ich so ein Opfer, wäre ich ziemlich sauer auf Microsoft. Von der Gefahr, dass der Exploit in die Hände "normaler" Cyberkrimineller fällt, ganz zu schweigen. Ein 0-Day-Exploit, geschickt für Drive-by-Infektionen platziert, kann sehr schnell sehr viele Opfer finden. Und das, bevor Microsoft überhaupt mitbekommen hat, dass der zuvor für gezielte Angriffe genutzte Exploit im großen Maßstab genutzt wird.
Microsoft ist dabei natürlich nur ein Beispiel, allerdings das nahe liegendste. Aber Adobe verhält sich genauso, ebenso wie anscheinend Ichitaro. Wobei ich letzteres nicht mit letzter Sicherheit sagen kann, da mein japanisch sich auf die Nennung einiger Markennamen beschränkt und ich daher den dortigen Markt für Textverarbeitungen nicht weiter verfolge. Bei den beiden bisher bekannt gewordenen 0-Day-Schwachstellen habe ich die entsprechenden Texte von Symantec aber so interpretiert, als wären die Schwachstellen sowie die Angriffe darauf erst mit der Veröffentlichung der Patches bekannt geworden. Aber kommen wir zurück zum eigentlichen Thema, genauer: Einem möglichen neuen Trend.
Ein 0-Day-Exploit, (mindestens) zwei Angriffe
Die gleichzeitige Nutzung eines 0-Day-Exploits sowohl für gezielte Angriffe als auch zur allgemeinen Verbreitung von Schadsoftware ist sehr ungewöhnlich. Und das hatten wir dieses Jahr mindestens zwei Mal: Die 0-Day-Schwachstelle in Microsoft Graphics und die 0-Day-Schwachstelle CVE-2013-3897 im IE wurden sowohl für gezielte Angriffe als auch zum Verbreiten "normaler" Schadsoftware verwendet. Normalerweise lief das bisher anders ab: Erst gezielte Angriffe, dann, nachdem die Angriffe bekannt waren, Übernahme des Exploits in die Exploit-Kits zur Verbreitung "normaler" Schadsoftware. Oder die 0-Day-Exploits wurden ausschließlich zur Verbreitung "normaler" Schadsoftware genutzt, aber diese Angriffe waren relativ selten.
Wird dieser gleichzeitige Einsatz des Exploits ein neuer Trend? Das wäre unschön, denn wie jeder leicht einsehen wird, sind die allgemeinen Angriffe für die allermeisten von uns sehr viel gefährlicher als die gezielten. Ich bin mir ziemlich sicher, dass ich niemals das Opfer eines gezielten Angriffs werde. Jedenfalls wüsste ich nicht, wer so verrückt sein könnte, mich gezielt anzugreifen, noch dazu mit einem teueren 0-Day-Exploit. Aber einem im Rahmen von Drive-by-Infektionen verteilten 0-Day-Exploit könnte ich durchaus mal über den Weg laufen. Und wenn die 0-Day-Exploits in Zukunft häufiger von Anfang an für Drive-by-Infektionen genutzt werden, wird das surfen im Web deutlich gefährlicher.
Wobei die 0-Day-Exploits zumindest dieses Jahr bei mir nicht weit gekommen wären: Den Adobe Reader hatte ich unter Mac OS X nie installiert, der Flash Player ist vor einigen Jahren schon gelöscht und danach nie wieder installiert worden, der IE läuft unter Mac OS X sowieso nicht, und auch für die anderen 0-Day-Exploits gäbe es hier keinen Lebensraum. Aber ein Großteil von Ihnen dürfte das eine oder andere betroffene Programm installiert haben und wäre damit ein potentielles Opfer einer entsprechenden Drive-by-Infektion. Da bleibt dann nur die wage Hoffnung, dass der Virenscanner den 0-Day-Exploit erkennt.
Unschön, äußerst unschön!
Das Schlusswort
Wie schon oben erwähnt ist dies der letzte "Standpunkt" für dieses Jahr (sofern nicht noch etwas dringendes eine zusätzliche Ausgabe nötig macht). Am kommenden Donnerstag gibt es noch einen Grundlagen-Text, vom 21.12. bis 5.1.2014 mache ich hier im Blog ein Pause. Der nächste reguläre "Standpunkt" erscheint am 6.1.2014, der erste Grundlagentext im neuen Jahr erscheint am 9.1.2014.
Wenn Sie Interesse an einem kostenlosen (englischen) eBook, zum Beispiel mein "HTML5 Security", haben: Developer.Press verschenkt 50 eBooks. Bis zum 7. Januar 2014 können Sie teilnehmen!
Ich wünsche Ihnen ein Frohes Fest, einen guten Rutsch ins neue Jahr und ein erfolgreiches 2014!
Trackbacks