Schwachstelle erzwingt Hardware-Austausch

In vielen Fällen ist eine solche Verzögerung ärgerlich, in einigen wenigen Fällen sogar gefährlich. Immer wieder kommt es vor, dass Sicherheitslücken schon ausgenutzt werden, bevor oder kurz nachdem offizielle Patches verfügbar sind. Der bekannteste Fall der letzten Zeit war die Proxylogon-Lücke in Microsoft Exchange. Andererseits ist man sich auch nicht immer sicher, ob man selbst betroffen ist, siehe „log4j“.

In diesem Standpunkt möchte ich ein „Best-of“ der ungünstigsten Konstellationen von Sicherheitslücken, Patches und deren Installation darstellen, also vielleicht doch eher ein „Worst-of“.

Wenn der Patch zu spät eingespielt wird

Ein besonders prominentes Beispiel, bei dem die Patches erst spät oder gar nicht installiert wurden, war eine Sicherheitslücke im Citrix ADC, auch bekannt als „Shitrix“. Der Patch war zwar sehr schnell verfügbar, doch verging häufig eine Menge Zeit, bis die Patches eingespielt wurden. Das Gefährliche: Ein Citrix ADC ist in vielen Umgebungen von außen erreichbar, was eigentlich auch der Sinn des Ganzen ist: Schließlich soll der ADC vor Angriffen schützen. Gibt es hier eine (ausreichend schwere) Sicherheitslücke, sind diese Systeme einfach erreichbar und zu übernehmen. Genau das war in vielen Fällen passiert: Cyberkriminelle hatten die Systeme übernommen, bevor die Patches eingespielt waren. Und je nach Vorgehen überstand eine eventuell installierte Hintertür auch das Einspielen der Patches. Doch war es möglich, die Malware zu entfernen und den ADC weiterzuverwenden.

Wenn der Patch spät kommt

Die Proxylogon-Lücke in Exchange 2021 war ein Beispiel, in dem der Patch für die Sicherheitslücke erst verfügbar war, als schon Angriffe stattfanden. Glücklicherweise gab es einen vergleichsweise einfachen Workaround, der das Problem schnell und vollständig beheben konnte: Das Web-Frontend konnte schlichtweg abgeschaltet werden. Der negative Aspekt: Es gab einen erheblichen Komfort-Verlust für die Nutzer, da die E-Mails im Browser nicht „mal eben schnell“ abgerufen werden konnten. Trotz allem war es Cyberkriminellen möglich, eine große Anzahl von Exchange-Servern zu übernehmen. All diese Server von Malware zu befreien bzw. in vielen Fällen sogar aus einem – nicht verseuchten – Backup wiederherzustellen hat viel Aufwand erzeugt. Doch auch hier war es so, dass die zugrunde liegenden Systeme prinzipiell weitergenutzt werden konnten. Eine interessante Auswirkung dieser Lücke hatte ich schon Ende 2020 erwähnt [1]: Microsoft hat den Exchange Emergency Mitigation Service eingeführt. Damit hat Microsoft im Falle einer häufig ausgenutzten Schwachstelle die Möglichkeit, Sicherheitsmechanismen zu aktivieren und anfällige Komponenten in Exchange zu deaktivieren, ohne dass der jeweilige Administrator selbst tätig werden muss. Die Vor- und Nachteile hatte ich im damaligen Artikel ebenfalls angesprochen.

Wenn man nicht weiß, ob man betroffen ist

Log4j wiederum war ein klassisches Beispiel einer Sicherheitslücke in einer Komponente, deren Verbreitungsgrad sich nur schwer abschätzen ließ. Es handelte sich um eine kleine, sehr nützliche Bibliothek, die von vielen Entwicklern genutzt wurde. Manchmal wurden auch Bibliotheken verwendet, die wiederum log4j genutzt haben. Hinzu kam, dass manche betroffene Software auch noch jahrelang in Gebrauch war und ist, deren Hersteller nicht mehr existieren. Der Patch an sich war also schnell verfügbar, doch wie verbreitet die eigentliche Sicherheitslücke war, war nur schwer abzusehen.

Wenn der Patch auch nicht mehr hilft

Aktuell gibt es allerdings einen noch viel extremeren Fall. Barracuda hat eine Warnmeldung [2] veröffentlicht, nach der die betroffenen Appliances des Herstellers vollständig ausgetauscht werden sollten. Das ist eine ganz neue Dimension. Insbesondere, da es sich bei den betroffenen Appliances selbst um Sicherheitskomponenten handelt. Die Angriffsfläche ist vergleichbar mit der oben genannten Shitrix-Lücke.

Ganz besonders unangenehm: Ein Patch gegen die eigentliche Lücke war schnell verfügbar. Und dieser wurde auch von vielen Nutzern der Appliances eingespielt. Doch ausgenutzt wurde die Lücke schon vorher, und Barracuda ist nach einer genaueren Analyse zu dem Schluss gekommen, dass selbst nach Einspielen des Patches nicht ausgeschlossen werden kann, dass die Appliance dauerhaft kompromittiert ist. Auch das wird viel zusätzlichen Arbeitsaufwand verursachen.

Fazit

Sicherheitslücken in Software sind niemals schön und das Einspielen der Patches ist nicht immer einfach. Doch kennen wir das alle schon länger. Es gibt jedoch immer wieder prominente Beispiele, bei denen es zu einer sehr ungünstigen Kombination insbesondere aus den folgenden Punkten kommt:

• Exponiertheit der Systeme → Wie schnell erfolgt ein Angriff?
• Verfügbarkeit von Patches → Wie schnell kann theoretisch ein Patch installiert werden?
• Kritikalität der Systeme → Wie intensiv müssen Patches getestet werden?

Werden wir irgendwann nicht mehr mit dieser Problematik konfrontiert sein? Definitiv nicht. Sicherheitslücken werden immer wieder auftreten. Und solange das der Fall ist, werden wir uns die oben genannten Fragen stellen müssen.

Glücklicherweise sind die dargestellten „Worst-of“-Fälle relativ selten, doch werden sie auch weiterhin immer wieder auftreten.

Verweise

[1] M. Ermes, „Exchange Emergency Mitigation Service – Microsofts Fernsteuerung für Exchange“, Netzwerk Insider, November 2021
[2] Barracuda, “Barracuda Email Security Gateway Appliance (ESG) Vulnerability”, https://www.barracuda.com/company/legal/esg-vulnerability, Juni 2023