Kritik am Umgang mit “nicht kritischen” Sicherheitslücken
Im Zuge seines September-Patchdays 2016 hat Microsoft auch eine als CVE-2016-335 bezeichnete Sicherheitslücke geschlossen. Die wurde dem Konzern schon 2015 gemeldet, war aber Kriminellen offenbar schon seit 2014 bekannt. Sicherheitsexperten sehen sie als Beleg für die Tendenz, dass auch nicht als “kritisch” eingestufte Lücken intensiver ausgenutzt werden.
Im Zuge seines letzten, traditionellen Patchdays hat Microsoft vergangene Woche insgesamt 14 Sicherheitslücken geschlossen. Künftig sollen dann so wie bei Windows 7 und Windows 8.1 Sicherheits-Updates sowie anderweitige Aktualisierungen kombiniert als sogenannte Rollup-Updates ausgeliefert werden. Von den zehn zuletzt geschlossenen Schwachstellen stuft Microsoft selbst zehn als kritisch ein. Das heißt, sie können zur Remotecodeausführung ausgenutzt werden.
Besondere Beachtung verdient nach Ansicht ihrer Entdecker, Experten der Security-Anbieter Proofpoint und Trend Micro, aber auch die im Zuge des September-Patchdays 2016 geschlossene, eben nicht als kritisch eingestufte Lücke mit der Kennung CVE-2016-335. Der Bug, auf den sie zurückzuführen ist, wurde bereits 2015 an Microsoft gemeldet. Wie durch Nachforschungen von Proofpoint und Trend Micro herausgekommen ist, scheint er Kriminellen allerdings schon deutlich länger bekannt zu sein, da Angriffe über diese Schwachstelle bereits im Januar 2014 durchgeführt wurden.
In erster Linie verwendeten diese Information die als AdGholas und GooNky bezeichneten Gruppen. Sie nutzen sie für umfangreiche Malvertising-Kampagnen, also die Verbreitung von bösartigem Code oder Links auf bösartige Inhalte mittels Werbung. Diese Werbung kann unter Ausnutzung der Eigenheiten von Online-Werbenetzwerken durchaus auch auf seriösen Seiten platziert werden und ist für Nutzer ausgesprochen schwer zu erkennen.
Beispielsweise versteckte die Gruppe AdGholas seit Mitte 2015 die schädlichen Inhalte mittels Steganografie. Außerdem kommt es immer wieder vor, dass dazu Nutzern bereits bekannte Anzeigenmotive nur leicht modifiziert ausgeliefert werden.
Die Vorteile “unkritischer” Bugs aus Sicht von Angreifern
Die Sicherheitsexperten halten die Schwachstelle CVE-2016-335 auch deshalb für bemerkenswert, da sie ihrer Ansicht nach ein augenfälliges Beispiel dafür ist, dass Angreifer zunehmend auf nicht als kritisch eingestufte Bugs ausweichen. Die haben aus ihrer Sicht den Vorteil, dass sie mitunter monate- oder gar jahrelang nicht behoben werden. Beispielsweise habe die AdGholas-Gruppe einen solchen Bug “gezielt eingesetzt, um eine Erkennung durch Researcher und automatisierte Anbietersysteme zu vermeiden und so unbehelligt eine breit angelegte und langfristige Malvertising-Operation durchführen zu können”, teilt Proofpoint mit.
Daraus leitet das Unternehmen die Forderung ab: “Softwareanbieter können sich nicht länger auf die Behebung besonders eklatanter Schwachstellen beschränken, Unternehmen und Benutzer müssen die Anwendung von Patches anders priorisieren, und Researcher müssen neue Wege finden, um bösartige Aktivitäten aufzudecken.”
Trend Micro, dessen Mitarbeiter an der Untersuchung der Schwachstelle ebenfalls mitgewirkt haben, empfiehlt dafür und insbesondere für Unternehmen schon länger das Konzept des “Virtual Patching”. Das funktioniert auch aber nicht nur bei virtualisierten Umgebungen. Ziel ist es, Unternehem mehr Zeit zu geben, die Auswirkungen von Patches auf ihre Produktivsysteme zu testen beziehungsweise währen der erforderlichen Testphase nicht auf den Schutz gegen die ja schon bekannten und damit auch für Kriminelle und andere Angreifer leicht ausnutzbaren Sicherheitslücken verzichten zu müssen.