[datensicherheit.de, 01.01.2026] Paul Laudanski, „Director Security Research“ bei Onapsis, erwartet von 2026, dass es „ein entscheidendes Jahr für die Cybersicherheit“ wird: „Während Unternehmen ihre digitalen Geschäftsmodelle weiter ausbauen, professionalisieren Angreifer ihre Methoden in rasantem Tempo. Neue ,Zero-Days’, KI-gestützte Angriffstechniken und die wachsende Abhängigkeit von vernetzten Anwendungen setzen IT- und Führungsteams gleichermaßen unter Druck.“ In seiner aktuellen Stellungnahme kommentiert er die wichtigsten Entwicklungen und beschreibt, welche Trends das neue Jahr bestimmen werden – und worauf sich Unternehmen jetzt vorbereiten sollten.

ERP-Security: Klassische IT-Sicherheitsmaßnahmen nicht mehr ausreichend

„Das Jahr 2025 hat gezeigt, wie massiv sich die Bedrohungslage für geschäftskritische Anwendungen verändert hat. Die Exploit-Welle rund um ,CVE-2025-31324‘ hat verdeutlicht, wie schnell Zero-Day-Angriffe auf ERP-Systeme eskalieren können und wie lange Risiken bestehen bleiben, selbst wenn Patches bereits verfügbar sind.“

• Cyberangriffe auf ERP-„Landschaften“ werden demnach zunehmend automatisiert, arbeitsteilig, technisch raffinierter – und damit schneller und gezielter: Ein Trend, welcher sich 2026 weiter verstärken werde. „Hier reichen klassische Sicherheitsmaßnahmen nicht mehr aus!“, betont Laudanski.

Er führt weiter aus: „Mehr noch: Unternehmen mussten erkennen, dass Patching allein nicht genügt. Ohne kontinuierliches Monitoring, Konfigurationskontrollen und ,Threat Detection’ bleiben selbst gepatchte Systeme angreifbar!“

Geschäftskritische IT-Applikationen als Herz eines Unternehmens

„,CVE-2025-31324′ war ein Weckruf: Angreifer verstehen ERP inzwischen oft besser als jene, die es schützen sollen. 2026 werden wir mehr ,Zero-Days’, mehr automatisierte Exploit-Chains und mehr Angriffe auf Integrationen zwischen ERP-, CRM- und HR-Systemen sehen.“

• Geschäftskritische Applikationen seien das Herz eines Unternehmens. „Wer sie angreift, greift das gesamte Unternehmen an!“ Deshalb müssten IT-Security und Business endlich zusammenarbeiten und die IT-Sicherheit als Grundbestandteil des Betriebsmodells verstehen – und eben nicht nur als spätere Ergänzung.

Parallel verändere Künstliche Intelligenz (KI) die Cyberlandschaft fundamental: Sie verschiebe die Balance zwischen Angriff und Verteidigung weiter zugunsten der Angreifer. „Ihre Angriffe werden adaptiver, realitätsnäher und schwerer zu erkennen, in dem sie KI beispielsweise nutzen, um Anwendungen systematisch auf Schwachstellen zu prüfen oder komplexe ,Zero-Days’ schneller ,zusammenzusetzen’.“ Damit steige auch die Geschwindigkeit, mit der kritische Schwachstellen entdeckt und ausgenutzt würden.

2026 als Aufbruch – Früherkennung von Angriffen auf IT erforderlich

Gleichzeitig biete KI aber auch enormes Potenzial auf der Seite der Verteidiger: „Automatisiertes Monitoring, Verhaltensanalysen und proaktive Vorhersagen entlasten Teams, die unter Personalmangel leiden und immer kürzere Reaktionszeiten bewältigen müssen.“

• 2026 werde sich entscheiden, wie schnell Unternehmen diese Technologien nicht nur einführen, sondern auch verantwortungsvoll verankern.

Laudanski unterstreicht: „Wir stehen an einem Wendepunkt: KI gibt Angreifern neue Werkzeuge – aber sie gibt auch den Verteidigern eine neue Chance. 2026 wird das Jahr, in dem Cybersicherheit noch mehr von reaktiver Verteidigung zu intelligenter Vorhersage übergehen muss, um mit den Angreifern Schritt zu halten. Unternehmen, die KI sinnvoll und an den richtigen Stellen nutzen, können Angriffe erkennen, bevor sie richtig beginnen.“

Führungsfrage: Sicherheitskultur auch für die IT beginnt in der Unternehmensführung

Viele Unternehmen unterschätzten noch immer die eigene Verwundbarkeit – oder sie scheuten notwendige Veränderungen, weil Strukturen, Verantwortlichkeiten oder Budgets fehlten. Das Jahr 2026 fordere daher einen deutlichen Wandel hin zu einer aktiveren Sicherheitskultur.

• „Cybersecurity darf nicht länger als nachgelagerte Aufgabe betrachtet werden, sondern muss integraler Bestandteil der Unternehmensführung werden – mit klaren Zuständigkeiten, verbindlichen Standards und einer Kultur, die Sicherheit aktiv lebt!“

Auch regulatorisch steige der Druck, insbesondere durch EU-weite Vorgaben wie NIS-2 oder DORA, welche eine deutlich klarere Zuweisung von Verantwortlichkeiten verlangten. „Zwar wird derzeit (noch) nicht über eine persönliche Haftung von Entscheidern wie in manchen US-Debatten gesprochen, doch die Anforderungen an ,Governance’, Risikoanalyse und Nachweisfähigkeit nehmen spürbar zu.“

Mehr als bloße technische Disziplin: IT-Sicherheit als Führungsaufgabe zu verankern

Unternehmen müssten sich darauf einstellen, Sicherheit als Führungsaufgabe zu verankern und nicht als technische Disziplin. „Viele Unternehmen behandeln Security noch immer wie ein lästiges To-Do. Das muss dringend enden!“

• Damit werde Cybersecurity zum Führungsprinzip: „Die Unternehmen, die 2026 erfolgreich sind, kombinieren starke Technologien mit klaren Prozessen und echter Verantwortung.“

Unternehmen müssten ihre Sicherheitsstrategien neu ausrichten – technologisch wie organisatorisch. Laudanski gibt zu Beginn des neuen Jahres 2026 zu bedenken: „Wer jetzt handelt, schafft die Grundlage für resiliente Geschäftsprozesse und nachhaltiges Wachstum. Unternehmen, die Transparenz, Automatisierung und Verantwortlichkeit kombinieren, werden 2026 zu den Gewinnern gehören. Sicherheit ist längst kein Kostenfaktor mehr, sondern ein strategischer Vorteil!“

Weitere Informationen zum Thema:

ONAPSIS
The Leading SAP Cybersecurity Solution / Simple. Complete. SAP Endorsed.

ONAPSIS, JP Perez-Etchegoyen & Pablo Artuso, 27.08.2025
Threat Actors Exploiting CVE-2025-31324 After Public Release of Exploit by ShinyHunters

SafetyDetectives, Shauli Zacks, 12.12.2024
Interview With Paul Laudanski – Director of Security Research at Onapsis

datensicherheit.de, 18.07.2024
Cyber-Sicherheit: Führungskräfte noch nicht auf Regularien vorbereitet / Kaspersky erinnert an aktuelle Cyber-Herausforderungen für Entscheider

datensicherheit.de, 22.06.2024
Cyber-Sicherheit – für die Führungsriege oft unentdecktes Land / Aktuelle Kaspersky-Studie weist auf dringenden Nachholbedarf der Führungsebene hinsichtlich des Managements der Cyber-Sicherheit hin

datensicherheit.de, 08.09.2019
Cybersecurity ist bei fast 50 Prozent der globalen Unternehmen Chefsache / Führungskräfte sind entscheidend bei der Entwicklung von Cybersecurity-Programmen / Zwei Drittel aller Unternehmen haben Probleme, Security in die IT-Architektur zu integrieren

[datensicherheit.de, 04.11.2025] Kaspersky meldet, dass ein aktuelles eigenes Security-Audit aufzeigt, wie Angreifer durch die Ausnutzung einer „Zero Day“-Schwachstelle in einer Anwendung eines Auftragnehmers die vollständige Kontrolle über das Telematiksystem eines Fahrzeugs hätten erlangen können – „inklusive potenzieller Manipulation sicherheitsrelevanter Funktionen wie Gangwechsel oder Motorabschaltung“. Diese Untersuchung offenbart demnach schwerwiegende Schwachstellen sowohl in der Infrastruktur des Herstellers als auch im vernetzten Fahrzeug selbst und verdeutlicht den dringenden Handlungsbedarf der Automobilindustrie, Cybersicherheits-Maßnahmen zu stärken und Drittsysteme besser abzusichern. Die Ergebnisse dieses Audits seien auf dem diesjährigen „Security Analyst Summit“ (SAS) vorgestellt worden.

Kontrolle über das Telematik-System des Fahrzeuges

Durch die Ausnutzung einer „Zero Day“-Schwachstelle in einer öffentlich zugänglichen Anwendung eines Auftragnehmers sei es Kaspersky-Experten gelungen, die Kontrolle über das Telematik-System des Fahrzeuges zu erlangen.

• Damit hätten Angreifer beispielsweise während der Fahrt Gangwechsel erzwingen oder den Motor abstellen können, was die Sicherheit von Fahrern und Beifahrern gefährden würde.

Das Audit verdeutliche gravierende Cybersicherheitsrisiken in der Automobilindustrie und unterstreicht die dringende Notwendigkeit, Schutzmaßnahmen deutlich zu verstärken.

Telematik ermöglicht Erfassung, Übertragung, Analyse und Nutzung zahlreicher Daten

„Das Security-Audit wurde remote durchgeführt und umfasste sowohl die öffentlich zugänglichen Dienste des Herstellers als auch die Infrastruktur des Auftragnehmers.“ Dabei hätten die Kaspersky-Experten mehrere ungeschützte Web-Dienste identifiziert. „Über eine bislang unbekannte SQL-Injection-Schwachstelle in der Wiki-Anwendung – einer webbasierten Plattform zur gemeinsamen Erstellung und Verwaltung von Inhalten – gelang es ihnen, eine Liste von Nutzerkonten des Auftragnehmers inklusive Passwort-Hashes zu extrahieren.“

• Aufgrund schwacher Passwortrichtlinien hätten einige dieser Passwörter erraten werden können. „Dadurch erhielten die Experten Zugriff auf das Issue-Tracking-System des Auftragnehmers, ein Tool zur Verwaltung und Nachverfolgung von Aufgaben, Fehlern und Projekten.“ Dieses System habe sensible Konfigurationsdaten der Telematik-Infrastruktur des Herstellers enthalten – „darunter eine Datei mit gehashten Passwörtern von Nutzern eines Fahrzeugtelematik-Servers“.

In modernen Fahrzeugen ermögliche Telematik die Erfassung, Übertragung, Analyse und Nutzung zahlreicher Daten – etwa zu Geschwindigkeit oder Geolokalisierung – und bilde somit eine zentrale Schnittstelle für vernetzte Fahrzeugsysteme.

Schwachstellen: Modifizierte Firmware könnte auf Telematik-Steuergerät (TCU) hochladen werden

Auf der Seite des vernetzten Fahrzeugs hätten die Kaspersky-Experten eine falsch konfigurierte Firewall entdeckt, „die interne Server ungeschützt ließ“. Mithilfe eines zuvor erlangten Servicekonto-Passworts hätten sie Zugriff auf das Dateisystem des Servers erhalten und dort die Zugangsdaten eines weiteren Auftragnehmers gefunden. Dadurch sei es ihnen gelungen, die volle Kontrolle über die Telematik-Infrastruktur zu übernehmen.

• „Im Zuge des Audits stießen sie zudem auf einen Firmware-Update-Befehl, mit dem sich modifizierte Firmware auf das Telematik-Steuergerät (TCU) hochladen ließ.“ So hätten sie Zugriff auf den CAN-Bus (Controller Area Network) des Fahrzeugs erhalten – das zentrale Kommunikationssystem, welches verschiedene Komponenten wie Motorsteuerung und Sensoren miteinander verbinde.

„Anschließend konnten weitere Systeme, darunter die Motorsteuerung, angesprochen werden.“ Dies hätte potenziell die Manipulation zahlreicher sicherheitsrelevanter Fahrzeugfunktionen ermöglicht und die Sicherheit von Fahrer und Beifahrer ernsthaft gefährdet.

Bedrohung der Telematik durch Sicherheitslücken auf Basis in der Automobilindustrie weit verbreiteter Probleme

„Die Sicherheitslücken resultieren aus Problemen, die in der Automobilindustrie weit verbreitet sind: Öffentlich zugängliche Webdienste, schwache Passwörter, fehlende Zwei-Faktor-Authentifizierung und unverschlüsselte Speicherung sensibler Daten“, kommentiert Artem Zinenko, „Head of Kaspersky ICS CERT Vulnerability Research and Assessment“.

• Er warnt: „Das Audit zeigt, wie bereits eine einzelne Schwachstelle in der Infrastruktur eines Auftragnehmers zu einer vollständigen Kompromittierung sämtlicher vernetzter Fahrzeuge führen kann!“

Die Automobilindustrie müsse robuste Cybersicherheitspraktiken priorisieren – insbesondere in Systemen von Drittanbietern –, um Fahrer zu schützen und das Vertrauen in vernetzte Fahrzeugtechnologien zu bewahren.

Kaspersky gibt Empfehlungen zur Absicherung von Telematik-„Ökosystemen“

Für Dienstleister:

1. Den Internetzugriff auf Webdienste ausschließlich über ein VPN erlauben!
2. Dienste von Unternehmensnetzen isolieren, um ungewollten Zugriff zu verhindern!
3. Strikte Passwortrichtlinien durchsetzen, eine Zwei-Faktor-Authentifizierung (2FA) implementieren und sensible Daten verschlüsseln!
4. Logging in ein SIEM (Security Information and Event Management) integrieren, um sicherheitsrelevante Ereignisse in Echtzeit zu überwachen!

Für Hersteller:

1. Den Zugriff auf die Telematik-Plattform aus dem Fahrzeugnetzsegment beschränken!
2. Positivlisten für Netzwerkinteraktionen verwenden, um nur autorisierte Verbindungen zuzulassen!
3. Die Passwort-Authentifizierung bei „Secure Shell“ deaktivieren und Dienste mit minimalen Rechten betreiben!
4. Die Befehlsauthentizität in Telematik-Steuereinheiten sicherstellen und diese Maßnahmen mit der Integration in ein SIEM kombinieren!

Weitere Informationen zum Thema:

kaspersky
Cyberimmunität ist unser erklärtes Ziel / Wir sind ein Team von über 5.000 Fachleuten mit einer über 25-jährigen Erfolgsgeschichte im Schutz von Privatpersonen und Unternehmen weltweit und haben uns die weltweite Cyberimmunität als ultimatives Ziel gesetzt.

Linkedin
Artem Zinenko – Senior Software Engineer

[SAS25]
Kaspersky SecurityAnalyst summit / Khao Lak, Thailand 26-29 October 2025

datensicherheit.de, 07.09.2025
Autonomes Fahren Made in Germany – Deutschland könnte Vorreiter bei hochautomatisierten Fahrzeugen werden / TÜV Rheinland sieht deutsche Automobilindustrie insbesondere bei Sicherheit und Zuverlässigkeit Autonomer Fahrzeuge in aussichtsreicher Startposition

datensicherheit.de, 10.06.2025
SIEM: Ingenieure sollten Cyberbedrohungen stets einen Schritt voraus sein / In der heutigen „hypervernetzten Welt“ sind nun auch Ingenieurbüros zu lukrativen Zielen geworden – die jüngsten Angriffe auf Unternehmen wie IMI und Smiths Group sollten als Warnung verstanden werden

datensicherheit.de, 15.06.2022
Autonome Fahrzeuge: Höhere Sicherheit von der KI als von menschlichen Fahrern gefordert / Der TÜV-Verband e.V. zu seiner Verbraucherstudie 2021 über Sicherheit und KI

[datensicherheit.de, 18.05.2024] Die Kaspersky-Forscher Boris Larin und Mert Degirmenci haben nach eigenen Angaben eine neue Zero-Day-Schwachstelle in „Windows“ mit der Bezeichnung „CVE-2024-30051“ gefunden. Diese Entdeckung wurde demnach im Zuge der Untersuchung der „Windows DWM Core Library Elevation of Privilege“-Schwachstelle („CVE-2023-36033“) Anfang April 2024 gemacht. Ein Patch sei am 14. Mai 2024 im Rahmen des „May Patch Tuesday“ von Microsoft veröffentlicht worden.

Auf VirusTotal aufgetaucht: Hinweis auf potenzielle Windows-Sicherheitslücke

„Am 1. April 2024 erregte ein auf ,VirusTotal’ hochgeladenes Dokument die Aufmerksamkeit der Kaspersky-Forscher. Das Dokument mit einem aussagekräftigen Dateinamen wies auf eine potenzielle Sicherheitslücke im ,Windows’-Betriebssystem hin.“ Trotz gebrochenen Englischs und der fehlenden Details (wie die Schwachstelle ausgelöst werden kann), habe das Dokument einen Exploit-Prozess beschrieben, der jenem vom Zero-Day-Exploit für „CVE-2023-36033“ geglichen habe, obwohl sich diese Schwachstellen voneinander unterschieden.

Das Team habe vermutete, die Sicherheitslücke sei entweder erfunden oder nicht ausnutzbar; trotzdem habe es seine Untersuchung fortgesetzt. „Eine schnelle Überprüfung ergab jedoch, dass es sich tatsächlich um eine Zero-Day-Schwachstelle handelt, die zu einer Ausweitung der Systemprivilegien führen kann.“

Kaspersky habe seine Erkenntnisse umgehend an Microsoft gemeldet – anschließend sei die Schwachstelle verifiziert und als „CVE-2024-30051“ bezeichnet worden.

Global Research & Analysis Team untersuchte Zero-Day-Schwachstelle in Windows

Nach dieser Meldung hätten die Kaspersky-Experten begonnen, „die Exploits und Angriffe, die diese Zero-Day-Schwachstelle nutzen, näher unter die Lupe zu nehmen“. Mitte April 2024 habe das Team einen Exploit für „CVE-2024-30051“ entdeckt und seine Verwendung in Verbindung mit „QakBot“ sowie anderer Malware beobachtet. Dies deute darauf hin, dass mehrere Bedrohungsakteure Zugriff auf diesen Exploit hätten.

„Wir fanden das Dokument auf ,VirusTotal’ aufgrund seines aussagekräftigen Charakters sehr interessant und haben es deshalb näher untersucht. So konnten wir diese kritische Zero-Day-Schwachstelle entdecken“, berichtet Boris Larin, „Principal Security Researcher“ im „Global Research & Analysis Team“ (GReAT) bei Kaspersky.

Er kommentiert: „Die Geschwindigkeit, mit der Bedrohungsakteure diesen Exploit in ihr Arsenal integrieren, unterstreicht wie wichtig es ist, rechtzeitig Updates vorzunehmen und insgesamt immer wachsam zu bleiben, was die Cyber-Sicherheit betrifft.“

Nutzer sollten nun ihre Windows-Systeme aktualisieren

Kaspersky plane, technische Details zu „CVE-2024-30051“ zu veröffentlichen, „sobald genügend Zeit vergangen ist, damit die meisten Nutzer ihre ,Windows’-Systeme aktualisieren konnten“. Kaspersky habe sich bei Microsoft für die „prompte Analyse und Veröffentlichung von Patches“ bedankt.

Die Kaspersky-Produkte seien aktualisiert worden, um die Ausnutzung von „CVE-2024-30051“ und damit verbundener Malware mit den folgenden Ergebnissen zu erkennen:

• „PDM:Exploit.Win32.Generic“
• „PDM:Trojan.Win32.Generic“
• „UDS:DangerousObject.Multi.Generic“
• „Trojan.Win32.Agent.gen“
• „Trojan.Win32.CobaltStrike.gen“

Kaspersky verfolge den fortschrittlichen Banking-Trojaner „QakBot“ seit seiner Entdeckung im Jahr 2007. Ursprünglich für den Diebstahl von Bankdaten konzipiert, habe sich „QakBot“ erheblich weiterentwickelt und neue Funktionen erworben, wie E-Mail-Diebstahl, Keylogging und die Fähigkeit, sich selbst zu verbreiten sowie Ransomware zu installieren. Diese Malware sei für ihre häufigen Updates und Verbesserungen bekannt – dies mache sie zu einer ständigen Bedrohung in der Cyber-Sicherheitslandschaft. In den vergangenen Jahren sei beobachtet worden, dass „QakBot“ andere Botnets, wie beispielsweise „Emotet“, für die Verbreitung nutze.

Weitere Informationen zum Thema:

SECURELIST by Kaspersky, 14.05.2024
QakBot attacks with Windows zero-day (CVE-2024-30051)

NIST, 25.04.2024
National Vulnerability Database: CVE-2024-30551 Detail

NIST, 25.04.2024
National Vulnerability Database: CVE-2023-36033 Detail

MICROSOFT, 14.04.2024
Windows DWM Core Library Elevation of Privilege Vulnerability / CVE-2024-30051 / Security Vulnerability

[datensicherheit.de, 25.07.2022] Am 22. Juli 2022 wurden mehrere Meldungen veröffentlicht, wonach eine sogenannte Zero-Day-Schwachstelle in „Google Chrome“ (und möglicherweise auch „Edge“ und „Safari“), ausgenutzt werden kann – und konkret auch wurde, um Journalisten im Nahen Osten anzugreifen. Das Sicherheitsunternehmen Avast habe diese Schwachstelle mit „Candiru“ in Verbindung gebracht. „Candiru“ habe in der Vergangenheit bereits zuvor unbekannte Schwachstellen ausgenutzt, um eine „Windows“-Malware namens „DevilsTongue“ zu installieren.

Schwachstelle über verschlüsselten Kanal gezielt an Rechner des Opfers übertragen

Mithilfe einer „Watering Hole“-Technik werde ein Profil des Browsers des Opfers erstellt, welches unter anderem Details wie Sprache, Zeitzone, Bildschirminformationen, Gerätetyp, Browser-Plugins, Referrer und Gerätespeicher enthalte.
Avast habe festgestellt, dass diese Informationen gesammelt worden seien, „um sicherzustellen, dass der ,Exploit‘ nur an die beabsichtigten Ziele übermittelt wird“.
Sollten die gesammelten Daten von den Hackern als wertvoll erachtet werden, werde der „Zero-Day Exploit“ über einen verschlüsselten Kanal an den Rechner des Opfers übertragen.

Entdeckte Schwachstellen definitiv ernstzunehmen

James Sebree, „Senior Staff Research Engineer“ bei Tenable, geht in seinem aktuellen Kommentar auf diese neuen Schwachstellen ein:
„Die hier entdeckten Schwachstellen sind definitiv ernstzunehmen, vor allem, weil sie so weitreichend sind, was die Anzahl der betroffenen Produkte angeht.“ Betroffen seien die meisten modernen Desktop-Browser, mobile Browser und alle anderen Produkte, „die anfällige WebRTC-Komponenten verwenden“.
Sebree warnt: „Bei erfolgreicher Ausnutzung könnte ein Angreifer seinen eigenen Schadcode auf dem Computer eines bestimmten Opfers ausführen und Malware installieren, das Opfer ausspionieren, Informationen stehlen oder eine beliebige andere kriminelle Aktion ausführen.“

Angriffe auf Basis dieser Schwachstelle offensichtlich sehr gezielt

Es sei jedoch „unwahrscheinlich, dass wir allgemeine oder öffentliche ,Exploits‘ für diese Schwachstelle sehen werden“.
Bei der Hauptschwachstelle „CVE-2022-2294“ handele es sich um einen „Heap Overflow“, welcher aufgrund der Sicherheitsfunktionen der meisten modernen Betriebssysteme in der Regel nur schwer ausgenutzt werden könne.
Alle Angriffe, welche diese Schwachstelle ausnutzen, seien offensichtlich sehr gezielt. Sebrees Fazit: „Es ist zwar unwahrscheinlich, dass es zu allgemeinen Angriffen kommt, die diese Schwachstelle ausnutzen, aber die Wahrscheinlichkeit ist nicht gleich null, und Unternehmen müssen entsprechende Patches bereitstellen.“

Weitere Informationen zum Thema:

ars TECHNICA, Dan Goodin, 21.07.2022
CANDIRU — 0-day used to infect Chrome users could pose threat to Edge and Safari users, too / After lying low, exploit seller Candiru rears its ugly head once more

DECODED avast.io, Jan Vojtěšek, 21.07.2022
The Return of Candiru: Zero-days in the Middle East

[datensicherheit.de, 13.10.2021] Kaspersky-Experten haben nach eigenen Angaben einen neuen „Zero Day Exploit“ entdeckt: „MysterySnail“ sei im Rahmen der Analyse einer Reihe von Angriffen zur Erhöhung von Berechtigungen auf „Microsoft Windows“-Servern identifiziert worden – zuvor hätten die automatisierten Erkennungstechnologien diese Angriffe erfasst.

Kaspersky entdeckte Angriffe, welche Exploit zur Erhöhung von Berechtigungen auf Microsoft-Windows-Servern verwenden

In der ersten Jahreshälfte 2021 haben Kaspersky-Experten demnach eine Zunahme von „Zero Day“-Angriffen beobachtet. Dabei seien unbekannte Software-Fehler ausgenutzt worden, „die bereits von Angreifern entdeckt wurden, von denen aber der Anbieter noch keine Kenntnis hat“. Dementsprechend stehe kein Patch zur Verfügung und die Wahrscheinlichkeit eines erfolgreichen Angriffs steige.
Die Technologien von Kaspersky hätten eine Reihe von Angriffen erkannt, welche einen „Exploit“ zur Erhöhung von Berechtigungen auf „Microsoft Windows“-Servern verwendet hätten. „Dieser Exploit hatte viele Debug-Strings von einem älteren, öffentlich bekannten Exploit für die Schwachstelle CVE-2016-3309, eine genauere Analyse ergab jedoch, dass es sich um einen neuen Zero Day handelt. Kaspersky-Forscher tauften diesen Aktivitäten-Cluster ,MysterySnail‘.“

Kaspersky-Experten bringen aktuelle Angriffe mit der berüchtigten IronHusky-Gruppe in Verbindung

Aufgrund der entdeckten Code-Ähnlichkeit und der Wiederverwendung der C&C-Infrastruktur (Command-and-Control) brächten die Kaspersky-Experten diese Angriffe mit der berüchtigten „IronHusky“-Gruppe und chinesischsprachigen APT-Aktivitäten aus dem Jahr 2012 in Verbindung.
Bei der Analyse der beim „Zero Day“-Exploit verwendeten Malware-Payload habe Kaspersky herausgefunden, dass Varianten dieser Malware in weit verbreiteten Spionagekampagnen gegen IT-Firmen, Militär- und Verteidigungsunternehmen sowie diplomatische Einrichtungen eingesetzt worden seien. Diese Sicherheitslücke sei Microsoft gemeldet und am 12. Oktober 2021 im Rahmen des Oktober-„Patch Tuesday“ gepatcht worden.

Kaspersky-Hinweis: Bisher unbekannte Schwachstellen der Anbieter potenziell ernsthafte Bedrohung für Unternehmen

„Wir beobachten in den letzten Jahren ein anhaltendes Interesse seitens der Angreifer, neue ,Zero Days‘ zu finden und auszunutzen. Bisher unbekannte Schwachstellen der Anbieter können eine ernsthafte Bedrohung für Unternehmen darstellen. Die meisten von ihnen teilen jedoch ähnliche Verhaltensweisen, so dass es wichtig ist, sich auf die neuesten Bedrohungsinformationen zu verlassen und Sicherheitslösungen zu installieren, die proaktiv unbekannte Bedrohungen entdecken“, erläutert Boris Larin, Sicherheitsexperte im „Global Research and Analysis Team“ (GReAT) bei Kaspersky. Kaspersky-Empfehlungen zum Schutz vor „MysterySnail“:

• Das „Microsoft Windows“-Betriebssystem und andere Software von Drittanbietern umgehend aktualisieren.
• Eine zuverlässige „Endpoint“-Sicherheitslösung wie z.B. „Kaspersky Endpoint Security for Business“ verwenden, auf Exploit-Prävention, Verhaltenserkennung und einer Korrektur-Engine basierend, um schädliche Aktionen rückgängig zu machen.
• Anti-APT- und EDR-Lösungen implementieren, welche Funktionen zur Bedrohungserkennung, -untersuchung und rechtzeitigen Behebung von Vorfällen ermöglichen.
• Das SOC-Team sollte stets Zugriff auf die neuesten Bedrohungsinformationen haben und regelmäßig geschult werden.
• Dedizierte Services wie z.B. „Kaspersky Managed Detection and Response“ könnten dabei helfen, Angriffe frühzeitig zu erkennen und zu stoppen.

Weitere Informationen zum Thema:

SECURELIST by Kaspersky, Boris Larin & Costin Raiu, 12.10.2021
MysterySnail attacks with Windows zero-day

Kaspersky auf YouTube, 01.09.2021
#Kaspersky #GReAT #APTs / What Advanced Threat Actors Got Up to in Q2 2021

GitHub
siberas / CVE-2016-3309_Reloaded

SECURELIST by Kaspersky, GreAT, 12.04.2018
APT Trends report Q1 2018

[datensicherheit.de, 22.07.2021] Tenable warnt nach eigenen Angaben vor einer Zero-Day-Schwachstelle, welche in mehreren Versionen von „Windows 10“ identifiziert worden sei. Darüber sei es möglich, dass ein eigentlich nicht-privilegierter bzw. nicht-autorisierter Benutzer die Registry lesen und sein Berechtigungslevel erhöhen könne, um auf sensible Informationen zuzugreifen. Microsoft hat demnach einen Out-of-Band-Informationshinweis über diese Schwachstelle, aber noch keine Patches veröffentlicht.

Satnam Narang, Staff Research Engineer beim IT-Sicherheitsanbieter Tenable, Foto: Tenable

Satnam Narang: Bestimmte Versionen von Windows 10 betroffen

VSS-Schattenkopie automatisch angelegt, wenn Systemlaufwerk größer 128 GB ist und Windows-Update oder MSI-Datei installiert wird

„Die ,Windows Elevation of Privilege‘-Schwachstelle (CVE-2021-36934), die von IT-Sicherheitsforschern als ,HiveNightmare‘ oder ,SeriousSAM‘ bezeichnet wird, ist ein Zero-Day, der bestimmte Versionen von ,Windows 10‘ betrifft“, erläutert Satnam Narang, „Staff Research Engineer“ bei Tenable, in seinem Kommentar zu dieser akuten IT-Sicherheitslücke.
Diese ermögliche es nicht-autorisierten Benutzern, „sensible Dateien zu lesen, die normalerweise nur für Administratoren zugänglich sind“. Um die Schwachstelle auszunutzen, müsse der „Volume Shadow Copy Service“ (VSS) verfügbar sein. Die Sicherheitsexperten hätten darauf hingewiesen, dass die VSS-Schattenkopie automatisch angelegt werde, „wenn das Systemlaufwerk größer als 128 Gigabyte ist und ein ,Windows‘-Update oder eine MSI-Datei installiert wurde“.

Windows-10-Sicherheitslücke: Schadensbegrenzung vorerst auf Änderung von Zugriffskontrolllisten beschränkt

Nutzer könnten überprüfen, „ob die VSS-Schattenkopien existieren oder nicht“, indem sie einen bestimmten Befehl auf ihren Systemen ausführten. Eine erfolgreiche Ausnutzung dieses Fehlers würde einem lokalen Angreifer die Möglichkeit geben, seine Privilegien zu erhöhen, Passwörter und Schlüssel zu sammeln sowie Zugriff auf ein Account zu erhalten, um einen „Silver Ticket“-Angriff durchzuführen.
Microsoft habe einen Out-of-Band-Informationshinweis zu dieser Sicherheitslücke veröffentlicht – aber noch keine Patches. Narang fasst abschließende zusammen: „Zum jetzigen Zeitpunkt beschränkt sich die Schadensbegrenzung auf die Änderung von Zugriffskontrolllisten, um Benutzer am Lesen bestimmter Dateien zu hindern, und auf das Entfernen von VSS-Schattenkopien vom System. Diese Abhilfemaßnahmen könnten aber bestimmte Funktionen des Systems beeinträchtigen.“

Weitere Informationen zum Thema:

datensicherheit.de, 19.04.2021
Tenable warnt vor weiterer Zero-Day-Schwachstelle in Google Chrome

Microsoft, 21.07.2021
Windows Elevation of Privilege Vulnerability / CVE-2021-36934

[datensicherheit.de, 19.04.2021] Zum zweiten Mal innerhalb einer Woche sei ein Proof-of-Concept-Exploit (PoC Exploit) für eine Zero-Day-Schwachstelle in „Google Chrome“ veröffentlicht worden, meldet Tenable: „Anfang vergangener Woche veröffentlichte ein Forscher einen PoC für eine One-Day-Schwachstelle in der von ,Google Chrome‘ und ,Microsoft Edge (Chromium)‘ verwendeten ,V8 JavaScript‘-Engine.“ Hierzu habe sich Tenable bereits geäußert.

Satnam Narang, Staff Research Engineer beim IT-Sicherheitsanbieter Tenable, Foto: Tenable

Satnam Narang: Beide öffentlich bekannt gemachten Schwachstellen für sich genommen nur von begrenztem Wert

Separate Sicherheitslücke erforderlich, um aus Chrome-Sandbox auszubrechen

„Was diese beiden öffentlich bekannt gemachten Schwachstellen ähnlich macht, ist, dass sie für sich genommen nur von begrenztem Wert sind. In diesem Fall ist eine separate Sicherheitslücke erforderlich, um aus der ,Chrome‘-Sandbox auszubrechen“, erläutert Satnam Narang, „Staff Research Engineer“ in seinem aktuellen Kommentar zum Bekanntwerden einer weiteren Schwachstelle in diesem Kontext.
Auch diese neueste Schwachstelle werde durch die Tatsache abgeschwächt, „dass sie nicht mit einer Schwachstelle gepaart ist, um der Sandbox zu entkommen“. Daher könne ein Angreifer das zugrundeliegende Betriebssystem nicht kompromittieren oder auf vertrauliche Informationen zugreifen, ohne diese Schwachstelle mit einer zweiten Schwachstelle zu kombinieren, um die Sandbox zu umgehen.

Browser wie Chrome und Edge so schnell wie möglich mit Patches versehen!

Sogenannte Zero-Days mögen die meiste Aufmerksamkeit auf sich ziehen – bekannte, aber ungepatchte Schwachstellen ermöglichten jedoch die meisten Sicherheitsverletzungen und würden von fortgeschrittenen Angreifern bevorzugt. Am 15. April 2021 habe die NSA (National Security Agency) gemeinsam mit dem FBI und der CISA (Cybersecurity and Infrastructure Security Agency) ein „Cybersecurity Advisory“ veröffentlicht, in dem eine Reihe von bekannten Schwachstellen aufgezeigt würden, „auf die angeblich russische Auslandsgeheimdienste zurückgreifen“.
Narang führt aus: „Trotz der begrenzten Auswirkungen der öffentlichen Bekanntgabe einer weiteren ,Google Chrome‘-Schwachstelle empfehlen wir Anwendern und Unternehmen weiterhin, ihre Browser wie ,Chrome‘ und ,Edge‘ so schnell wie möglich mit Patches zu versehen.“

Weitere Informationen zum Thema:

Tenable®
Blog

datensicherheit.de, 14.01.2021
Tenable kommentiert erstes Microsoft-Update des Jahres 2021

datensicherheit.de, 14.10.2019
Bösartige Unbekannte: Zero-Day-Angriffe / Unternehmen können mittels eines mehrschichtigen und proaktiven Sicherheitsansatzes Risiken und Folgeschäden deutlich minimieren

[datensicherheit.de, 03.03.2021] Microsoft habe am Abend des 2. März 2021 Notfall-Patches für insgesamt vier bisher ungepatchte Sicherheitslücken in „Microsoft Exchange“ veröffentlicht. Diese Lücken würden derzeit von staatlichen Akteuren aktiv ausgenutzt.

Foto: G DATA

Tim Berghoff: Überstunden für IT-Admins!

Bereitgestellte Updates für Microsoft Exchange unverzüglich installieren!

G DATA warnt aktuell: Vier Zero-Day-Sicherheitslücken in lokal installierten Versionen von „Microsoft Exchange“ ermöglichten sowohl eine Authentisierung ohne Nutzerdaten, das Schreiben und Ausführen von beliebigem Code als auch die Ausleitung von Unternehmensdaten. Angreifer könnten sogar ganze Offline-Adressbücher und Mailboxen exfiltrieren.
Daher rate Microsoft, die bereitgestellten Updates unverzüglich zu installieren: Alle vier Zero-Day-Lücken hätten eine CVE zugewiesen bekommen (CVE-2021-26855,CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065). Betroffen seien lokale Installationen von „Microsoft Exchange“. Die Online-Versionen sind demnach von den Lücken „nach derzeitigen Erkenntnissen nicht betroffen“.

Gruppe „Hafnium“ nutzt Lücken in Microsoft Exchange derzeit aktiv

Es gebe eindeutige Anzeichen dafür, dass eine Gruppierung namens „Hafnium“ diese Lücken derzeit „aktiv nutzt“. Experten zufolge operiere diese Gruppe aus dem asiatischen Raum und im Auftrag einer Regierung.
„Auch wenn Unternehmen vermehrt Chat-Plattformen wie ,MS-Teams‘, ,Slack‘ oder andere nutzen, sind Mailserver nach wie vor das Herzstück vieler Unternehmen. Hier liegen extrem viele unternehmenskritische Daten“, erläutert Tim Berghoff, „Security Evangelist“ bei G DATA.
Notfall-Patches von Microsoft bedeuteten in der Regel vor allem eins: „Überstunden für IT-Admins“. Dass Angreifer die Sicherheitslücke bereits aktiv ausnutzten, zeige, wie wichtig zeitnahes Handeln in diesem Fall sei.

Angreifer geben sich als Microsoft Exchange-Server aus

Angreifer, welche die Lücken ausnutzen, gäben sich – vereinfacht gesagt – als „Exchange“-Server aus. Dadurch sei es möglich, die Zugänge zu kompromittieren, ohne selbst Kenntnis von Passwörtern zu haben. „Damit ist ein direkter Einblick in das Postfach des jeweiligen Nutzers möglich.“ Schon diese Sicherheitslücke allein wäre hochgradig kritisch.
Die übrigen Lücken würden unter anderem dafür genutzt, sogenannten Webshells auf dem Server einzurichten. Über diese könnten Angreifer dann jederzeit von außen auf Informationen zugreifen. Es gelte als gesichert, dass die Gruppierung hinter „Hafnium“ vor allem Forschungseinrichtungen (speziell solche, die in der Erforschung ansteckender Krankheiten aktiv seien), NGOs und Zulieferunternehmen für die Rüstungsindustrie ins Visier nehme.
„APT-Gruppen wie ,Hafnium‘ setzen in der Regel nicht auf kurzfristige und sichtbare Angriffe wie Ransomware – sondern versuchen über Zeit möglichst viele vertrauliche Daten zu sammeln. Fokus der Aktivitäten dürfte also in der Regel Industriespionage sein und nicht die klassische Verwertungskette organisierter Cybercrime-Gangs“, so Berghoff.

Täter haben bereits ganze Postfächer in Form der lokal gespeicherten Archivdatei von Microsoft Exchange ausgeleitet

Da die Täter auch bereits ganze Postfächer in Form der lokal gespeicherten Archivdatei ausgeleitet hätten, könne man die Kritikalität der entdeckten Sicherheitslücken nicht hoch genug bewerten. Es gebe jedoch eindeutige Anzeichen, „anhand derer sich klar erkennen lasse, ob sich derzeit jemand mit Hilfe dieser Kombination aus Zero-Day-Lücken Zugriff auf Unternehmensdaten verschafft hat“.
Eines dieser Anzeichen sei recht typisch für die Ausleitung von Daten. Beispielsweise speicherten die Täter Kopien der lokalen „Outlook“-Datei in einem ZIP-Archiv, welches in „%ProgramData%“ abgelegt werde. Ein regelmäßiger Blick könne sich also an dieser Stelle lohnen.
Typischerweise bereiteten die Täter die Ausleitung von Daten vor, indem sie die erbeuteten Informationen an einer Stelle sammelten und von dort aus dann nach außen sendeten. Im Falle von „Hafnium“ sei ein öffentlicher Online-Filesharing-Dienst namens „Mega“ verwendet wordem. Ein ebenfalls oft beobachtetes Anzeichen für verdächtige Aktivitäten in diesem Zusammenhang: „Prozess-Dumps, die in bestimmten Verzeichnissen wie c:\windows\temp abgelegt sind.“

Hinweise auf Ausnutzung von Microsoft Exchange durch „Hafnium“

Auf der Microsoft-Website sei eine sehr ausführliche Auflistung von Merkmalen und Kenndaten zu finden, die auf eine Ausnutzung durch „Hafnium“ hindeuteten.
Berghoff: „Darunter befinden sich bestimmte Aktivitäten, die sich in Log-Dateien wiederfinden. Ein Beispiel dafür wäre das automatisierte Herunterladen zusätzlicher Werkzeuge aus einem öffentlichen ,Github‘-Repository.“

Weitere Informationen zum Thema:

datensicherheit.de, 14.02.2021
Zerologon: Microsoft schloss kritische Schwachstelle

Microsoft, 02.03.2021
HAFNIUM targeting Exchange Servers with 0-day exploits

[datensicherheit.de, 12.08.2020] Im späten Frühjahr 2020 haben nach eigenen Angaben kasperskys automatisierte Erkennungstechnologien einen gezielten Angriff auf ein südkoreanisches Unternehmen verhindert. Bei der näheren Untersuchung der Attacke hätten kaspersky-Forscher zwei bislang unbekannte Schwachstellen entdeckt: Ein Exploit zur Ausführung von fremdem Code im „Internet Explorer“ und ein „Elevation of Priviliges Exploit“ (EoP) zur Erlangung höherer Zugriffsrechte in aktuellen Versionen von „Windows 10“. Patches für diese beiden Exploits seien bereits veröffentlicht worden. Bei sogenannten Zero-Day-Schwachstellen handele es sich um bislang unbekannte Software-Bugs. Bis zu ihrer Entdeckung könnten Angreifer diese unbemerkt für schädliche Aktivitäten missbrauchen und schweren Schaden anrichten.

Auf zwei Zero-Day-Schwachstellen gestoßen und gezielten Angriff vereitelt

kaspersky-Experten seien bei der Untersuchung eines zielgerichteten Angriffs in Südkorea auf zwei „Zero Day“-Schwachstellen gestoßen. Der erste Exploit für den „Internet Explorer“ vom Typ „Use-After-Free“ sei in der Lage, aus der Ferne (remote) fremden Code auszuführen und sei mit der Bezeichnung „CVE-2020-1380“ versehen worden.
„Da der ,Internet Explorer‘ in einer isolierten Umgebung arbeitet, benötigten die Angreifer jedoch zusätzliche Rechte auf den infizierten Geräten. Diese erhielten sie über einen zweiten Exploit im ,Windows‘-Betriebssystem.“ Dieser Exploit (mit der Bezeichnung „CVE-2020-0986“) habe eine Schwachstelle im Printer-Service ausgenutzt und die Ausführung von beliebigem Code ermöglicht.

Aufdeckung von Zero-Day-Schwachstellen setzt Anbieter und Anwender unter Druck

„Reale Angriffe mit ,Zero-Day‘-Schwachstellen ‚in the wild‘ stoßen in der Cyber-Sicherheit-Szene immer auf großes Interesse“, erläutert kaspersky-Sicherheitsexperte Boris Larin und führt aus: „Werden solche Schwachstellen erfolgreich aufgedeckt, setzt das die Anbieter unter Druck, sofort Patches herauszubringen, und zwingt die Nutzer, alle erforderlichen Updates zu installieren. Was an dem entdeckten Angriff besonders interessant ist, ist, dass es bei den vorherigen Exploits hauptsächlich um die Erlangung höherer Privilegien ging.“
Dieser Fall beinhalte jedoch einen Exploit mit Funktionen zur Remote-Code-Ausführung, was ihn gefährlicher mache. Zusammen mit der Fähigkeit, die neuesten „Windows10“-Builds zu beeinflussen, sei der entdeckte Angriff „heutzutage wirklich eine seltene Sache“. Er sollte uns daran erinnern, in herausragende „Threat Intelligence“ und bewährte Schutztechnologien zu investieren, um die neuesten „Zero-Day“-Bedrohungen aktiv erkennen zu können.

Vermutlich wollte Gruppe DarkHotel Zero-Day-Schwachstellen ausnutzen

Laut kaspersky vermuten die eigenen Experten, „dass eventuell die Gruppe ,DarkHotel‘ hinter dem Angriff stehen könnte, denn es gibt gewisse Ähnlichkeiten des neuen Exploits mit früheren von ,DarkHotel‘ durchgeführten Angriffen.“
Das „Kaspersky Threat Intelligence Portal“ liefere detaillierte Informationen zu den „Indicators of Compromise“ (IoC) dieser Gruppe, inklusive „File Hashes“ und „C&C-Server“. Die kaspersky-Lösungen würden die Exploits als „PDM:Exploit.Win32.Generic“ erkennen.

Patches für Zero-Day-Schwachstellen veröffentlicht

Der Patch für die rechtebezogene Schwachstelle „CVE-2020-0986“ sei am 9. Juni 2020 veröffentlicht worden, einer für die Ausführung von Fremdcode („CVE-2020-1380“) am 11. August 2020. kaspersky gibt nun folgende Sicherheitsempfehlungen:

• Die Microsoft-Patches sollten so schnell wie möglich installiert werden, da Angreifer diese entdeckten Schwachstellen danach nicht mehr ausnutzen könnten.
• SOC-Teams sollten Zugriff auf aktuelle „Threat Intelligence“ haben. Das „Kaspersky Threat Intelligence Portal“ könne als zentrale Anlaufstelle dienen. Es liefere umfangreiche Daten zu Cyber-Angriffen und Erkenntnisse, welche kaspersky im Lauf von mehr als 20 Jahren angesammelt habe.
• EDR-Lösungen (wie z.B. „Kaspersky Endpoint Detection and Response“) könnten bei der Erkennung, Untersuchung und schnellen Beseitigung von Vorfällen an Endpoints helfen.
• Darüber hinaus sollten Unternehmen Sicherheitslösungen einsetzen, welche komplexe Gefahren bereits in frühen Stadien auf Netzwerk-Ebene erkennen (wie z.B. „Kaspersky Anti Targeted Attack Platform“).

Weitere Informationen zum Thema:

kaspersky, Boris Larin, 12.08.2020
Research / Internet Explorer and Windows zero-day exploits used in Operation PowerFall

kaspersky
Securelist Archive / Search Results for: darkhotel

BrightTalk, 21.02.2019
Three Windows zero-days in three months: how we found them in the wild

datensicherheit.de, 13.07.2019
Windows Zero-Day-Exploit: Buhtrap-Gruppe als Angreifer identifiziert

[datensicherheit.de, 14.10.2019] Christoph M. Kumpa, „Director DACH & EE“ bei Digital Guardian, geht in seiner aktuellen Stellungnahme auf sogenannte Zero-Day-Schwachstellen und entsprechende Exploit-Kits ein – diese seien „äußerst wertvoll auf dem Schwarzmarkt“. Kumpa warnt: „Cyber-Kriminelle, die etwa an staatlicher oder Industriespionage beteiligt sind, nutzen diese Schwachstellen als Einfallstor, um hochentwickelte Angriffe durchzuführen oder sensible Daten zu stehlen.“ Software-Schwachstellen und die damit verbundenen Zero-Day-Attacken werden laut Kumpa „auch zukünftig eine unvermeidbare Bedrohung bleiben“. Jedoch könnten Unternehmen durch einen mehrschichtigen und proaktiven Sicherheitsansatz die Risiken und Folgeschäden eines Zero-Day-Angriffs deutlich minimieren.

Foto: Dirk Pinnow

Christoph M. Kumpa (Bildmitte) beim Standbesuch bei „datensicherheit.de“ auf der „it-sa 2019“ – im Gespräch mit CI4-Clustersprecher Michael Taube (l.)

Zero-Day-Angriffe nehmen zu – viele Unternehmen schlecht vorbereitet

„Der durchschnittliche Lebenszyklus einer Zero-Day-Sicherheitslücke bis zu ihrem öffentlichen Bekanntwerden beträgt dabei rund sieben Jahre – Exploit-Kits für Angreifer stehen dagegen häufig bereits nach nicht einmal einem Monat zur Verfügung“, so Kumpa, sich auf eine unabhängige Analyse durch Sicherheitsforscher des US-amerikanischen Think-Tanks Rand Corporation stützend.
Obwohl die Anzahl der Zero-Day-Angriffe steige, seien viele Unternehmen schlecht vorbereitet, um sich gegen diese Attacken zu wehren. „Auch, weil klassische Sicherheitstools sich hauptsächlich gegen bekannte Bedrohungen richten.“

Zero-Day-Exploits nutzen -Schwachstellen aus

Kumpa erläutert: „Eine Zero-Day-Schwachstelle ist, einfach ausgedrückt, ein ungepatchtes Softwareproblem, das dem Softwarehersteller oder Antivirenanbietern bisher unbekannt ist. Es stehen daher keine Sicherheitspatches zur Verfügung, um den Fehler zu beheben.“ Zero-Day-Schwachstellen könnten in jeder Art von Software vorhanden sein und träten insbesondere bei Browser- und Betriebssystemsoftware sowie bei weitverbreiteter Software von Unternehmen wie beispielsweise Adobe auf.
Ein Zero-Day-Exploit sei der Code, den Angreifer verwendeten, um eine Zero-Day-Schwachstelle auszunutzen und ein System oder Gerät zu kompromittieren. So könnten Hacker unbemerkt durch die Nutzung des Exploits Zugriff auf Daten oder Netzwerke erhalten oder Malware auf einem Gerät installieren.

Angreifer nutzen Zeitfenster zwischen Entdeckung der Schwachstelle und Veröffentlichung eines Patches

Das Zeitfenster zwischen der Entdeckung einer Zero-Day-Schwachstelle und der Veröffentlichung eines Patches zur Behebung des Fehlers sei eine wertvolle Gelegenheit für Angreifer, die Lücke auszunutzen. „Deswegen werden Zero-Day-Schwachstellen häufig von Cyber-Kriminellen lukrativ auf dem Schwarzmarkt gehandelt. Die Preise für Zero-Day-Schwachstellen und Exploit-Kits sind sehr unterschiedlich, können aber bis zu 5.000 US-Dollar oder mehr einbringen.“ Ein Remote-Exploit für den „Firefox“ beispielsweise erziele Schätzungen zufolge Spitzenpreise von bis zu 200.000 Dollar, ein fortschrittlicher Exploit für „Google Chrome“ zwischen 500.000 und einer Million Dollar.
„Natürlich sind auch Schwachstellen, die in mehreren Versionen eines großen Betriebssystems oder einer Software vorhanden sind, wertvoller als solche, die nur in einer einzigen System- oder Softwareversion existieren“, erläutert Kumpa.

Verhaltensbasierte Sicherheitslösungen empfohlen

Unternehmen, die einen proaktiven Sicherheitsansatz verfolgten, seien besser gerüstet, um sich gegen Zero-Day-Angreifer zu verteidigen. Aufgrund ihrer Unbekanntheit umgingen Zero-Day-Exploits den Schutz durch traditionelle Antiviren-Signaturen. Verhaltensbasierte Sicherheitslösungen wie „Endpoint Detection and Response“ (EDR) könnten dagegen einen Zero-Day-Angriffe mithilfe von Heuristiken oder Algorithmen zur Verhaltensüberwachung erkennen:
„Diese Technologien überwachen hierfür Endpunkt- und Netzwerkereignisse und speichern diese Informationen in einer zentralen Datenbank. Mithilfe von Verhaltensanalyse werden die Daten auf Anomalien wie selten auftretende Prozesse, ungewöhnliche oder unbekannte Verbindungen und andere verdächtige Aktivitäten untersucht.“ Dieser Vorgang könne automatisiert werden, wobei Anomalien Warnmeldungen für sofortige Maßnahmen oder weiterführende Untersuchungen auslösten.

Unternehmensinterne Datentransparenz Schlüssel frühzeitiger Erkennung

Kumpa betont: „Unternehmensinterne Datentransparenz für Sicherheitsteams ist ein weiterer Schlüssel zur frühzeitigen Erkennung eines Zero-Day-Angriffs. Durch eine Überwachung aller Datenzugriffe und -aktivitäten auf anomales Verhalten können Unternehmen schnell Sicherheitsverstöße identifizieren und eindämmen, bevor es zum Datendiebstahl kommt.“
„Data Loss Prevention“-Lösungen, die kontextbasierte Klassifikation verwendeten, könnten sensible Geschäftsinformationen, Geistiges Eigentum und personenbezogene Daten sowohl in strukturierter Form in Datenbanken als auch in unstrukturierter Form, beispielsweise Dokumente, Bilder, E-Mails, Audio- oder Video-Daten, klassifizieren. Mithilfe von Richtlinien, Kontrollen und Verschlüsselung ließen sich so sensible Daten sowohl im Ruhezustand, in Bewegung und bei Verwendung vor Diebstahl schützen – „selbst, wenn es Cyber-Kriminellen gelingt, einen Zero-Day-Angriff durchzuführen und das Unternehmen einen Sicherheitsverstoß erleidet“.

Weitere Informationen zum Thema:

datensicherheit.de, 17.09.2019
Advanced Malware: Fünf Best Practices zum Schutz / APT-Attacken dienen Spionage und Datendiebstahl

datensicherheit.de, 28.08.2019
Cyber-Sabotage durch Datenmanipulation / Wenn Kriminelle Daten nicht stehlen, sondern gezielt verändern

datensicherheit.de, 12.06.2019
Sicherheitsfokus direkt auf sensible Unternehmensdaten lenken / 4 grundlegende „Best Practices“ für datenzentrierten Sicherheitsansatz