Patches wurden von Microsoft schnell zur Verfügung gestellt, jedoch nicht schnell genug, um alle Lücken zu schließen. Das öffnet Cyberkriminellen Tür und Tor, was diese mit Malware-Kampagnen wie der Ransomware DearCry aktiv ausnutzen.

Das Beispiel DearCry zeigt, dass Cyberkriminelle eine Gelegenheit bestmöglich nutzen, sobald eine Schwachstelle bekannt wird. Einmal installiert, erstellt DearCry nicht nur verschlüsselte Kopien der angegriffenen Dateien und löscht die Originale, sondern ermöglicht es Angreifern auch, Backdoors im Netzwerk zu installieren. Diese können selbst dann noch ausgenutzt werden, wenn die ursprüngliche Sicherheitslücke bereits gepatcht wurde.

Nicht Tage, sondern Stunden

Angriffe, die auf Zero-Day-Schwachstellen basieren, sind von Natur aus schwer zu bekämpfen. Umso wichtiger wird es, das Patchen kritischer Sicherheitslücken schnellstmöglich umzusetzen. Sobald Schwachstellen veröffentlicht werden, dauert es oft nur wenige Stunden, bis kriminelle Hacker sie ausnutzen und ihren Code im Internet bereitstellen. Einige Cyberkriminelle erstellen Malware oder Malware-Code auch gezielt für andere Angreifer, die diese in Web-Shells für Remote-Exploits und eigene Ransomware-Attacken einsetzen können. Dadurch wird Ransomware potenziell noch gefährlicher, weil sie wenig Wissen voraussetzt und ein Angriff Unternehmen komplett lähmen kann. Ein weiterer Faktor, der zu den zunehmenden Angriffen auf Organisationen beiträgt, ist die leichte Verfügbarkeit von Ransomware-as-a-Service-(RaaS)-Angeboten. Dabei ist Ransomware wie DearCry noch nicht einmal eine anspruchsvolle Schadsoftware.

In der Folge der einfachen Verfügbarkeit von Ransomware steigt das Risiko deutlich und die Forderungen von Lösegeldern werden immer gezielter. Dies führt zu einem einträglichen Geschäft für Cyberkriminelle. Heute mag es also DearCry sein. Morgen folgen andere Ransomware-Kampagnen. Nie war das Cybersecurity-Risiko so groß wie heutzutage, da alles in einer umfangreichen digitalen Umgebung miteinander vernetzt ist.

Patches bieten Schutz

Wenn ein Unternehmen also Microsoft-Exchange-Server einsetzt, dann sollte es die für die Sicherheitslücken passenden Patches sofort nach Veröffentlichung installieren und nach Anzeichen einer möglichen Gefährdung suchen. Angriffe sind nur eine Frage der Zeit, und diese ist spätestens seit Bekanntwerden der Schwachstellen knapp. Noch besser wäre es, Patches und Updates zu automatisieren. Die meiste Ransomware würde dann schnell ineffektiv.

Oft haben jedoch die einzelnen Benutzer administrative Rechte auf ihrem System, um die Belastung und die Kosten für das Management und die IT-Support-Mitarbeiter zu verringern. Das verhindert jedoch die Automatisierung. Doch wenn wir eines als Faustregel mitnehmen können, so lautet sie: erstens Patchen, zweitens Patchen und drittens Patchen. Umso schneller, umso besser - denn die Uhr für Notfall-Patches tickt mindestens genauso schnell wie die der Angreifer. Mit dieser Vorgehensweise wird sichergestellt, dass alle bekannten Schwachstellen des Herstellers konsequent behoben werden, um Cyberkriminelle daran zu hindern, im Netzwerk Fuß zu fassen.

Erfolgsfaktor Security Automation

Grundsätzlich sollten sich Unternehmen trotz neuester Sicherheitskontrollen beim Aufkommen einer Schwachstelle auf Menschen, Prozesse und Technologien stützen, um die Bedrohung zu identifizieren, sobald sie auftritt. Ein kritischer Erfolgsfaktor ist, diesen Vorgang zu automatisieren. So können Unternehmen schnell die Bedrohungsdaten über aktive Angriffe auf ihr Netzwerk sammeln und darauf reagieren.

Beispielsweise ist eine Bestandsaufnahme nach einer bekanntgewordenen Sicherheitslücke unumgänglich, um etwa im Fall von DearCry alle betroffenen Microsoft-Exchange-Server zu identifizieren. Hierfür bietet es sich an, Anti-Exploit- und EDR-Lösungen (Endpoint Detection and Response) einzusetzen, die Malware auf einem Endgerät entdeckt, bevor sie in das Netzwerk eindringt. Eine Internal Segmentation Firewall kann anschließend eine dynamische Segmentierung durchführen, um den Host unter Quarantäne zu stellen. Auch ein SOAR-(Security Orchestration, Automation and Response)-System kann auf Basis der gesammelten Informationen schnell Schutzmaßnahmen einleiten.

Der Fall von Microsoft Exchange zeigt deutlich, wie wichtig Automatisierung für die Cybersecurity eines Unternehmens ist. Sie hilft dabei, Schwachstellen nach ihrem Bekanntwerden zu schließen, die Anzeichen für einen Vorfall zu erkennen sowie Gegenmaßnahmen einzuleiten, ehe sich die Malware über das gesamte Netzwerk ausbreiten kann. (fm)