Schwachstelle: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
Keine Bearbeitungszusammenfassung |
||
(16 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
== Definition == | == Definition == | ||
Schwachstellen sind Fehler die die Sicherheit eines IT-Systems reduzieren. | Schwachstellen sind Fehler, die die Sicherheit eines IT-Systems reduzieren. Sie machen Systeme verwundbar. Diese Fehler können in der Programmierung, in dem Konzept, in der Konfiguration, dem Betrieb, der Implementierung oder in der Organisation liegen. | ||
Schwachstellen werden von [[Exploit|Exploits]] | Schwachstellen werden von [[Exploit|Exploits]] ausgenutzt. Das Ausnutzen einer Schwachstelle mit einem Exploit von einem Angreifer wird als Bedrohung bezeichnet. | ||
== | == Typische Schwachstellen == | ||
[[Cross_Site_Scripting_(XSS)|Cross Site Scripting]] | [[Cross_Site_Scripting_(XSS)|Cross Site Scripting]] | ||
Zeile 21: | Zeile 18: | ||
== Veröffentlichungen von Schwachstellen == | == Veröffentlichungen von Schwachstellen == | ||
Veröffentlichte Schwachstellen werden in der Datenbank [[CVE - Common Vulnerabilities and Exposures|"'''C'''ommon '''V'''ulnerabilities and '''E'''xposures"]], kurz CVE, der Mitre Corporation veröffentlicht. Jede Schwachstelle wird mit einem eindeutigen Namen erfasst. Zu jeder CVE wird eine '''C'''ommon '''V'''ulnerability '''S'''coring '''S'''ystem (CVSS) Zahl von 0 bis 10 nach Schwere der Schwachstelle zugewiesen.<ref>https://nvd.nist.gov/vuln-metrics/cvss</ref> | Veröffentlichte Schwachstellen werden in der Datenbank [[CVE - Common Vulnerabilities and Exposures|"'''C'''ommon '''V'''ulnerabilities and '''E'''xposures"]], kurz CVE, der Mitre Corporation veröffentlicht. Jede Schwachstelle wird mit einem eindeutigen Namen erfasst. Zu jeder CVE wird eine '''C'''ommon '''V'''ulnerability '''S'''coring '''S'''ystem (CVSS) Zahl von 0 bis 10 nach Schwere der Schwachstelle zugewiesen.<ref>https://nvd.nist.gov/vuln-metrics/cvss</ref> | ||
Eine Schwachstellen die dem Hersteller nicht bekannt ist, aber von anderen ausgenutzt werden, heißen [[Zero-Day-Exploit|Zero-Day-Exploits]]. Gegen diese Exploits gibt es keine Updates, welche die Schwachstelle beheben. | |||
Mehrere Organisationen bieten sogenannte Bug-Bountys an, welche eine Responisble Disclosure (eine verantwortungsbewusste Übermittlung) der Schwachstelle an den Hersteller oder verantwortliche Organisationen mit einem Geldpreis belohnen. | |||
== Beispiele für Schwachstellen == | |||
=== Heartbleed-Bug === | |||
Der Heartbleed Bug CVE-2014-0160 ist eine in 2014 gefundene Schwachstelle in der OpenSSL Bibliothek. Die Heartbeat Erweiterung RFC 6520 hält eine Verbindung in TLS/SSL zwischen Client und Server. Der Client schickt eine Nachricht an den Server, welcher der Server zurücksendet. Bei CVE-2014-0160 wird die Anfrage manipuliert, dass sie größer erscheint als sie ist. Der Server füllt die Lücken in der Nachricht mit Daten aus seinen Speicher aus.<ref>https://heartbleed.com/</ref> | |||
=== EternalBlue === | |||
CVE-2017-0144 ist eine Schwachstelle die ursprünglich von der NSA entdeckt und geheim gehalten wurde. EternalBlue ist eine Schwachstelle in Microsofts Server Message Block Protokoll, die es erlaubt über manipulierte Packete Remote Code Execution auf anderen Windowsrechner Code auszuführen.<ref>https://en.wikipedia.org/wiki/EternalBlue</ref> Die Schwachstelle wurde 2017 von einer Hackergruppe veröffentlicht und darauf von der [[Ransomware]] "WannaCry" verwendet, dessen weltweiter Schaden auf 4 Milliarden US-Dollar geschätzt wird.<ref>https://www.kaspersky.com/resource-center/threats/ransomware-wannacry</ref> | |||
== Rolle von Schwachstellen in der IT Forensik == | |||
Ein Ziel einer forensischen Untersuchung ist es, herauszufinden wie in ein System eingebrochen wurde und welche Schwachstellen dabei ausgenutzt wurden. <ref>Geschonneck, Alexander - Computer Forensik - Computerstraftaten erkennen, ermitteln, aufklären; Heidelberg 2014; dpunkt.Verlag; S. 65</ref> | |||
Die Ausnutzung von Schwachstellen hinterlässt [[Digitale Artefakte|Artefakte]], welche in einer forensischen Analyse auswertbar sind. Diese Artefakte werden als [[Indicator of Compromise]] gezielt gesucht werden, um die Ausnutzung einer Schwachstelle nachzuweisen. | |||
=== Beispiel: Mimikatz === | |||
Mimikatz ist ein Werkzeug, dass Anmeldedaten aus Windowssystemen ausliest<ref>https://attack.mitre.org/software/S0002/</ref>, wenn diese nicht ausreichend abgesichert sind <ref>https://book.hacktricks.xyz/windows-hardening/stealing-credentials/credentials-mimikatz#lm-and-clear-text-in-memory</ref>. Die Ausnutzung von Mimikatz hinterlässt Artefakte in Form von Sysmon Logs.<ref>https://neil-fox.github.io/Mimikatz-usage-&-detection/</ref> | |||
=== Angriffe auf Forensik-Tools === | |||
Die digitalen Werkzeuge der IT-Forensik sind nicht immun gegenüber Schwachstellen. Die Software des Herstellers Cellebrite nutzte beispielsweise veraltete Bibliotheken, die es ermöglichen durch präparierte Dateien Code auf den Geräten auszuführen.<ref>https://www.golem.de/news/sicherheitsluecken-messenger-signal-hackt-forensik-tool-des-fbi-2104-155932.html</ref> Um diese Art von [[Anti-Forensik]] zu minimieren, sollten die Analysewerkzeuge aktuell gehalten werden. | |||
== Behebung von Schwachstellen == | |||
Schwachstellen können durch Patches und neue Versionen vom Hersteller behoben werden. Dafür müssen die betroffenen Systeme geupdatet werden, was zu einer Downtime der Systeme führen kann. Ansonsten können Konfigurationsänderungen oder andere Workarounds die Schwachstelle beheben. Wenn eine Behebung nicht möglich ist, sollte das betroffene System isoliert werden. | |||
Eine typische Überprüfung eines Systems nach Schwachstellen sind [[Penetrationstest]]. | |||
== Weiterführende Quellen == | |||
https://owasp.org/www-community/vulnerabilities/ | |||
https://en.wikipedia.org/wiki/Vulnerability_(computing) | |||
https://nvd.nist.gov/vuln | |||
== Zitierte Quellen == |
Aktuelle Version vom 23. März 2024, 15:54 Uhr
Definition
Schwachstellen sind Fehler, die die Sicherheit eines IT-Systems reduzieren. Sie machen Systeme verwundbar. Diese Fehler können in der Programmierung, in dem Konzept, in der Konfiguration, dem Betrieb, der Implementierung oder in der Organisation liegen.
Schwachstellen werden von Exploits ausgenutzt. Das Ausnutzen einer Schwachstelle mit einem Exploit von einem Angreifer wird als Bedrohung bezeichnet.
Typische Schwachstellen
Fehlerhafte Konfiguration
Veröffentlichungen von Schwachstellen
Veröffentlichte Schwachstellen werden in der Datenbank "Common Vulnerabilities and Exposures", kurz CVE, der Mitre Corporation veröffentlicht. Jede Schwachstelle wird mit einem eindeutigen Namen erfasst. Zu jeder CVE wird eine Common Vulnerability Scoring System (CVSS) Zahl von 0 bis 10 nach Schwere der Schwachstelle zugewiesen.[1]
Eine Schwachstellen die dem Hersteller nicht bekannt ist, aber von anderen ausgenutzt werden, heißen Zero-Day-Exploits. Gegen diese Exploits gibt es keine Updates, welche die Schwachstelle beheben.
Mehrere Organisationen bieten sogenannte Bug-Bountys an, welche eine Responisble Disclosure (eine verantwortungsbewusste Übermittlung) der Schwachstelle an den Hersteller oder verantwortliche Organisationen mit einem Geldpreis belohnen.
Beispiele für Schwachstellen
Heartbleed-Bug
Der Heartbleed Bug CVE-2014-0160 ist eine in 2014 gefundene Schwachstelle in der OpenSSL Bibliothek. Die Heartbeat Erweiterung RFC 6520 hält eine Verbindung in TLS/SSL zwischen Client und Server. Der Client schickt eine Nachricht an den Server, welcher der Server zurücksendet. Bei CVE-2014-0160 wird die Anfrage manipuliert, dass sie größer erscheint als sie ist. Der Server füllt die Lücken in der Nachricht mit Daten aus seinen Speicher aus.[2]
EternalBlue
CVE-2017-0144 ist eine Schwachstelle die ursprünglich von der NSA entdeckt und geheim gehalten wurde. EternalBlue ist eine Schwachstelle in Microsofts Server Message Block Protokoll, die es erlaubt über manipulierte Packete Remote Code Execution auf anderen Windowsrechner Code auszuführen.[3] Die Schwachstelle wurde 2017 von einer Hackergruppe veröffentlicht und darauf von der Ransomware "WannaCry" verwendet, dessen weltweiter Schaden auf 4 Milliarden US-Dollar geschätzt wird.[4]
Rolle von Schwachstellen in der IT Forensik
Ein Ziel einer forensischen Untersuchung ist es, herauszufinden wie in ein System eingebrochen wurde und welche Schwachstellen dabei ausgenutzt wurden. [5] Die Ausnutzung von Schwachstellen hinterlässt Artefakte, welche in einer forensischen Analyse auswertbar sind. Diese Artefakte werden als Indicator of Compromise gezielt gesucht werden, um die Ausnutzung einer Schwachstelle nachzuweisen.
Beispiel: Mimikatz
Mimikatz ist ein Werkzeug, dass Anmeldedaten aus Windowssystemen ausliest[6], wenn diese nicht ausreichend abgesichert sind [7]. Die Ausnutzung von Mimikatz hinterlässt Artefakte in Form von Sysmon Logs.[8]
Angriffe auf Forensik-Tools
Die digitalen Werkzeuge der IT-Forensik sind nicht immun gegenüber Schwachstellen. Die Software des Herstellers Cellebrite nutzte beispielsweise veraltete Bibliotheken, die es ermöglichen durch präparierte Dateien Code auf den Geräten auszuführen.[9] Um diese Art von Anti-Forensik zu minimieren, sollten die Analysewerkzeuge aktuell gehalten werden.
Behebung von Schwachstellen
Schwachstellen können durch Patches und neue Versionen vom Hersteller behoben werden. Dafür müssen die betroffenen Systeme geupdatet werden, was zu einer Downtime der Systeme führen kann. Ansonsten können Konfigurationsänderungen oder andere Workarounds die Schwachstelle beheben. Wenn eine Behebung nicht möglich ist, sollte das betroffene System isoliert werden.
Eine typische Überprüfung eines Systems nach Schwachstellen sind Penetrationstest.
Weiterführende Quellen
https://owasp.org/www-community/vulnerabilities/
https://en.wikipedia.org/wiki/Vulnerability_(computing)
Zitierte Quellen
- ↑ https://nvd.nist.gov/vuln-metrics/cvss
- ↑ https://heartbleed.com/
- ↑ https://en.wikipedia.org/wiki/EternalBlue
- ↑ https://www.kaspersky.com/resource-center/threats/ransomware-wannacry
- ↑ Geschonneck, Alexander - Computer Forensik - Computerstraftaten erkennen, ermitteln, aufklären; Heidelberg 2014; dpunkt.Verlag; S. 65
- ↑ https://attack.mitre.org/software/S0002/
- ↑ https://book.hacktricks.xyz/windows-hardening/stealing-credentials/credentials-mimikatz#lm-and-clear-text-in-memory
- ↑ https://neil-fox.github.io/Mimikatz-usage-&-detection/
- ↑ https://www.golem.de/news/sicherheitsluecken-messenger-signal-hackt-forensik-tool-des-fbi-2104-155932.html