Alte Schwachstellen bleiben lange gefährlich

Unternehmen sollten sich bei ihren Patching-Maßnahmen auf jene Schwachstellen fokussieren, von denen das größte Risiko für ihr Unternehmen ausgeht −, auch wenn diese schon mehrere Jahre alt sind. Das ist die Kernaussage einer Studie des IT-Sicherheitsanbieters Trend Micro. Der Report fand heraus, dass 22 % der in Untergrundforen gehandelten Exploits schon mehr als drei Jahre alt sind.

"Cyberkriminelle wissen, dass Unternehmen Schwierigkeiten haben, ihre Systeme möglichst schnell zu patchen und diesen Vorgang zu priorisieren. Unsere Forschungen zeigen, dass Patch-Verzögerungen häufig ausgenutzt werden", erklärt Richard Werner, Business Consultant bei Trend Micro.

Die Lebensdauer eines Exploits sei nicht davon abhängig, wann ein schützender Patch verfügbar ist, sondern wann er auf die Systeme aufgespielt werde. Derzeit dauert es laut Trend Micro im Durchschnitt beinahe 51 Tage, bis ein Unternehmen eine neue Schwachstelle gepatcht, das heißt beseitigt, hat. Mit fast 50 neuen Schwachstellen und Anfälligkeiten, die pro Tag im Jahr 2020 veröffentlicht wurden, war der Druck auf Sicherheitsteams auch noch nie so groß.

Richard Werner: "Ältere Exploits sind billiger und deshalb bei Angreifern, die in Untergrundforen einkaufen, womöglich beliebter." Das zeigt auch eine Recherche des IT-Sicherheitsunternehmens in entsprechenden Foren: 

• Der älteste im Untergrund verkaufte Exploit war für die Schwachstelle namens CVE-2012-0158 aus dem Jahr 2012. CVE steht für "Common Vulnerabilities and Exposures" und ist ein Referenzier-System, das eine einheitlichen Namenskonvention für Sicherheitslücken und andere Schwachstellen in Computersystemen zum Ziel hat.
• CVE-2016-5195, besser bekannt als "Dirty Cow Exploit", behält seine Aktualität auch nach fünf Jahren bei.
• Im Jahr 2020 war mit "WannaCry" die am häufigsten gemeldete Malware-Familie im Umlauf − mit weltweit über 700.000 infizierten Geräten im März 2021. WannaCry verbreitet sich bereits seit 2017.

Die Studie zeigt zudem in den vergangenen zwei Jahren einen Rückgang des Marktes für die kurzfristigen Zero-Day-Schwachstellen auf. Dies ist nicht zuletzt auf die Beliebtheit von Bug-Bounty-Programmen zurückzuführen, bei denen Belohnungen für das Aufspüren und Melden von Schwachstellen ausgesetzt werden.

Auch der Aufstieg von Access-as-a-Service − der Verkauf von illegalen Zugängen zu bereits gehackten Netzwerken oder Geräten − wirkt sich aus. Die Preise im Untergrund für diese "Dienstleistung" beginnen bereits bei unter 1.000 Euro und machen somit den Exploits Konkurrenz.

Der Bericht "The Rise and Fall of the N-day Exploit Market in Cybercriminal Underground" kann von der Internetseite von Trend Micro heruntergeladen werden.