IoT-Malware nutzt oft Schwachstellen aus, die seit langem bekannt sind

Auf der Sicherheitskonferenz DefCamp (englisch) in Bukarest im November 2018 sprach der unabhängige Sicherheitsexperte Andrei Costin über IoT-Malware und Faktoren, die dazu beitragen, dass Bedrohungen weiterhin relevant bleiben, selbst wenn seit langem Gegenmaßnahmen verfügbar sind.

Laut Costin gibt es für einige Schwachstellen in vernetzten Geräten keine systematische Kennzeichnung wie für die Einträge in der öffentlichen CVE-Liste (Common Vulnerabilities and Exposures). Das behindert die Entwicklung effektiver Gegenmaßnahmen, da evtl. Sicherheitslösungen umgangen werden, die zur Erkennung und Blockierung von Bedrohungen auf bestimmte Regeln (IDS/IPS, YARA) angewiesen sind.

Als einen möglichen Grund dafür nennt Costin (englisch) die mangelnde Optimierung des Melde- und Zuweisungsprozesses, wodurch sich die Vergabe einer CVE-Nummer verzögert. Ein weiterer Grund könnte sein, dass Forscher schlicht keine Kennzeichnung anfordern, was angesichts der großen Zahl der Sicherheitsprobleme in IoT-Geräten nicht wundert.

Was auch immer die Gründe sein mögen, der Mangel an einheitlichen Bezeichnungen ist ein gewaltiges Problem für IT-Sicherheitsexperten, wenn sie sich über Schwachstellen austauschen möchten, die aktuell von Malware ausgenutzt werden.

Die schiere Menge verschiedener IoT-Systeme macht die Entwicklung eines Virenschutzprogramms, das mit allen kompatibel wäre, unmöglich. Also hat die IT-Sicherheitsbranche Lösungen entwickelt, die direkt das gesamte Heimnetzwerk schützen. Sicherheits-Hardware wie die Bitdefender BOX analysiert eingehenden Datenverkehr und erkennt und blockiert bösartige Kommunikationen automatisch. Dadurch kann die BOX selbst Angriffe auf ungepatchte IoT-Geräte abfangen.

In seiner Studie in Zusammenarbeit mit Jonas Zaddach, Malware-Experte bei Cisco Talos, stellte Costin fest, dass Code, der bekannte, leicht auszunutzende Schwachstellen absichern würde, oft erst ein halbes Jahr nach Bekanntwerden der Schwachstelle veröffentlicht wird. Das ist mehr als genug Zeit für Hacker, Malware zu entwickeln, die diese Schwachstellen gezielt ausnutzt.

Einige Malware-Familien, die im Rahmen der Studie untersucht wurden, nutzten Schwachstellen aus, die seit zwei Jahren bekannt waren, und trotzdem gab es keinen Patch für sie. Heutzutage bauen Hacker für gewöhnlich weit mehr als drei Angriffsmethoden in ihre Malware ein, um die Chance auf einen Schwachstellentreffer bei IoT-Geräten zu erhöhen.

öffentlich zugängliche Informationen zu möglichen Maßnahmen gegen mittelschwere bis schwere IoT-Sicherheitslücken hätten mindestens 90 Tage vor dem ersten Fund eines Beispiels der entsprechenden Malware genutzt werden können.

Bei einem so großen Zeitfenster können Cyber-Kriminelle ihre Angriffe in aller Ruhe planen und durchführen, ohne sich sorgen zu müssen, dass ihnen ein Patch in die Quere kommt. Solange der Zeitraum bis zur Veröffentlichung von Patches und Sicherheitsmaßnahmen für vernetzte Geräte nicht signifikant schrumpft, können sich Hacker über eine ungestörte Spielwiese für ihre finsteren Geschäfte freuen.

Bildnachweis: geralt (englisch)

rn