Unsere Trustworthy Computing Group hat die Software Vulnerability Exploitation Trends (PDF Download) veröffentlicht. Die Studie nimmt längerfristige Veränderungen rund um IT-Sicherheit unter die Lupe. Die Kollegen haben Sicherheitslücken in Microsoft-Produkten und ihren Missbrauch von 2006 bis 2012 überwacht sowie untersucht und dabei nach Trends Ausschau gehalten – und davon gleich mehrere entdeckt:

  • Die Anzahl der gefährlichen Remote Code-Ausführungen (RCE, Remote Code Execution) ging im Lauf der letzten Jahre zurück
  • Sicherheitslücken werden direkt nach Verfügbarkeit des Patches am häufigsten ausgenutzt. Dieses als „Exploit Wednesday“ (folgend auf den „Update Tuesday“) bezeichnete Phänomen ist schon seit längerem bekannt.
  • Schwachstellen im Bereich Stack Corruption waren in der Vergangenheit mit die am häufigsten genutzten Sicherheitslücken. Das hat sich deutlich geändert: Im Untersuchungszeitraum von 2006 bis 2012 fiel die Anzahl der ausgenutzten Stack-Corruption-Lücken von 43 Prozent auf sieben Prozent.
  • Inzwischen sind „User after free“-Schwachstellen die am häufigsten genutzten Angriffswege. Dabei wird ein eigentlich freigegebener Speicherbereich erneut referenziert, was zu einem Programmabsturz führen kann. Angreifer können diese Fehler unter Umständen nutzen, um eigenen Code auszuführen.
  • Mit dem Aufkommen zusätzlicher Sicherheitsfunktionen wie Adress Space Layout Randomization (ASLR) und Data Execution Prevention (DEP) haben sich auch die Angreifer weiterentwickelt. Immer häufiger enthalten Attacken entsprechende Maßnahmen, mit denen sich die Schutzmaßnahmen umgehen lassen.

Neben diesen allgemeinen Punkten konnten die Forscher auch konkrete Anhaltspunkte erarbeiten. Das betrifft beispielswiese die Infektionsraten von unterschiedlichen Betriebssystemen. Die 32-Bit-Version von Windows XP führt die Statistik mit einem Wert von 11,3 CCM (Computers-Cleand-Per-Mille) an. CCM gibt die Zahl der Systeme an, die pro 1000 Starts unseres Malicious Software Removal Tool (MSRT) gesäubert wurden. Dank dieser Metrik können unsere Forscher sehr genau die Attacken auf einzelne Versionen der Betriebssysteme nachvollziehen und vergleichen. Zum Vergleich: Die 32-Bit-Version von Windows 7 liegt bei lediglich 4,5 CCM, die 64-Bit-Verson von Windows 8 sogar nur bei 0,2 CCM.

In der Studie geben unserer Experten zudem Tipps, wie sich die Angriffsfläche der eigenen Systeme weiter verringern lässt. Wie der CCM-Vergleich zeigt, lohnt sich in jedem Fall ein Wechsel auf ein aktuelles Betriebssystem. Gleiches gilt für Programme und Sicherheitsupdates – hier sollten Sie in jedem Fall auf dem Laufenden bleiben. Zusätzlich lassen sich Windows-Applikationen mit Hilfe des Enhanced Mitigation Experience Toolkit (EMET) weiter gegen Angriffe absichern. Weitere Informationen zum EMET haben wir auf dieser Seite zusammengestellt.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.