“Bekannte Schwachstellen scheinen nie zu sterben” stellen die Sicherheitsexperten von Imperva in ihrem aktuellen Sicherheitsreport fest. Der Report wertet die Top Ten der zum Angriff auf Web-Applikationen missbrauchten Schwachstellen im April 2014 aus. Erhoben hat Imperva die Daten durch seiner Kunden, die anonym Daten zu neuen Angriffen mitteilen können. Dabei stellte der Anbieter fest, dass nach wie vor Attacken auf steinalte Schwachstellen – für die es längst Updates gibt – zum Standardrepertoire der kriminellen Hacker gehören. Denn offensichtlich gibt es im Netz nach wie vor ungepatchte Systeme, so dass die Attacken von Erfolg gekrönt sind.

Angreifer müssen sich also gar nicht eines raren Zero-Days-Exploits – also eines Angriffs auf eine Schwachstelle, für die noch kein Update existiert – bedienen, sondern können sich auf den Missbrauch lange existierender und bekannter Schwachstellen konzentrieren: Im April 2014 wurden Angriffe auf Schwachstellen in Web-Servern entdeckt, die dank vorhandener Updates seit 2009 geschlossen sein könnten, berichtet Imperva. Die Motivation der Kriminellen ist schnell erklärt: Sie bevorzugen bekannte IT-Schwachstellen, da diese leichte Beute sind, die sich ohne Einkauf oder Entwicklung eines Zero-Day-Exploits bequem und einfach erlegen lässt. Warum hingegen die Serverbetreiber so fahrlässig mit der Sicherheit ihrer Systeme umgehen, erläutert der Report nicht.

Auch in Microsoft Windows werden relativ häufig bekannte Schwachstellen attackiert, für die schon lange Updates existieren. Ende 2011 belegte der Security Intelligence Report v11, dass weniger als ein Prozent der von Microsoft analysierte Cyber-Angriffe auf Zero-Day-Exploits zurückzuführen ist. Im Umkehrschluss heißt das: 99 Prozent aller Attacken im Windows-Umfeld wären durch die Installation vorhandener Updates zu verhindern. Von daher der wiederholte Rat: Updates – wann immer möglich – sofort installieren lassen. Bei Windows hilft hier das automatisch arbeitende Microsoft Update. Im Fall der eingangs genannten Web-Anwendungen ist wahrscheinlich Handarbeit gefragt – deren Erfolg sich aber mit Sicherheit auszahlen wird.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.