SANS-Hitliste der Sicherheitslücken: Windows führt

Das SANS (SysAdmin, Audit, Network, Security) Institute hat wieder eine Top-20 zur Sicherheit veröffentlicht. Wie schon im vorangegangenen Report widmet sich die Hitliste den zwanzig am häufigsten angegriffenen Zielen und führt neben Windows- und Unix-Lücken auch Anwendungen und Netzwerkdienste auf. Erstmals findet die Rubrik "Security Policy and Personnel" in der Top-20 Erwähnung, die den Einfluss des Anwenders auf die Sicherheit thematisiert.

Windows bleibt wie auch in den Vorjahren weiterhin beliebtestes Ziel, wozu auch die große Zahl der Zero-Day-Lücken beitrug, also bekannte Lücken, für die es noch keinen Patch gibt. Insbesondere der Internet Explorer, Lücken in Windows-Bibliotheken sowie in Office boten hier 2006 eine erhebliche Angriffsfläche.

Allerdings ist nicht immer klar, wie das SANS zu den restlichen Einschätzung gekommen ist. So findet Unix offenbar nur aufgrund möglicher Konfigurationsfehlern Eingang in die Liste. Sämtliche Privilege-Elevation-Lücken in Linux, über die etwa ein Debian-Entwicklungsserver gehackt wurde, sind in dem Report nicht aufgeführt. Demgegenüber steht Mac OS X in der Liste wie ein ziemlich unsicheres Betriebssystem da, für welches das SANS aufgrund einiger Fehler in Safari, ImageIO und anderer Software insgesamt 21 Schwachstelleneinträge in der CVE-Datenbank aufführt.

Bei den Cross-Platform-Applikationen stehen Webanwendungen im Vordergrund. Kaum ein Tag, an dem nicht in irgendeiner PHP-Anwendung eine Cross-Site-Scripting-Lücke, SQL-Injection-Schwachstelle oder die Möglichkeit für Remote File Include entdeckt würde. Client-Anwendungen folgen den Webanwendungen auf den Fuß: P2P- und Instant-Messaging-Client sind mittlerweile zu einem recht großen Einfallstor für Hacker und Viren geworden. Hacker nutzen dort Buffer Overflows in der Software, während die Viren auf die Sorglosigkeit der Anwender beim "Tauschen" von Dateien setzen. Software, die eigentlich für mehr Sicherheit sorgen soll, wird zunehmend selbst zum Problem. Weiterhin sorgen Lücken in Antiviren- und Backupsoftware, Spamfiltern, Überwachungssystemen und Verzeichnisdiensten für ein höheres Risiko.

Voice over IP scheint ebenfalls immer häufiger Ziel von Angriffen zu werden, was unter anderem Lücken in Ciscos Unified Call Manager und der TK-Anlagensoftware Asterisk erleichtern. In der Sparte "Security Policy and Personnel" geht das SANS auf die Rolle von Richtlinien und Menschen ein. Derzufolge stellen nicht autorisierte Geräte im Netzwerk ein erhebliches Problem dar. Dazu gehören sowohl der Anschluss eines externen Laptops ans LAN als auch der Anschluss eines infizierten USB-Sticks an einen Firmen-PC. Zudem besitzen zu viele Anwender zu viele Rechte auf ihrem PC, was zu einem Wildwuchs an installierter Software und einem Sicherheitsproblem führt. Dass das SANS Anwender als Ziel von Phishing-Attacken ausmacht, überrascht dann auch nicht mehr.

Leider vermag die Top-20 des SANS keinen Aha-Effekt mehr beim Leser auszulösen, wie sie es noch vor einigen Jahren tat. Zu ähnlich sind mittlerweile die Ergebnisse zahlreicher anderer Reports und Studien diverser Hersteller und Anbieter.

Siehe dazu auch:

• SANS Top-20 Internet Security Attack Targets, Bericht für 2006

(dab)