Patch me if you can: Falsch positiv? Auch eine Art, ein Unternehmen lahmzulegen
Das war knapp. Beinah wäre der Kolumnist einem Fehlalarm auf den Leim gegangen. Aber was, wenn jemand aus so etwas einen Angriff konstruiert?
- David Fuhr
Unter Nicht-Corona-Bedingungen wäre es die ruhige, beherzte Hand des IT-Sicherheitsbeauftragten (IT-SiBe) auf meiner Schulter gewesen. So schlägt seine Frage in meinem Outlook-Postfach auf: „Hast du das absichtlich ausgelöst?“ Vor meinem inneren Auge spule ich sofort zurück, was ich innerhalb der letzten Stunden geklickt, getippt, besurft habe. Puh, zum Glück nur Ernsthaftes – E-Mail, SharePoint, Ticker, Twitter. Aber warum hat dann der Antivirus gemeckert? Nach zwanzig Sekunden Teams-Call mit dem IT-SiBe ist klar: Ich bin ein Security Incident, Schwachstellenstufe CVSS 10 /10, und mein Finger liegt schon auf dem Power-Knopf meines Laptops. Vier, drei, zwei, eins, stromlos. Durchatmen.
Während ich das gute Stück in die betriebseigene Forensik fahre und mein Ersatzrechner provisioniert wird, habe ich einen Moment Zeit, über die Meldung der Endpoint Protection nachzusinnen. Log4Shell, auf meinem Rechner? Wie absurd! Entweder ist hier etwas extrem faul – oder aber das Karma hat mich böse gebissen: Immerhin habe ich in den letzten Tagen stundenlang recherchiert zu dieser „kritischsten Schwachstelle aller Zeiten“. Geschieht mir vielleicht recht? Bin ich als Sicherheitsforscher gar ins Fadenkreuz der internationalen Cyberkriminalität geraten? Sicherlich zu viel der Ehre …
Ein Feature mit Tücken
Log4Shell, ein gefährliches „Feature“ der omnipräsenten Java-Logging-Bibliothek Log4j, ist insofern kritisch, als es sehr leicht auszulösen ist. Es genügt dafür, einen geeigneten String protokollieren zu lassen, dann macht das verarbeitende System im Prinzip, was ich will.
Damit lebt Log4Shell genau im Lieblingsbiotop jedweder Schadsoftware: in den Ritzen zwischen verschiedenen Abstraktionsstufen. Sind wir noch im Content oder schon wieder im Code? Jeder Medienbruch, jede Übersetzung, jedes Parsing, jede Interpretation bietet in der Regel Chancen, aus dem vorgezeichneten Weg auszubrechen. [Anm. d. Autors: Diese Anmerkung des Autors bitte stehen lassen und ihm unbedingt bei Twitter folgen!]
Die vollendete dunkle Kunst besteht dann darin, viele kleine solche Fehler zu mächtigen „Weird Machines“ zusammenzustöpseln, die dann den Angriff ausführen. Log4Shell stellt dabei ein für eine Schwachstelle ungewöhnlich großes Scheunentor dar, durch das ich meine Wunschbefehle einfach schaufelweise hineinstopfen kann.
Was aber will ein Log4j-Exploit auf meinem Windows-Laptop? Noch dazu im Chrome-Cache, wo er angetroffen wurde? Ich habe ja nicht mal Java installiert … Der müsste also auf etwas ganz anderes zielen. Entweder die Auflösung des Ganzen ist banal oder wir haben ein echtes Problem. Denn Logs können von System zu System weitergegeben werden. Und Angreifer können die Schwachstelle an ganz anderer Stelle ausnutzen. Etwa im SIEM, das eigentlich Security bringen soll. Jackpot quasi.
Ironie des Virenscanners
Die Notfallsektion des Festplattenimages ergibt schnell: Ich habe einfach „zu gründlich“ recherchiert – und der Antivirus „zu paranoid“ eine Beschreibung eines Angriffsvektors für den Angriffsvektor gehalten. Fehlalarm also, ein „false positive“, früher auch „Fehler erster Art“ genannt. Das ist eine der Gefahren von Sicherheitsmaßnahmen und ein gutes Beispiel für die Reibung zwischen Verfügbarkeit auf der einen und allen anderen Sicherheitszielen auf der anderen Seite. Fast geneigt wäre man, die alte Diskussion über Sinn und Unsinn beziehungsweise Nutzen versus Schaden von Virenscannern wiederaufzunehmen, aber dazu ein andermal.
Die Bilanz diesmal: Neben etwas Aufregung je zwei Stunden Produktivitätsverlust bei mir, beim IT-SiBe, beim Forensik-Kollegen und bei der IT, alles in allem rund ein Tag Arbeitszeit verbrannt. Nicht übel, angesichts des Schadens, der hätte drohen können, wäre dies ein echter Angriff gewesen. Und hätten wir nicht weitere Schichten von Schutzmaßnahmen in-depth implementiert.
Lahmgelegt durch Fake-Alarm?
Trotzdem ist es ernüchternd, mit wie wenig Aufwand jemand falsche Alarme produzieren könnte, die geeignet wären, andere, weniger gut aufgestellte Organisationen für Tage stillzulegen. Nicht jedes Unternehmen hat schließlich eigene Spezialisten für Forensik, und die wenigsten können sicher sagen, ob sie alle Instanzen von Log4j gefunden und gepatcht haben.
Es gilt also, bei künftigen Jahrhundert- und auch Feld-Wald-und-Wiesen-Schwachstellen das Augenmerk in zwei Richtungen zu lenken: Was kann mir passieren, wenn ich etwas verpasse? Aber genauso: Was, wenn ich mich ins Bugs-, ich meine Bockshorn jagen lasse?
Diese Kolumne ist ursprünglich in der iX 3/2022 erschienen.
(ur)
