Symantec-Sicherheitsreport: Schwachstellen werden immer schneller ausgenutzt

Symantecs Internet Security Threat Report beleuchet das zweite Halbjahr 2003 und versucht, Trends bei netzwerkbasierten Attacken, Schwachstellen, Viren und Würmern zu skizzieren.

39

17.03.2004, 14:16 Uhr

Lesezeit: 4 Min.

Von

Daniel Bachfeld

Symantecs Internet Security Threat Report beleuchet das zweite Halbjahr 2003 und versucht Trends bei netzwerkbasierten Attacken, Schwachstellen, Viren und Würmern zu skizzieren. Die dabei verwendeten Daten stammen von Kunden des Symantec Managed Security Service sowie von mehr als 20.000 Sensoren des DeepSight-Threat-Management-Systems, das Angriffsaktivitäten in über 180 Ländern überwacht.

Laut Report habe sich die Zahl neuer Schwachstellen auf hohem Niveau eingependelt, wobei viele der neu entdeckten Lücken den Fernzugriff auf Systeme ermöglichten. Zudem schrumpfe die Zeit zwischen der Entdeckung beziehungsweise Veröffentlichung einer Schwachstelle und der Entwicklung eines dazu passenden Exploits. Dieser Trend ließe die Vermutung zu, dass die Zahl so genannter Zero-Day-Exploits zunehmen werde, bei denen zwar ein Exploit schon verfügbar, die Schwachstelle aber noch nicht öffentlich bekannt sei -- und auch keine Patches zur Verfügung stehen würden.

In 2003 wurden etwas mehr Schwachstellen als in 2002 entdeckt: Symantec dokumentierte 2.636 Schwachstellen (gegenüber 2.587 in 2002), das entspricht sieben Schwachstellen pro Tag. Die Zahl von Schwachstellen mit mäßigem Bedrohungsgrad stieg von durchschnittlich 98 pro Monat in 2002 auf durchschnittlich 115 pro Monat in 2003. Darüber hinaus wurden 70 Prozent der in 2003 entdeckten Schwachstellen als leicht ausnutzbar eingeschätzt (im Vergleich zu 60 Prozent in 2002). Der Prozentsatz der Schwachstellen, für die schädlicher Programmcode öffentlich erhältlich war, wuchs um 5 Prozent, für Schwachstellen, die keine spezialisierten Tools zu ihrer Ausnutzung bedurften, sogar um 6 Prozent.

Die Zahl der Schwachstellen im Microsoft Internet Explorer ist Symantec zufolge von 20 in der ersten Jahreshälfte auf 34 in der zweiten angestiegen. Das entspricht einer Zunahme von 70 Prozent. Viele dieser Schwachstellen erlauben es Angreifern, die Systeme von Anwendern unter ihre Kontrolle zu bringen und Trojaner, Dialer und Würmer darauf zu platzieren. Der Besuch einer manipulierten Website reicht dazu aus. Grund zur Besorgnis gibt dieser Trend vor allem aufgrund der Marktdominanz des Internet Explorer.

So genannte "komplexe Bedrohungen" waren dem Report nach für einige der bedeutendsten Sicherheitsvorfälle des Jahres 2003 verantwortlich. Im August wurde das Internet in nur 12 Tagen mit drei neuen Würmern -- Blaster, Welchia und Sobig.F -- der zweithöchsten Bedrohungsstufe überschwemmt. Ihre hohe Verbreitungsgeschwindigkeit wurde durch gestiegene Netzwerkbandbreiten und verringerte Latenzzeiten begünstigt. Die Würmer infizierten Millionen von Computern weltweit und sollen Schäden in Milliardenhöhe verursacht haben.

Insgesamt nahm im zweiten Halbjahr 2003 die von Symantec entdeckte Zahl von Win32-Viren und -Würmern im Vergleich zum zweiten Halbjahr 2002 um das Zweieinhalbfache zu. Unter den Top Ten des bösartigen Codes hat der Anteil an Würmern mit eigener Mail-Engine (SMTP-Massenmailer) um 61 Prozent gegenüber der ersten Jahreshälfte 2003 zugelegt. Da solche Würmer zum Versenden der Mails nicht auf das E-Mail-System des Anwenders zurückgreifen, gibt es nur wenige Indizien für eine aktive Infektion.

Hacker und Würmer visieren zunehmend Hintertüren im System an, die von anderen Angreifern oder Würmern zurückgelassen werden: Im Januar 2004 begann MyDoom sich ähnlich schnell wie Sobig.F zu verbreiten, indem er infizierte Systeme über eine Backdoor befiel und von dort eine gezielte Attacke ausführte. Zwei neue Würmer, Doomjuice und Deadhat, die MyDoom folgten, verbreiteten sich über die Backdoor, die MyDoom hinterlassen hatte. Durch die Nutzung solcher Backdoors können aber auch Angreifer die Kontrolle über Systeme erlangen und eigene Schlupflöcher einrichten oder das infizierte System für eine Distributed-Denial-of-Service-Attacke ausnutzen.

Siehe dazu auch: (dab)