Die Entwicklung der Sicherheit am Beispiel Code Red

Die Geschichte des ersten ernsthaften Angriffs auf die IT-Infrastrukturen von Unternehmen.

Code Red ist ein Computerwurm, der auf Windows-basierte Systeme abzielte, auf denen die Diensteplattform Microsoft IIS (Internet Information Services) installiert war. Immerhin hat die Geschichte von Code Red einen glücklichen Anfang, denn die Verbreitung des Schadprogramms wurde gleich zu Beginn des Ausbruchs entdeckt. Bei den Entdeckern von Code Red handelte es sich um Forscher von eEye Security, die zum Zeitpunkt der Entdeckung (13. Juli 2001) gerade zufällig ein System zum Aufspüren von Schwachstellen in Microsoft IIS entwickelten. Als ihr Testserver aus heiterem Himmel nicht mehr reagierte, folgte eine schlaflose Nacht, in der die Forscher die Systemprotokolle auf der Suche nach den Spuren einer Infektion durchforsteten. Sie benannten die Malware nach dem ersten Objekt, das ihnen ins Auge fiel: eine Dose des Softdrinks Mountain Dew Code Red.

Aber auch die relativ frühe Entdeckung des Computerwurms konnte die darauffolgende Epidemie kaum noch aufhalten. Die Malware setzte bereits infizierte Systeme für weitere Angriffe ein und verbreitete sich innerhalb weniger Tage weltweit. Später stellte das Center for Applied Internet Data Analysis (CAIDA) Statistiken für den 19. Juli vor, die die Geschwindigkeit der Verbreitung von Code Red deutlich machten. Verschiedenen Quellen zufolge wurden insgesamt mehr als 300.000 Server angegriffen.

Verbreitung des Wurms Code Red ab 19. Juli 2001.

Verbreitung des Wurms Code Red ab 19. Juli 2001. Quelle

 

So funktioniert Code Red

Der Internet-Wurm nutzte eine triviale Sicherheitslücke in einem der Webserver-Module aus, genauer gesagt in einer Erweiterung für die Datenindizierung; missbraucht wurde letztendlich ein Pufferüberlauf in der idq.dll-Bibliothek. Die Schwachstelle wurde mit der Kennung MS01-33 versehen. Der Bug lässt sich leicht ausnutzen – man muss dem Server lediglich eine überdurchschnittlich lange Anfrage wie die folgende senden:

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a  HTTP/1.0

Infolge einer solchen Anfrage werden die Daten nach der N-Abfolge als Befehl interpretiert und ausgeführt. Die gesamte schädliche Nutzlast ist direkt in der Anfrage enthalten, d. h. bei einer anfälligen Installation von Microsoft IIS ist eine sofortige Infektion des Systems garantiert. Die im wahrsten Sinne des Wortes offensichtlichste Folge der Infektion war das sogenannte Defacement von Webseiten, die von dem Webserver gehostet wurden. Anstelle des üblichen Inhalts erschien Nutzern folgende Seite:

So sah die Website eines mit Code Red infizierten Webservers aus. <a href="https://www.kaspersky.com/about/press-releases/2001_a-new-generation-of--fileless-network-worm-has-unleashed-global-chaos" target="_blank">Quelle</a>

So sah die Website eines mit Code Red infizierten Webservers aus. Quelle

 

Nach Angaben von Kaspersky handelte es sich hierbei nicht um ein permanentes Defacement: 10 Stunden nach einem erfolgreichen Angriff stellte der Wurm den normalen Inhalt der Website wieder her. Alle folgenden Aktionen hingen dann vom jeweiligen Datum ab. Vom 1. bis zum 19. eines jeden Monats verbreitete sich der Wurm selbst, indem er bösartige Anfragen an zufällige IP-Adressen schickte. Vom 20. bis 27. wurden verschiedene feste IP-Adressen über DDoS-Attacken angegriffen, darunter auch die Website des Weißen Hauses. Vom 28. bis zum Ende des Monats legte Code Red eine nicht ganz wohlverdiente Pause ein.

Der Vorfall aus heutiger Sicht

Ähnliche Vorfälle ereignen sich auch heute noch, stehen aber meist im Zusammenhang mit Zero-Day-Schwachstellen, die im Normalfall bei der Analyse eines aktiven Angriffs entdeckt werden. Ein typisches Beispiel ist eine Reihe von Schwachstellen im Mailserver Microsoft Exchange, die zum Zeitpunkt der Entdeckung aktiv ausgenutzt wurden. Mehr als 30.000 Organisationen weltweit waren davon betroffen, und in vielen Unternehmen sahen sich die Administratoren von E-Mail-Diensten gezwungen, einen längst überfälligen Notfallpatch zu installieren.

Dieses Beispiel zeigt nicht nur, dass Angriffe weitaus raffinierter geworden sind, sondern auch, dass sich mit ihnen die Abwehrmaßnahmen weiterentwickelt haben. Code Red nutzte beispielsweise keine Zero-Day-Schwachstelle aus, sondern eine, die bereits einen Monat vor der Epidemie entdeckt und geschlossen worden war. Damals spielten jedoch die Langsamkeit bei der Installation von Updates, das Fehlen von Tools für die automatische Installation und die geringe Sensibilisierung der Unternehmensanwender eine bedeutende Rolle. Ein weiterer wichtiger Unterschied ist die fehlende Monetarisierung. Heutzutage würde auf den Angriff eines anfälligen Firmenservers unweigerlich ein Datendiebstahl oder eine Verschlüsselung mit einhergehender Lösegeldforderung folgen. Auch das Defacement gehackter Websites ist heute nicht mehr oberste Priorität für Cyberkriminelle; ganz im Gegenteil. Meist versuchen sie auf Biegen und Brechen, jegliche Spuren in der IT-Infrastruktur des Unternehmens zu verwischen.

Eine bittere Lehre

Eines muss gesagt sein: Code Red verschwand relativ schnell wieder von der Bildfläche, auch wenn im August 2001 eine weitere, leicht modifizierte Version des Computerwurms, Code Red II, die in der Lage war, Systeme zu infizieren, die bereits von der ersten Variante des Wurms heimgesucht worden waren, erschien. Generell gab es in den frühen 2000er-Jahren viele weitere Angriffe, die ähnliche Szenarien widerspiegelten. Bereits im September 2001 kam es zu der Nimda-Wurmepidemie, die ebenfalls lange gepatchte Sicherheitslücken in Microsoft IIS ausnutzte. Im Jahr 2003 verbreitete sich der Blaster-Wurm flächendeckend. Mittlerweile hat sich aber glücklicherweise bereits herumgesprochen, dass Patches für kritische Sicherheitslücken in Unternehmenssoftware so schnell wie möglich installiert werden müssen. Sobald ein solches Update veröffentlicht wird, analysieren Cyberkriminelle dieses sorgfältig und nutzen die Sicherheitslücke umgehend aus, in der Hoffnung, dass einige Benutzer sie noch nicht gepatcht haben. Wirft man einen Blick auf neuere Beispiele wie den WannaCry-Angriff aus dem Jahr 2017, kann das Problem aber auch heute noch nicht als gelöst betrachtet werden.

Fest steht jedoch, dass Code Red und zahlreiche andere Schadprogramme, die Hunderttausende von Systemen rund um den Globus infizierten, dazu beigetragen haben, die Sicherheitskonzepte für Unternehmen zu prägen. Anders als vor 21 Jahren sind wir heute in allen Bereichen – von der Kommunikation über den Zahlungsverkehr bis hin zu kritischen Infrastrukturen – vollständig von IT-Systemen abhängig. Zwar haben wir gelernt, uns vor Cyberangriffen zu schützen, ein Patentrezept für alle Geschäftsprobleme im Cyberspace gibt es jedoch nicht. Mit der unweigerlichen Weiterentwicklung der Cybersicherheit, müssen wir akzeptieren, dass perfekte Sicherheit kein Dauerzustand ist, sondern ein ständiger Kampf.

Tipps