{"id":8404,"date":"2021-04-13T14:29:01","date_gmt":"2021-04-13T12:29:01","guid":{"rendered":"https:\/\/enginsight.com\/?p=8404"},"modified":"2023-05-30T08:57:32","modified_gmt":"2023-05-30T06:57:32","slug":"sicherheitsluecken-cve-ueber-meta-informationen-oder-exploits-validieren","status":"publish","type":"post","link":"https:\/\/enginsight.com\/de\/blog\/sicherheitsluecken-cve-ueber-meta-informationen-oder-exploits-validieren\/","title":{"rendered":"Sicherheitsl\u00fccken (CVE) \u00fcber Meta-Informationen oder Exploits validieren?"},"content":{"rendered":"

Effektiv und zuverlässig Sicherheitslücken in der gesamten IT-Infrastruktur aufzudecken, um sie im Anschluss durch das Einspielen von Updates zu beheben. Das ist die Aufgabe eines guten Vulnerability Managements<\/strong>. Ein CVE-Scanner ist dessen wichtigstes Werkzeug. Doch wie stellen Sie sicher, dass die Sicherheitslücken auf den konkreten Systemen tatsächlich ausnutzbar sind?<\/p>\n\n\n\n

Welches Ziel verfolgen CVE-Scans?<\/h2>\n\n\n\n

Mit einem CVE-Scan lassen sich bekannte Sicherheitslücken auf IT-Systemen<\/strong> aufdecken. Sie sind eine wichtige Stütze, um eine Risikoanalyse durchzuführen, das Patch-Management zu evaluieren und die Resilienz der Systeme zu erhöhen. Im besten Fall liefert ein CVE-Scan eine Auflistung aller vorliegenden bekannten Vulnerabilities, die auf den Systemen wirksam werden.<\/p>\n\n\n\n

CVE Scanner<\/a> stehen jedoch vor der Herausforderung, dass nicht jede gefundene Sicherheitslücke in einer Software auch auf jedem System, auf dem die Software installiert ist, tatsächlich wirksam wird. Viele Vulnerability Scanner tendieren deshalb zu einer hohen Zahl an False Positives.<\/p>\n\n\n\n

Das Ziel eines guten CVE-Scanners muss es also sein, möglichst alle Sicherheitslücken zu entdecken und anzuzeigen sowie gleichzeitig die Rate an False Positives zu minimieren. Die Überprüfung, ob ein CVE wirksam wird, nennen wir die Validierung.<\/p>\n\n\n\n

Wie lassen sich CVEs validieren?<\/h2>\n\n\n\n

Ob eine CVE auf einem System tatsächlich wirksam wird, hängt von mehreren Faktoren ab. Wesentlich ist hierbei das verwendete Betriebssystem (Windows, Linux), dessen Distribution und die verwendete Version. Eine besondere Herausforderung stellen sogenannte Forks dar. Dabei handelt es sich um Abspaltungen im Entwicklungsprozess, sodass zwar Teile von Programmcode unverändert übernommen, manche Abschnitte jedoch geändert oder gelöscht werden.<\/p>\n\n\n\n

Um eine Sicherheitslücke zu validieren, stehen technisch zwei gegensätzliche Ansätze zur Verfügung:<\/p>\n\n\n\n

    \n
  1. Der CVE-Scanner führt einen Exploit <\/strong>durch. Das heißt, er versucht die Schwachstelle aktiv auszunutzen. Ist er erfolgreich, ist die CVE validiert.<\/li>\n\n\n\n
  2. Der CVE-Scanner zieht Meta-Informationen<\/strong> heran, mit deren Hilfe er die Sicherheitslücke valideren kann.<\/li>\n<\/ol>\n\n\n\n

    Prinzipiell sind beide Wege denkbar, ziehen jedoch unterschiedliche Herausforderungen nach sich.<\/p>\n\n\n\n

    Welche Probleme verursacht die Validierung über Exploits?<\/h2>\n\n\n\n

    Um eine Sicherheitslücke über einen Exploit zu validieren, muss für jede einzelne CVE ein eigenes Skript entworfen werden, das wiederum umfangreich getestet werden muss, damit es keine falschen Ergebnisse liefert. Der Aufwand für die Softwareentwicklung ist enorm. Das National Institute of Standards and Technology (NIST)<\/a>, das die Liste aller CVE veröffentlicht, gibt auf seiner Webseite aktuelle Zahlen zu empfangenen und verarbeiteten CVEs. Der aktuelle Schnitt (März 2021) liegt bei über 1000 neuen CVEs im Monat.<\/p>\n\n\n\n

    Selbst wenn die Ressourcen vorhanden wären, für all diese Sicherheitslücken oder die wichtigsten 20% entsprechende Exploit-Skripte zu schreiben, treten weitere Probleme auf. Nur ein Bruchteil der Schwachstellen lässt sich überhaupt über das Netzwerk ausnutzen. Wieder andere CVEs lassen sich zwar über das Netzwerk ausnutzen, es lässt sich jedoch nicht feststellen, ob der Exploit erfolgreich war (blind injections).<\/p>\n\n\n\n

    Darüber hinaus kann das aktive Ausnutzen der Schwachstelle mit anderer Sicherheitssoftware in Konflikt geraten. So können etwa Sicherheitsmechanismen ausgelöst werden, in deren Folge Verbindungen blockiert oder Systeme heruntergefahren werden. Im schlimmsten Fall könnte die Verfügbarkeit kritischer IT-Infrastruktur gefährdet sein.<\/p>\n\n\n\n

    Warum ist die CVE-Validierung über Meta-Informationen zu bevorzugen?<\/h2>\n\n\n\n

    Auch wenn sich ein kleiner Teil der Schwachstellen mit Exploits sehr zu verlässig validieren lässt, ist diese Methode für eine Vielzahl der CVEs gänzlich ungeeignet. Darüber hinaus ist sie unwirtschaftlich, da sich durch die Analyse von Meta-Daten Validierungen oft einfacher gestalten. Hier entfällt nämlich der große Aufwand, für jede einzelne CVE eigene Exploit-Skripts entwickeln zu müssen. Über Meta-Scans lassen sich zudem nicht nur über das Netzwerk prüfbare CVEs ermitteln, sondern alle bekannten Schwachstellen.<\/p>\n\n\n\n

    Eine sichere Validierung über Meta-Informationen funktioniert am zuverlässigsten, je mehr Daten dem CVE-Scanner zu Verfügung stehen. Ein CVE-Scan aus dem Inneren des Servers oder Clients, wie mit dem Enginsight Pulsar-Agent liefert valide Daten. Darüber hinaus lassen sich mit dem Enginsight Hacktor netzwerkbasiert CVEs aufdecken und mit dem Enginsight Observer Webanwendungen von außen untersuchen. Mit Enginsight lassen sich also CVE-Scans aus drei Perspektiven durchführen<\/a>.<\/p>\n\n\n\n

    Volle Transparenz: Die Validitäts-Ampel bei Enginsight<\/h2>\n\n\n\n

    Mit der Validitäts-Ampel haben wir einen sinnvollen und transparenten Weg gefunden, damit Sie eine einfache Abschätzung treffen und Ihre Maßnahmen priorisieren können. Neben der Anzahl an Metainformationen bezieht Enginsight auch den Typus der Software ein. <\/p>\n\n\n\n

    Jede detektierte CVE erhält ein Validitäts-Rating:<\/p>\n\n\n\n