Microsoft warnt vor schädlichen Sicherheitslücken in Dutzenden von IoT-Betriebssystemen

Cyber Security News

Ein Werbeschild von Microsoft ist am 13. März 2020 in New York City zu sehen. Das IoT-Sicherheitsteam im Microsoft Security Response Center sagte, dass die entdeckten Schwachstellen mindestens 25 verschiedene Produkte von mehr als einem Dutzend Unternehmen betreffen, darunter Amazon, ARM, Google Cloud, Samsung, RedHat, Apache und andere. (Jeenah Moon/Getty Images)

Microsoft-Forscher haben mehrere Schwachstellen in der Speicherzuweisung und Remotecodeausführung in den Betriebssystemen für eine Vielzahl von kommerziellen, medizinischen und betriebstechnischen Internet-of-Things-Geräten entdeckt.

Nach Angaben des IoT-Sicherheitsteams im Microsoft Security Response Center betreffen die Schwachstellen mindestens 25 verschiedene Produkte von mehr als einem Dutzend Unternehmen, darunter Amazon, ARM, Google Cloud, Samsung, RedHat, Apache und andere. Bislang wurden noch keine Exploits für die Schwachstellen in freier Wildbahn entdeckt, aber sie bieten potenziellen Angreifern eine große Angriffsfläche, um Schaden anzurichten.

“Angesichts der weiten Verbreitung von IoT- und OT-Geräten stellen diese Schwachstellen, wenn sie erfolgreich ausgenutzt werden, ein erhebliches potenzielles Risiko für Organisationen aller Art dar”, schreibt Microsoft.

Laut einer Übersicht, die von der Cybersecurity and Infrastructure Security Agency zusammengestellt wurde, sind für 17 der betroffenen Produkte bereits Patches verfügbar, während für die übrigen entweder Updates geplant sind oder sie vom Hersteller nicht mehr unterstützt werden und nicht gepatcht werden. Hier finden Sie eine Liste der betroffenen Produkte und der Verfügbarkeit von Patches.

Wo keine Patches verfügbar sind, rät Microsoft Unternehmen, eine Netzwerksegmentierung zu implementieren, unnötige Kontrollsysteme für die Betriebstechnologie zu eliminieren, (ordnungsgemäß konfigurierte und gepatchte) VPNs mit Multifaktor-Authentifizierung zu verwenden und vorhandene automatisierte Netzwerkerkennungs-Tools zu nutzen, um auf Anzeichen für bösartige Aktivitäten zu achten.

Während der Umfang der Schwachstellen über eine so breite Palette verschiedener Produkte bemerkenswert ist, sind solche Sicherheitslücken bei vernetzten Geräten üblich, insbesondere im kommerziellen Bereich. Trotz Milliarden von IoT-Geräten, die in den letzten zehn Jahren Büros und Haushalte überflutet haben, gibt es nach wie vor praktisch keine allgemein vereinbarten Sicherheitsstandards – weder freiwillig noch anderweitig -, die die Hersteller binden. Infolgedessen werden das Design und die Produktion vieler IoT-Produkte von anderen Zwängen wie Kosten und Zeitplan diktiert.

“Das Problem ist, dass kleiner, schneller, billiger nicht sehr kompatibel mit Sicherheit ist”, sagte Keith Gremban, Programmmanager im Office of the Under Secretary of Defense for Research and Engineering und im Verteidigungsministerium, in einem Interview mit SC Media Anfang dieses Monats. “Stellen Sie sich ein Start-up-Unternehmen vor, das versucht, ein Produkt auf den Markt zu bringen. Sie haben ein [venture capital firm] über die Schulter schauen, sie sind besorgt um den Return on Investment, sie haben die Konkurrenz im Nacken. Werden sie die Produktfreigabe um sechs Monate verzögern, um das Produkt sicher zu machen? Wird der VC sie das tun lassen?”

Solche Geräte sind auch notorisch schwer zu verfolgen, und viele Organisationen neigen dazu, zumindest ein paar abtrünnige angeschlossene Geräte von Mitarbeitern oder früheren Projekten im Netzwerk zu haben, die unbemerkt und ungepatcht bleiben. Jeremy Brown, Vizepräsident für Bedrohungsanalyse bei Trinity Cyber, sagte, dass Unternehmen oder Lösungen, die solche Geräte erkennen und lokalisieren können, um sie abzuschalten oder ordnungsgemäß zu patchen, “in Zukunft viel Macht haben werden”.

“Erfolgsgeschichten werden [involve] die Ausbreitung von Botnetzen durch die sorgfältige Kontrolle des Netzwerkverkehrs zu reduzieren; und wenn Sie ein Authentifizierungsproblem lösen können, bei dem Sie wissen, dass ein IoT-Gerät mit einer vertrauenswürdigen Stelle im Internet spricht, besteht die Herausforderung an diesem Punkt darin, wie Sie verifizieren, was zwischen dem Gerät und der vertrauenswürdigen Stelle vor sich geht”, so Brown. Wenn man die Möglichkeit hat, das zu verhindern oder zu ändern, hat man einen wirklich bedeutenden Einfluss auf diese groß angelegten [botnet and ransomware] Angriffe … wo wir sehen, wie jemandes Toaster in Missouri zu einem Ransomware-Vehikel wird.”

Betriebstechnische Geräte, Hardware und Maschinen, die mit dem Internet verbunden sind und medizinische Einrichtungen, Unternehmen oder kritische Infrastrukturen unterstützen, unterscheiden sich in ihren Herausforderungen erheblich von ihren kommerziellen Brüdern. Es gibt oft technische Hindernisse beim Patchen oder Aktualisieren, und jede Ausfallzeit hat potenziell direktere oder schwerwiegendere Folgen für die Bereitstellung von medizinischer Versorgung, Strom, Wasser und anderen wichtigen Dienstleistungen.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com