Neuer Angriffsweg soll IPS/IDS-Lösungen aushebeln

  • Article

Obwohl keine Schwachstelle in einem Microsoft-Produkt direkt betroffen ist, will ich dennoch auf eine aktuelle Meldung aufmerksam machen: Die Kollegen des IT-Sicherheitsanbieters Stonesoft weise auf einen neuen Angriffsvektor aufmerksam, der gängige IPS (Intrusion Prevention System)/IDS (Intrusion Detection System)-Lösungen unterlaufen soll. Das von Stonesoft informierte finnische CERT (Computer Emergency Response Team) CERT-FI hat inzwischen auch eine offizielle Warnung veröffentlicht.

Stonesoft nennt die Angriffsart Advanced Evasion Techniques (AET). Dahinter verbirgt sich einerseits ein bekannter Angriff beziehungsweise Exploit wie beispielsweise die Windows-Lücken, die von Conficker und Stuxnet missbraucht werden. Kombiniert wird dies mit einem bislang unbekannten Weg, den Exploit an Firewalls und anderen Schutztechniken vorbei zu schleusen. In einem auf der eigenes zu AET eingerichteten Website veröffentlichten Video demonstriert Stonesoft, wie sich beispielsweise die von Conficker genutzte Lücke ansprechen lässt, wenn der Angreifer bestimmte TCP/IP-Einstellungen nicht standardkonform nutzt und Pakete auf Wegen erzeugt werden, die nicht der Norm entsprechen. Laut Stonesoft reagieren gängige IPS/IDS-Lösungen auf solchermaßen modifizierte Pakete nicht wie erwartet: Sie erkennen den im IP-Strom enthaltenen Angriff nicht.

Mehr Details über die genaue Konstruktion der abgeänderten Pakete und die Angriffe veröffentlichen derzeit weder Stonesoft noch das mit der Zusammenarbeit mit den betroffenen Herstellern betraute CERT-FI. Begründung: Erst sollen die angreifbaren Produkte verbessert werden. Nachdem noch keine Einzelheiten bekannt sind, ist die Tragweite der Entdeckung auch noch nicht genau abzuschätzen.

Experten von anderen IT-Sicherheitsherstellern wie Graham Cluley von Sophos zeigen sich nicht in Alarmstimmung. Ein per Pressemitteilung veröffentlichtes Statment von Cluley lautet: „Wir kennen die Grenzen der Network Detection Systeme seit Jahren und wir wissen, dass es auch bekannte Tarntechniken gibt. Die von Stonesoft gemachte Entdeckung ist daher für uns nicht neu und der Himmel fällt uns nicht auf den Kopf."

Ganz unabhängig von der Relevanz der neuen Angriffstechnik wird einmal mehr deutlich, wie wichtig das zeitnahe installieren von Sicherheitsupdates ist. Denn sehr häufig setzen die Angreifer ja auf Sicherheitslücken, für die es längst Sicherheitsupdates gibt.