Bekannte Sicherheitslücken als größtes Cyber-Risiko: Warum N-Day-Schwachstellen Unternehmen gefährden

Während die Aufmerksamkeit meist auf unbekannten Zero-Day-Lücken liegt, nutzen Cyberkriminelle bevorzugt bereits dokumentierte Schwachstellen aus. Wie Joanna Lang-Recht, Abteilungsleiterin IT-Forensik bei intersoft consulting services, in einem aktuellen Beitrag berichtet, bietet die Zeit zwischen Patch-Veröffentlichung und Installation ein profitables Angriffsfenster. Fälle wie Log4Shell zeigen die Dimension dieser Bedrohung.

Grundlagen: Zero-Day versus N-Day

Wie Joanna Lang-Recht, Abteilungsleiterin IT-Forensik bei intersoft consulting services, in einem aktuellen Beitrag berichtet, bildet die Unterscheidung zwischen Schwachstellentypen die Basis für wirksame Sicherheitskonzepte.

Zero-Day-Schwachstellen

Als Zero-Day oder 0day werden Sicherheitslücken bezeichnet, die Angreifer vor den Herstellern entdecken. Zum Zeitpunkt der Ausnutzung existiert kein Patch, und ausschließlich die Angreifer kennen die Schwachstelle.

N-Day-Schwachstellen

N-Day-Schwachstellen betreffen öffentlich dokumentierte Sicherheitslücken, für die teilweise bereits Patches verfügbar sind. Der Buchstabe N steht für die vergangenen Tage seit CVE-Zuweisung und Veröffentlichung. Die Ausnutzung erfolgt typischerweise nach Patch-Veröffentlichung, aber vor flächendeckender Implementierung.

Häufigkeit in der Praxis

Trotz des höheren Prestiges von Zero-Days nutzen Angreifer überwiegend N-Day-Schwachstellen. N-Day-Exploits sind kostengünstiger und zugänglicher, da Vorarbeiten bereits geleistet wurden.

Ablauf der Ausnutzung in Unternehmensnetzwerken

N-Day-Exploits folgen einem strukturierten Prozess, der Unternehmen theoretisch Reaktionszeit verschafft – diese wird jedoch häufig nicht effektiv genutzt.

Schwachstellenoffenlegung und Dokumentation

Sicherheitsforscher melden entdeckte Schwachstellen an Hersteller oder Behörden wie das BSI. Nach Validierung erhält die Schwachstelle eine CVE-Nummer durch CVE Numbering Authorities, die einheitliche Kommunikation zwischen Herstellern, Sicherheitsteams und Automatisierungssystemen ermöglicht.

Proof-of-Concept und Code-Veröffentlichung

Nach Offenlegung entstehen häufig Proof-of-Concept-Exploits zur Demonstration der Schwachstelle. Problematisch wird die Veröffentlichung von PoC-Code vor ausreichender Patch-Implementierung, da Angreifer diese Vorlagen adaptieren können.

Zeitfenster zwischen Patch und Implementierung

Das kritische Angriffsfenster entsteht zwischen Schwachstellenveröffentlichung und tatsächlicher Patch-Installation. Im Jahr 2023 wurden über 26.400 Schwachstellen bei mehr als 2.000 Anbietern dokumentiert. Manche Sicherheitslücken werden über 15 Jahre nach Entdeckung noch aktiv ausgenutzt. Zwar werden lediglich 0,7 Prozent aller bekannten CVEs tatsächlich für Angriffe verwendet – dies bedeutet jedoch angesichts der Gesamtzahl tausende aktiv ausgenutzte Lücken.

Automatisierte Massenangriffe

Die größte Gefahr liegt in hochautomatisierter Ausnutzung durch spezialisierte Botnets, die Suchmaschinen wie Shodan zur systematischen Identifizierung verwundbarer Geräte nutzen. Der Prozess vom Scan bis zur Kompromittierung kann in Einzelfällen nur zehn Minuten dauern. Neuere Botnets wie AndroxGh0st, Prometei und DarkGate ergänzen etablierte Systeme wie Gh0st, Mirai und ZeroAccess.

Dokumentierte Fälle aus der Praxis

Log4Shell (CVE-2021-44228)

Log4Shell erschütterte im Dezember 2021 die IT-Landschaft. Die kritische Schwachstelle in der Java-Bibliothek Log4j erhielt den maximalen CVSS-Score von 10,0. Nach PoC-Veröffentlichung am 9. Dezember wurden innerhalb kürzester Zeit über 100 Angriffe pro Minute registriert. Das BSI stufte die Lage als extrem kritisch ein. Die Schwachstelle ermöglichte über manipulierte Zeichenketten die Ausführung beliebigen Java-Codes mit vollständiger Systemkontrolle.

Zerologon (CVE-2020-1472)

Die Schwachstelle im Netlogon-Protokoll erreichte CVSS-Score 10,0. Trotz Microsoft-Patch im August 2020 erfolgte intensive Ausnutzung. Die Ryuk-Ransomware-Gruppe nutzte Zerologon zur Verschlüsselung kompletter Windows-Domänen in unter fünf Stunden.

ScreenConnect (CVE-2024-1708/1709)

Wenige Tage nach Veröffentlichung wurden über 640 IP-Adressen bei Angriffsversuchen beobachtet. Die Shadowserver Foundation identifizierte mindestens 8.200 angreifbare Instanzen. Ein dokumentierter Fall zeigt weitreichende Folgen: Ransomware-Einsatz gegen eine lokale Behörde mit Beeinträchtigung von 911-Systemen.

EternalBlue (MS17-010) und WannaCry

Trotz Microsoft-Patch im März 2017 infizierte der WannaCry-Angriff am 12. Mai 2017 über 200.000 Computer in mehr als 150 Ländern. Betroffen waren Organisationen wie FedEx, Honda und der britische Gesundheitsdienst NHS.

Schutzstrategien im Überblick

Risikobasiertes Patch-Management

Statt alle Schwachstellen gleichzeitig anzugehen, sollten Unternehmen tatsächliche Risiken priorisieren. Empfohlene SLA-Ziele: zwei Tage für kritische Schwachstellen, sieben Tage für hohen Schweregrad, monatlich für mittlere Risiken.

Asset-Übersicht und Vulnerability Scanning

Genaue Kenntnis aller Systeme – ob On-Premises, Cloud oder Remote-Arbeitsplätze – ist Voraussetzung für präzise Schwachstellenidentifikation. Kontinuierliche Schwachstellenbewertungen geben Einblicke in die Effizienz des Sicherheitsprogramms.

Active Directory Monitoring

Die Überwachung spezifischer Event IDs (4768 für TGT-Ticket-Anfragen, 4769 für Service-Ticket-Anfragen) ermöglicht frühzeitige Angriffserkennung. Fehlercodes wie 0x20 bei abgelaufenen Tickets sowie ungewöhnliche Authentifizierungsmuster können erste Anzeichen darstellen.

Angriffsflächen-Reduzierung

Unnötige Dienste, Anwendungen und veraltete Protokolle sollten systematisch deaktiviert werden. Windows Attack Surface Reduction (ASR) bietet zusätzlichen Schutz.

EDR/XDR-Lösungen

Endpoint Detection and Response identifiziert nicht nur bekannte Bedrohungen, sondern auch ungewöhnliche Verhaltensmuster. Kontinuierliche Datensammlung ermöglicht verhaltensbasierte Analysen verdächtiger Muster.

Fazit

N-Day-Exploits stellen eine reale Bedrohung dar, die häufig unterschätzt wird. Bekannte Schwachstellen werden deutlich häufiger ausgenutzt und verursachen erhebliche Schäden. Das Zeitfenster zwischen Schwachstellenveröffentlichung und Behebung schafft ein Angriffsfenster, das Cyberkriminelle systematisch nutzen.

Unternehmen müssen schneller reagieren als Angreifer. Die Implementierung risikobasierten Patch-Managements mit definierten Service Level Agreements bildet die Grundlage. Vollständige Asset-Inventarisierung, Überwachung kritischer Systeme, Angriffsflächen-Reduzierung und EDR/XDR-Lösungen ergänzen die Schutzstrategie.

Eine durchdachte Sicherheitsstrategie, die technische Maßnahmen mit klaren Prozessen verbindet, stärkt die Sicherheitslage und das Vertrauen von Kunden und Partnern.

Häufig gestellte Fragen

Was sind N-Day-Exploits und welche Risiken bergen sie?

N-Day-Exploits zielen auf bekannte Sicherheitslücken, für die bereits Patches existieren, die aber noch nicht flächendeckend installiert wurden. Das Risiko liegt in der verzögerten Patch-Implementierung, während Angreifer die Schwachstellen schnell und automatisiert ausnutzen können.

Wie unterscheiden sich N-Day- von Zero-Day-Exploits?

Zero-Day-Exploits nutzen unbekannte Sicherheitslücken aus, N-Day-Exploits zielen auf bereits veröffentlichte Schwachstellen. N-Day-Exploits sind häufiger und zugänglicher, da Informationen über die Schwachstelle bereits öffentlich vorliegen.

Welche bekannten N-Day-Fälle gab es?

Prominente Beispiele sind Log4Shell (CVE-2021-44228), Zerologon (CVE-2020-1472), die ScreenConnect-Schwachstellen (CVE-2024-1708/1709) und EternalBlue (MS17-010), das zum WannaCry-Angriff führte. Diese Fälle zeigen Geschwindigkeit und Reichweite der Ausnutzung.

Welche Schutzmaßnahmen sind wirksam?

Unternehmen sollten risikobasiertes Patch-Management mit klaren SLAs implementieren, regelmäßige Vulnerability Scans durchführen, verdächtige Aktivitäten überwachen, Angriffsflächen durch Deaktivierung unnötiger Dienste reduzieren und EDR/XDR-Lösungen einsetzen. Schnelle Reaktion auf neue Schwachstellen ist entscheidend.

Hier geht’s weiter

---

Bild/Quelle: https://depositphotos.com/de/home.html