Der Begriff Remote-Codeausführung (RCE) bezeichnet eine Kategorie von Cyberangriffen, bei denen Angreifer per Fernzugriff Befehle ausführen, um Malware oder anderen schädlichen Code auf einem Rechner oder in einem Netzwerk abzulegen. RCE-Angriffe erfolgen ohne Zutun eines legitimen Benutzers. Eine RCE-Schwachstelle kann zur Kompromittierung vertraulicher Informationen führen, ohne dass die Hacker dafür physischen Zugriff auf ein Netzwerk benötigen.
Deshalb werden RCE-Schwachstellen fast immer als kritisch eingestuft. Zudem sollte das Aufspüren und Patchen dieser Schwachstellen immer oberste Priorität haben. Die Netzwerksicherheit hat sich seit den Würmern in den 80er Jahren enorm weiterentwickelt, doch RCE-Angriffe sind oft erstaunlich komplex und schwer zu erkennen. Wie laufen RCE-Angriffe heutzutage ab und was können Sie tun, um Ihr Unternehmen davor zu schützen?
Was ist Remote-Codeausführung (RCE)?
Remote-Codeausführung ist ein äußerst weit gefasster Sammelbegriff, der eine Vielzahl an Angriffen und schädlichem Code umfasst. Meist nutzen Angreifer Zero-Day-Schwachstellen aus, um umfassenderen Zugriff auf einen Rechner, ein Netzwerk oder eine Web-Anwendung zu erlangen.
Beliebige Codeausführung und RCE
Bei einer beliebigen Codeausführung (Arbitrary Code Execution, ACE) greifen Hacker einen Rechner oder ein Netzwerk mit schädlichem Code an. Alle RCE-Angriffe sind Formen beliebiger Codeausführung, doch nicht alle beliebigen Codeausführungen erfolgen per Fernzugriff. Einige ACE-Angriffe werden direkt auf dem betroffenen Rechner ausgeführt, entweder durch physischen Zugriff auf ein Gerät oder indem der Benutzer dazu gebracht wird, Malware herunterzuladen. RCE-Angriffe hingegen werden immer per Fernzugriff ausgeführt.
Ablauf von RCE-Angriffen
Da Remote-Codeausführung ein so weit gefasster Begriff ist, laufen RCE-Angriffe nicht nur auf eine ganz bestimmte Art ab. Sie bestehen im Allgemeinen aus drei Phasen:
- Die Hacker finden eine Schwachstelle in der Hardware oder Software eines Netzwerks.
- Sie nutzen die Schwachstelle aus, um per Fernzugriff schädlichen Code oder Malware auf ein Gerät zu übertragen.
- Wenn die Hacker Zugriff auf ein Netzwerk erlangt haben, kompromittieren sie die Benutzerdaten oder nutzen den Netzwerkzugriff für kriminelle Zwecke.
Ziele von RCE-Angriffen
Wenn Angreifer durch Remote-Codeausführung Zugriff auf ein Netzwerk erlangt haben, stehen ihnen nahezu unbegrenzte Möglichkeiten offen. RCE-Angriffe wurden bereits für alle möglichen Zwecke eingesetzt, vom Krypto-Mining bis hin zur internationalen Spionage, sodass RCE-Schutz in der Cybersicherheit sehr hohe Priorität hat.
Folgen einer RCE-Schwachstelle
Genauso wie Sie einem Fremden nicht den Hausschlüssel geben würden, sollten Sie auch keine Kriminellen ins Netzwerk Ihres Unternehmens lassen. Angesichts der Verbreitung von Remote-Codeausführung ist die Abwehr von RCE-Angriffen nicht nur die Aufgabe der IT-Abteilung. Vielmehr sind alle Mitarbeiter – von der Führungsetage bin zum Reinigungspersonal – für die Netzwerksicherheit verantwortlich.
Risiken durch vernachlässigte RCE-Schwachstellen
Die Vernachlässigung von RCE-Schwachstellen kann nicht nur finanzielle Folgen, sondern durch RCE-Angriffe auch folgende Auswirkungen haben:
- Schwindendes Kundenvertrauen in Ihre Marke
- Schmerzhafte Geldstrafen und hohe Kosten bei kompromittierten Benutzerdaten
- Beeinträchtigungen durch ein deutlich langsameres Netzwerk, weil Hacker es für eigene Zwecke missbrauchen
Schäden durch RCE-Angriffe
Da Remote-Codeausführung eine breite Palette von Angriffen umfasst, können Sie davon ausgehen, dass durch RCE ganz verschiedene Schäden an Ihrem Netzwerk entstehen können. Dies sind einige bekannt gewordene Beispiele für Remote-Codeausführung:
- Die Ransomware WannaCry, die im Jahr 2017 Netzwerke weltweit zum Absturz brachte – von Großkonzernen bis hin zu Krankenhäusern.
- Der Datendiebstahl bei Equifax, bei dem 2017 die Finanzdaten von fast 150 Millionen Verbrauchern kompromittiert wurden. Die Kompromittierung war das Ergebnis einer ganzen Reihe von RCE-Schwachstellen.
- Im Februar 2016 raubten Hacker beinahe 1 Milliarde US-Dollar aus der Bank von Bangladesch mithilfe eines RCE-Angriffs auf das Banknetzwerk SWIFT.
Minimieren von RCE-Schwachstellen
Kein System lässt sich vollständig absichern, doch es gibt Möglichkeiten, Ihre Anfälligkeit gegenüber Remote-Codeausführung zu minimieren. Halten Sie vor allem Ihre Software immer auf dem aktuellen Stand. Die Sicherheitsupdates schützen Ihre Software – vom Betriebssystem bis zum Textverarbeitungsprogramm – vor zukünftigen Bedrohungen. Auch technische Lösungen wie die CrowdStrike Falcon®-Plattform bieten zuverlässigen Schutz. Zudem sollten Sie die Benutzereingaben überall dort bereinigen, wo Benutzer Informationen eingeben können.
Wie können Sie Codeausführungs-Schwachstellen identifizieren?
Das Problem bei Zero-Day-Exploits ist, dass die Entwicklung von Patches Zeit kostet. Deshalb müssen Sie die Initiative ergreifen, indem Sie bekannte Schwachstellen neutralisieren und nach unbekannten suchen.
So können Penetrationstests bei der Identifizierung von RCE-Schwachstellen helfen
Penetrationstests simulieren die Aktionen von Angreifern und helfen dabei, die Schwachstellen Ihres Unternehmens aufzudecken, bevor Hacker sie ausnutzen können. Dies ist eine der besten Maßnahmen zum Schutz vor RCE – vorausgesetzt Sie ziehen aus den Ergebnissen die nötigen Konsequenzen. Dazu zählen zum Beispiel die Verbesserung des Malware-Schutzes, Schulungen zur Sensibilisierung der Mitarbeiter für Phishing-Angriffe und die Beseitigung aller gefundenen potenziellen Schwachstellen und Sicherheitslücken.
So kann Bedrohungsmodellierung bei der Identifizierung von RCE-Schwachstellen helfen
Eine der besten Methoden, um Hackern einen Schritt voraus zu sein, besteht darin, sich in einen Hacker hineinzuversetzen. Mithilfe der Bedrohungsmodellierung können Sie Szenarien durchspielen, um potenzielle Bedrohungen zu bewerten und proaktiv entsprechende Gegenmaßnahmen zu entwickeln. Je mehr Mitarbeiter nach Schwachstellen suchen, desto geringer ist die Wahrscheinlichkeit für einen RCE-Angriff auf Ihr Netzwerk.
Andere Methoden zur Identifizierung von RCE-Schwachstellen
Scheuen Sie sich nicht, von der Arbeit anderer zu profitieren. Die Log4Shell-Lücken aus dem Jahr 2021 wurden nicht von einer einzelnen Person, sondern von mehreren Teams auf der ganzen Welt identifiziert und gepatcht. Cloud-Sicherheitslösungen können die Ausnutzung einiger RCE-Schwachstellen verhindern, sollten jedoch unbedingt auf dem neuesten Stand gehalten werden, da Hacker RCE-Schwachstellen auch bei diesen Programmen ausnutzen können.
Wie können Sie sich vor RCE-Angriffen schützen?
Neben Penetrationstests und Bedrohungsmodellierungen (siehe oben) gibt es eine Reihe von Methoden, die verhindern, dass RCE-Schwachstellen zu einem Problem für Ihr Unternehmen werden.
Sicherheitsvorkehrungen und Best Practices zur Abwehr von RCE-Angriffen
Auf technischer Ebene schützen Sie Ihr Unternehmen am besten vor RCE-Angriffen, wenn Sie alles in Ihrem Netzwerk auf dem neuesten Stand halten. Das bedeutet, dass Sie nicht nur Ihre Software, sondern auch alle Web-Anwendungen aktualisieren müssen. Zudem sollten Sie regelmäßige Schwachstellenanalysen Ihres Netzwerks durchführen. Wer der Meinung ist, Penetrationstests seien kostspielig, hat noch keine Datenschutzverletzung erlebt.
Die Verantwortung für die Sicherheit liegt beim gesamten Unternehmen, weshalb auch die Sensibilisierung der Mitarbeiter gegenüber Betrugs- und Phishing-Versuchen entscheidend dazu beiträgt. Sie müssen einen Mittelweg finden: Unterstützen Sie Ihre Mitarbeiter bei der Abwehr von Angriffen und schränken Sie gleichzeitig ihren Zugriff auf vertrauliche Daten ein, wenn dieser nicht benötigt wird. Dies wird als das Least-Privilege-Prinzip bezeichnet und verringert die potenziellen Folgen eines RCE-Angriffs auf Ihr Unternehmen oder Netzwerk.
Was sollten Sie bei der Abwehr von RCE-Angriffen vermeiden?
Einige Dinge sollten Sie bei der Abwehr von RCE-Angriffen vermeiden.
- Gestatten Sie Ihren Benutzern (und anderen Personen) nicht, Code in Ihre Web-Anwendung einzufügen. Gehen Sie immer davon aus, dass Benutzereingaben für Angriffe missbraucht werden, sonst kann es zu bösen Überraschungen kommen.
- Vermeiden Sie es, bestimmte Software nur zu nutzen, weil es bequem ist oder gerade im Trend liegt. Achten Sie bei der Auswahl von Anwendungen darauf, dass diese auch den Sicherheitsanforderungen Ihres Unternehmen entsprechen.
- Vernachlässigen Sie nicht den Schutz vor Pufferüberlauf! Diese RCE-Methode existiert seit Jahrzehnten und wird auch weiterhin für Angriffe genutzt werden.
Schützen Sie sich vor RCE-Angriffen
Die Möglichkeiten für Remotecode-Ausführung mögen enorm sein, doch Sie sind bei der Absicherung Ihres Unternehmen nicht auf sich allein gestellt. CrowdStrike bietet eine Vielzahl von Produkten, die erstklassige Technologie mit menschlicher Expertise vereinen – vom Virenschutz der nächsten Generation bis hin zur umfassenden Endgerätesicherheitslösung. CrowdStrike Falcon® Spotlight™ bietet Ihnen Schwachstellenbewertungen für alle Plattformen in Echtzeit, ohne dass dazu zusätzliche Hardware nötig wäre.