Microsoft deckt auf: Schwachstellen in Betriebssystemen

Forscher bei Microsoft haben Schwachstellen in Betriebssystemen gefunden, die von IoT (Internet of Things)- und OT-Geräten in kommerziellen, medizinischen und industriellen Umgebungen verwendet werden. Die Azure Defender for IoT-Gruppe im Microsoft Security Response Center hat dies aufgedeckt. Kritische Fehler bei der Speicherzuweisung, genannt BadAlloc, ermöglichen es, Sicherheitskontrollen zu umgehen, um bösartigen Code auszuführen oder Systeme zum Absturz zu bringen.

Die Schwachstellen befinden sich in Speicherzuweisungsfunktionen von Real-Time Operating Systems (RTOS) Software Development Kits (SDKs) und C-Sprachbibliotheken (libc).

Microsoft selbst räumt ein, dass die Installation von Patches auf IoT/OT-Geräten komplex sein kann. Das Unternehmen empfiehlt daher, die Angriffsfläche zu reduzieren – und zwar indem man die Exposition anfälliger Geräte im Internet minimiert, Netzwerke auf Indikatoren für seltsames Verhalten überwacht und die Netzwerksegmentierung zum Schutz kritischer Anlagen verstärkt.

Soweit bekannt ist, wurden die Schwachstellen noch nicht in „freier Wildbahn“ entdeckt, bieten aber potenziellen Angreifern eine große Angriffsfläche, um Schaden anzurichten. Die vollständige Liste der betroffenen Produkte ist auf der Website des US-Ministeriums für Heimatschutz verfügbar.

Einige Experten weisen darauf hin, dass die rasante Verbreitung von IoT-Geräten nicht unbedingt eine gute Nachricht ist, da die Sicherheit möglicherweise vernachlässigt wurde. Dadurch könnten sich Schlupflöcher für Angriffe auf Geräte und ganze Netzwerke auftun. Eine kürzlich durchgeführte Umfrage des Softwareunternehmens Tripwire, das sich auf IT-Sicherheit und Compliance-Automatisierung spezialisiert hat, ergab, dass 99 % der Befragten nach eigenen Angaben erhebliche Schwierigkeiten haben, IoT- und IIoT-Geräte (Industrial Internet of Things) zu sichern. Zwei Drittel gaben außerdem an, Probleme bei der Identifizierung und Behebung von Sicherheitslücken zu haben.

Die gemeinnützige Stiftung OWASP (Open Web Application Security Project), die sich für die Sicherheit von Software einsetzt, möchte nun Entwicklern, Herstellern, Unternehmen und Verbrauchern dabei helfen, die Sicherheit von IoT-Systemen zu fördern. Die Stiftung hat eine Liste mit den zehn wichtigsten Verhaltensweisen erstellt, die es im Zusammenhang mit dem Internet der Dinge zu vermeiden gilt.

Es ist Fakt, dass es eine große Diskrepanz zwischen der Häufigkeit, mit der die Firmware von IoT-Geräten aktualisiert wird, und der Geschwindigkeit, mit der Schwachstellen in ihren kritischen Komponenten auftauchen, gibt. Wer wird dieses Rennen in den kommenden Jahren anführen?