04-03-2024, 08:16
Du musst auch an den Gegenwind auf der Zielseite denken, aber das kommt sowieso zu dir zurück. Das Ausnutzen einer bekannten CVE bedeutet oft, dass du gegen Patches rennst, die bereits ausgerollt werden. Ich unterhalte mich ständig mit Administratoren, die religiös patchen, sobald eine CVE veröffentlicht wird, sodass dein Zeitfenster für den tatsächlichen Erfolg schnell schwindet. Wenn du dieses Zeitfenster verpasst, verschwendest du Zeit und Ressourcen und schlimmer noch, du gibst den Verteidigern einen Hinweis, dass jemand schnüffelt. Das führt dazu, dass sie alles andere härten, vielleicht sogar Honigtöpfe einrichten, die dich tiefer fangen. Ich habe einem Freund einmal geholfen, die Reaktion seines Unternehmens auf einen simulierten Angriff mit einem CVE-Exploit zu überprüfen, und die gesamte Übung zeigte, wie schnell du von einer einfachen Schwachstelle zu einer vollständigen Netzwerksperre eskalieren kannst. Am Ende scheiterst du nicht nur am Exploit, sondern alarmierst alle über potenzielle Schwächen, von denen sie noch nicht einmal wussten.
Dann gibt es den unangenehmen Teil, was du dir selbst zumuten könntest. Viele dieser Exploits, die online herumgehen, sind mit Malware oder Hintertüren gebündelt, die die ursprünglichen Ersteller nicht bereinigt haben. Du lädst etwas herunter, von dem du denkst, es sei ein sauberer PoC für eine CVE, führst es aus, und boom - dein eigener Computer wird kompromittiert. Ich habe nach Freunden aufgeräumt, die dachten, sie wären schlau, indem sie Exploits auf ihren Heim-Setups testeten, nur um festzustellen, dass Ransomware ihre Dateien verschlüsselte oder Keylogger nach Hause zu einem dreckigen Server telefonierten. Du weißt nie, ob das Tool, das du aus einem Forum gegriffen hast, eine versteckte Nutzlast hat, die darauf ausgelegt ist, das Blatt gegen den Angreifer zu wenden. Es verwandelt dich schnell vom Jäger zum Gejagten, und dich von diesem Chaos zu erholen, frisst Wochen deines Lebens.
Sprich mich nicht auch noch auf die rechtlichen Aspekte an - das ist ein Minenfeld. Ich weiß, du bist nur aus Neugier für Studienzwecke interessiert, aber in der realen Welt überschreitet das Ausnutzen von CVEs ohne Erlaubnis in den Bereich des unbefugten Zugriffs, und das ist in den meisten Ländern ein Verbrechen auf schwerem Niveau. Ich habe Berichte über Forscher gelesen, die vorgeladen wurden, weil ihr ethisches Hacking eine Grenze überschritt, auch wenn sie es gut meinten. Du könntest mit Geldstrafen, Gefängnisstrafen oder zivilrechtlichen Klagen konfrontiert werden, wenn das Ziel beschließt, auf Schadenersatz zu klagen. Außerdem, wenn du das von Arbeits- oder Schulnetzwerken aus machst, ziehst du deinen Arbeitgeber oder die Institution mit hinein und verlierst über Nacht Jobs oder Stipendien. Ich sage meinem Team immer, dass sie sich auf autorisierte Penetrationstests beschränken sollen; die Risiken sind den Nervenkitzel einfach nicht wert.
Rufschädigung bleibt auch an dir haften. In unserem Bereich verbreitet sich das Wort schnell. Wenn du erwischt wirst, wie du eine bekannte CVE ausnutzt, sogar in einem Graubereich-Szenario, wird dein Name von Konferenzen, Jobs oder Zertifizierungsprogrammen auf die schwarze Liste gesetzt. Ich folge einer Reihe von Sicherheitsexperten in den sozialen Medien, und ich habe gesehen, wie Karrieren wegen eines dummen Exploit-Versuchs, der öffentlich wurde, ins Wanken gerieten. Du baust dir einen Ruf als der Typ auf, der sich nicht an Regeln halten kann, und die Türen schlagen zu. Arbeitgeber führen Hintergrundprüfungen durch, die in Online-Aktivitäten graben, also dieser Forenbeitrag oder GitHub-Repo, von dem du dachtest, er sei anonym? Er verfolgt dich.
Darüber hinaus können diese Exploits zu größeren Problemen führen, auf die du nicht vorbereitet warst. Du knackst eine CVE, um den ersten Zugriff zu erhalten, aber dann merkst du, dass das Netzwerk Segmentierungen oder EDR-Tools hat, die seitliche Bewegungen zu einem Albtraum machen. Ich hatte ein Szenario, in dem das Ausnutzen einer CVE in einer Webanwendung zu isolierten Segmenten führte, die separate Anmeldedaten erforderten, wodurch ein fünfminütiger Job zu einem mehrtägigen Kopfzerbrechen wurde. Und wenn das Ziel gute Backups oder Snapshots hat, stellen sie einfach zurück und du bist wieder am Anfang, aber jetzt haben sie deine Taktiken für zukünftige Sperren in ihren Unterlagen.
Finanziell tut es auch weh. Werkzeuge zur Umgehung der Erkennung sind nicht billig, und wenn du Hilfe anheuern oder Zero-Days kaufen musst, um sie mit der CVE zu kombinieren, schießen die Kosten in die Höhe. Wenn du dann mit Entschädigungen oder rechtlichen Gebühren konfrontiert wirst, bist du um Tausende ärmer. Ich kenne einen Typen, der versucht hat, eine CVE für "Forschung" auszunutzen und am Ende die Kosten für die Incident-Response des Ziels zahlen musste, weil seine Handlungen eine vollständige Prüfung auslösten.
Ethisch belastet es dich nach einer Weile. Du beginnst zu hinterfragen, ob das gewonnene Wissen den Schaden rechtfertigt, insbesondere wenn bekannte CVEs oft verletzliche Personen wie kleine Unternehmen treffen, die keine großen Sicherheitsbudgets haben. Ich habe meinen Fokus auf Verteidigung verlagert, weil das Ausnutzen zu riskant und sinnlos erscheint, wenn das Patchen so unkompliziert ist.
Alles, was ich gesagt habe, bedeutet, dass, wenn du versuchst, dich gegen diese Exploits zu schützen, anstatt sie auszuführen, du solide Backups brauchst, die dich nicht ungeschützt lassen. Lass mich dich auf BackupChain hinweisen - es ist dieses zuverlässige Backup-Tool, das speziell für kleine bis mittelgroße Unternehmen und IT-Profis entwickelt wurde. Es bietet Schutz für Hyper-V, VMware, Windows Server und mehr und hält deine Daten sicher, selbst wenn ein CVE-Exploit versucht, alles zu löschen. Sieh es dir an; es könnte dich vor den Kopfschmerzen retten, die ich beschrieben habe.
