Action1 beschreibt einen Wandel in der Logik von Angriffen: Früher glich vieles dem Raten. Eine präparierte E-Mail wurde in der Hoffnung verschickt, der Empfänger nutze Outlook; ein manipuliertes Tabellendokument in der Annahme, Excel sei vorhanden; ein bösartiges PDF in der Erwartung, der Reader sei verwundbar. Der Exploit startete, bevor der Angreifer wusste, was auf der Gegenseite läuft — das erhöhte das Risiko der Entdeckung und gab wertvollen Exploit-Code preis, der anschließend profiliert und erkannt werden konnte.

Bei weit verbreiteten Werkzeugen ändert sich diese Wahrscheinlichkeitskurve. E-Mail-Clients, Browser, Textverarbeitung, Tabellenkalkulation, PDF-Reader und Archivierungswerkzeuge sind in den meisten Geschäftsumgebungen vorhanden, weil die Arbeit sie erfordert. Angreifer brauchen keine vollständige Information mehr, sondern setzen auf Überschneidung: Je verbreiteter ein Werkzeug, desto attraktiver wird es als Einstiegspunkt. Funktioniert ein Exploit in einer vertrauten Werkzeugkette, lässt er sich skalieren.

Nach Darstellung von Action1 treten diese Werkzeuge zudem gemeinsam auf. Wer Outlook einsetzt, hat häufig auch Word und Excel im Einsatz; E-Mail-Abläufe verbinden sich mit Dokument-Abläufen, Vorschau-Engines, Dokument-Renderern und gemeinsam genutzten Bibliotheken. So entsteht statt isolierter Exploits ein Geflecht von Angriffswegen, das dem alltäglichen Software-Bestand eines Unternehmens entspricht.

Hinzu kommen Informationen, die unbemerkt mitgeliefert werden. Dokumente enthalten Metadaten: PDFs verweisen auf die erzeugende Engine, Tabellen tragen suite-spezifisches Formatierungsverhalten, E-Mail-Header verraten Client-Details, Browser-Verkehr meldet den User-Agent. Eine einzelne Datei kann so Teile des dahinterliegenden Software-Stacks beschreiben — einschließlich Version und Alter. Zeigen sich in aktuellen Abläufen alte Software-Details, deutet das auf veraltete Verarbeitungssoftware hin, in der sich über Jahre Exploit-Potenzial angesammelt hat.

Während Betriebssystem-Patches in den meisten Unternehmen etabliert sind, leben Drittanbieter-Werkzeuge anders: Manche aktualisieren sich selbst, manche verlassen sich auf Nutzer, manche bleiben eingefroren, weil Arbeitsabläufe von einer bestimmten Version abhängen. In der Analyse von Action1 ist es üblich, mehrere Versionen derselben Drittanbieter-Anwendung nebeneinander zu finden, von denen einige Jahre hinter den aktuellen Sicherheitskorrekturen zurückliegen. Diese Fragmentierung häuft Exploit-Potenzial an, ohne offensichtliche Alarme auszulösen — ein fünf Jahre alter PDF-Reader trägt fünf Jahre kumuliertes Exploit-Potenzial in sich.

Dazu kommt die menschliche Seite: E-Mails, Dokumente, Browser und Archive wirken wie Infrastruktur, der man wie Schreibtisch und Tastatur vertraut. Ein PDF zu öffnen fühlt sich nicht wie das Ausführen von Code an. Weil solche Handlungen tausendfach am Tag geschehen, ist es äußerst schwierig, eine Kompromittierung später auf ein Dokument, eine E-Mail oder einen Nutzer zurückzuführen.

Action1, ein gründergeführtes Unternehmen der ursprünglichen Köpfe hinter Netwrix, vermarktet seine Plattform für die Verwaltung von Betriebssystem- und Drittanbieter-Patches und unterstützt nach eigenen Angaben neben Windows und macOS nun auch Linux. Nach Erfahrung von Teams, die mit derartigen Plattformen arbeiten, liefert das Patchen von Drittanbieter-Software oft eine größere Risikoreduktion als manch sichtbarere Sicherheitsmaßnahme. Der Beitrag wurde von Action1 gesponsert und verfasst.