Acronis-Sicherheitslücke CVE-2023-41743 gefährdet Endpunktschutz

Im dritten Quartal 2023 hat Acronis die Schwachstelle CVE-2023-41743 offengelegt, eine lokale Rechteerweiterungsschwachstelle, die mehrere Versionen seiner Endpunktschutzprodukte betrifft. Mit einer CVSS-Bewertung von 7,8 ermöglichte diese Schwachstelle Angreifern mit niedrigem Zugriffsniveau, ihre Rechte auf Windows-Systemen mit anfälliger Acronis-Software zu erweitern. Obwohl die Ausnutzung der Schwachstelle lokalen Systemzugriff erfordert, verdeutlicht ihre Entdeckung kritische Lücken in der Endpunktsicherheitsarchitektur, die sich erheblich auf Risikobewertungen im Bereich der Cyber-Versicherung auswirken können.

Was CVE-2023-41743 beinhaltet

CVE-2023-41743 betrifft drei Acronis-Produkte: Cyber Protect Home Office (vor Build 40278), Cyber Protect Cloud Agent (vor Build 31637) und Cyber Protect 15 (vor Build 35979). Die Schwachstelle resultiert aus unsicheren Berechtigungen auf Treiberkommunikationsports, wodurch lokale Benutzer ihre Rechte bis zur SYSTEM-Ebene erweitern können.

Der technische Mechanismus basiert auf unzureichenden Zugriffskontrollen auf benannten Pipes, die von Acronis-Treibern zur Interprozesskommunikation verwendet werden. Ein lokaler Angreifer konnte speziell gestaltete Befehle über diese Pipes senden, um Code mit erhöhten Rechten auszuführen. Acronis hat das Problem durch Patches im September 2023 behoben, wodurch betroffene Organisationen ihre Endpunkte aktualisieren mussten, um die Schwachstelle zu beheben.

Versicherungstechnische Auswirkungen von Rechteerweiterungsschwachstellen

Rechteerweiterungsschwachstellen wie CVE-2023-41743 beeinflussen direkt das Risikoprofil im Bereich der Cyber-Versicherung, indem sie potenzielle Angriffsflächen erweitern und die Schadenshöhe erhöhen. Obwohl diese spezifische Schwachstelle zunächst lokalen Zugriff erfordert, stellt sie einen kritischen Kontrollverlust dar, den Versicherer im Rahmen des Underwritings bewerten.

Aus Sicht der Versicherung erhöhen solche Schwachstellen die Schadenhäufigkeit, da Angreifer dadurch ihre Position innerhalb eines kompromittierten Systems ausbauen können. Sobald Angreifer durch Phishing oder andere Einfallstore initialen Zugriff erlangen, ermöglichen Schwachstellen wie CVE-2023-41743 das Erweitern von Rechten sowie den Zugriff auf sensible Daten, die Bereitstellung von Ransomware oder die Einrichtung persistenter Backdoors.

Das Vorhandensein solcher Schwachstellen signalisiert zudem mögliche Defizite in den Prozessen zur Lieferantenrisikosteuerung. Organisationen, die betroffene Acronis-Produkte ohne angemessene Patch-Management-Protokolle nutzen, weisen ein erhöhtes operatives Risiko auf, das Underwriter bei der Prämienkalkulation und Gestaltung der Deckungsbedingungen berücksichtigen.

Technische Analyse im geschäftlichen Kontext

Die Schwachstelle betrifft Endpunktschutzsoftware – eine kritische Sicherheitskomponente, auf die Organisationen gerade zur Verhinderung solcher Angriffe setzen. Wenn Hersteller von Endpunktschutzsoftware selbst Schwachstellen in ihre Produkte einbauen, entsteht ein Widerspruch: Das Sicherheitstool wird zu einer Haftungsquelle statt zu einem Schutzmechanismus.

Aus geschäftlicher Sicht standen Organisationen mit anfälligen Acronis-Produkten vor einem erhöhten Risiko hinsichtlich:

• Lateraler Bewegung von Angreifern, die initialen Zugriff erlangt hatten
• Kompromittierung sensibler Daten, die auf betroffenen Endpunkten gespeichert waren
• Bereitstellung persistenter Malware mit SYSTEM-Rechten
• Erhöhter Kosten für die Vorfallsbearbeitung aufgrund eines erweiterten Sicherheitsvorfalls

Die Schwachstelle betrifft besonders Organisationen mit Bring-your-own-Device-Richtlinien oder solche, die Endpunkte in weniger kontrollierten Umgebungen verwalten, da hier ein initialer lokaler Zugriff durch böswillige Akteure wahrscheinlicher ist.

Deckungs- und Underwriting-Aspekte

Versicherungs-Underwriter bewerten Rechteerweiterungsschwachstellen aus mehreren Perspektiven. Erstens prüfen sie die Wahrscheinlichkeit einer Ausnutzung basierend auf der Angriffskomplexität und erforderlichen Zugriffsebene. Obwohl CVE-2023-41743 lokalen Zugriff erfordert, enthalten moderne Angriffsketten häufig Initialeintrittsvektoren, die genau diesen Zugriff bieten.

Zweitens berücksichtigen Underwriter die Auswirkung der Schwachstelle auf die potenzielle Schadenshöhe. Rechteerweiterungsfunktionen erweitern erheblich, was Angreifer nach einem Netzwerkzugriff erreichen können – potenziell zu größeren Datenverletzungen, umfangreicherer Ransomware-Einsätze oder tieferer persistenter Zugriffe, die die Sanierungskosten erhöhen.

Drittens beeinflusst die Schwachstelle die Bewertung von Lieferantenrisiken. Organisationen, die betroffene Acronis-Produkte nicht innerhalb angemessener Fristen gepatcht haben, signalisieren mögliche Schwächen in ihren Sicherheitsoperationen, was zu höheren Prämien, Deckungsbeschränkungen oder spezifischen Ausschlüssen für lieferkettenbedingte Vorfälle führen kann.

Versicherer prüfen zudem, ob solche Schwachstellen unter bestehende Policen fallen. Die meisten Cyber-Versicherungspolicen decken Betriebsunterbrechungen und Kosten im Zusammenhang mit Datenverletzungen ab, die durch ausgenutzte Schwachstellen entstehen, obwohl einige Policen Verluste durch unpatchte oder bekannte, nicht behobene Schwachstellen ausschließen können.

Empfehlungen zur Risikosteuerung

Organisationen sollten mehrere Maßnahmen ergreifen, um die Risiken im Zusammenhang mit Rechteerweiterungsschwachstellen zu minimieren:

Patch-Management: Automatisierte Patch-Management-Prozesse für alle Endpunktschutzsoftware und kritische Systemkomponenten etablieren. Den Patch-Status über zentrale Management-Konsolen verfolgen und Genehmigungsworkflows implementieren, die Sicherheitsbedürfnisse mit operativer Stabilität in Einklang bringen.

Endpoint Detection and Response (EDR): EDR-Lösungen implementieren, die ungewöhnliche Rechteerweiterungsaktivitäten erkennen können, selbst wenn sie von legitimen Systemprozessen ausgehen. Auf anomales Verhalten achten, das auf Ausnutzungsversuche hinweisen könnte.

Netzwerksegmentierung: Netzwerksegmentierung einführen, um laterale Bewegungen einzuschränken, selbst wenn Angreifer erfolgreich Rechte auf einzelnen Endpunkten erweitern.

Lieferantenrisikobewertung: Regelmäßig Sicherheitspraktiken kritischer Lieferanten bewerten, einschließlich ihrer Prozesse zur Offenlegung von Schwachstellen und Zeitpläne für Patches. Sicherheitsanforderungen in Lieferantenverträgen aufnehmen und die Einhaltung überwachen.

Vorfallsmanagement: Verfahren zur Vorfallsbearbeitung aktualisieren, um Szenarien mit Rechteerweiterungen abzudecken, einschließlich Prozessen zur Isolation betroffener Endpunkte und forensischen Analysen potenziell kompromittierter Systeme.

Verfolgen und steuern Sie Cyber-Bedrohungen mit unserem Risikoregister.

Fazit

CVE-2023-41743 verdeutlicht, wie Schwachstellen in Sicherheitstools selbst erhebliche Risikoexpositionen für Organisationen darstellen können. Obwohl diese spezifische Schwachstelle lokalen Zugriff erforderte und mittlerweile gepatcht ist, zeigt sie die Bedeutung kontinuierlicher Lieferantenbewertungen und robuster Patch-Management-Prozesse. Für Versicherungsfachleute ermöglicht das Verständnis solcher technischer Details eine präzisere Risikobewertung und angemessene Gestaltung der Deckung. Organisationen müssen erkennen, dass Endpunktschutztools, obwohl sie unerlässlich sind, zu Haftungsquellen werden können, wenn sie nicht ordnungsgemäß gepflegt werden – was umfassende Risikosteuerungsansätze erfordert, die über traditionelle Sicherheitsmaßnahmen hinausgehen.