APT und gezielte Angriffe
LLM-Agents und N-Day-Schwachstellen
Kürzlich sorgte die These, dass LLM-Agents autonom N-Day-Schwachstellen ausnutzen könnten, für Diskussionen. Wir zeigen, was tatsächlich möglich ist, und warum die Nachricht ein Weckruf für die Zukunft ist, sich bereits jetzt darauf vorzubereiten.
Künstliche Intelligenz und vor allem Large Language Models (LLMs) sorgen mit ihrer rasanten Weiterentwicklung immer wieder für neue Diskussionen gerade innerhalb der Cybersecurity Community. Kürzlich entfachte eine Arbeit von Daniel Kang zu Möglichkeiten von LLM-Agents eine weitere, denn der Forscher zeigte auf, dass diese Agents autonom N-Day-Schwachstellen ausnutzen könnten.
N-Day Schwachstellen sind Sicherheitslücken, die öffentlich bekannt und oft bereits über Sicherheits-Updates behoben wurden. Im Gegensatz zu Zero-Day Schwachstellen, die noch unbekannt und daher besonders gefährlich sind, stellen N-Day-Lücken dann ein Risiko dar, wenn betroffene Systeme nicht zeitnah gepatcht werden (One Day-Schwachstellen). Diese sind besonders gefährlich in Umgebungen, in denen Patching-Prozesse verzögert oder nicht konsequent durchgeführt werden. Daher stellt die Möglichkeit der autonomen Ausnutzung von N-Day Schwachstellen durch LLM Agents eine ernstzunehmende Bedrohung dar, die Unternehmen nicht ignorieren dürfen.
Konzepts von Daniel Kang
Daniel Kangs Arbeit erklärt das Konzept zur Ausnutzung von N-Day Schwachstellen durch LLM Agents, die diesem zufolge in der Lage sind, Sicherheitslücken autonom zu erkennen und Exploits auszuführen, ohne menschliches Zutun. Kang erläutert, dies sei durch Training der LLM Agents mit umfangreichen Datensätzen möglich. Dabei liegt der Fokus zunächst nicht auf der autonomen Erstellung von Exploit Code, sondern auf der effizienten Durchsuchung des Webs nach Proof-of-Concepts (PoCs) und Exploit Code.
Der Ablauf
Der Ablauf umfasst mehrere Schritte:
- Web Lookups: LLM Agents durchsuchen das Internet autonom nach sicherheitsrelevanten Informationen, insbesondere nach PoCs und Exploit Code. Dies beinhaltet das Scannen von Foren, Datenbanken und Code-Repositories.
- Analyse und Extraktion: Die LLMs analysieren die gefundenen Informationen und extrahieren relevante Exploits. Dabei identifizieren sie veraltete Softwareversionen und passende Exploits, die zur Ausnutzung dieser Schwachstellen verwendet werden können.
- Automatisierung: Die Agents nutzen diese Informationen, um automatisierte Angriffe durchzuführen. Dies erhöht die Geschwindigkeit und Skalierbarkeit von Angriffen erheblich, da der menschliche Faktor weitgehend eliminiert wird.
Effizienzsteigerung durch LLM Agents
Es zeigt sich also, dass die Automatisierung durch LLM Agents das Potenzial hat, die Effizienz und Skalierbarkeit von Cyberangriffen erheblich zu steigern. Indem sie das Web nach PoCs und Exploit Code durchsuchen, können die Agents bekannte Exploits vermutlich schneller und präziser finden als menschliche Akteure. Dies würde zu einer signifikanten Zunahme der Ausnutzung von N-Day Schwachstellen führen, da Angreifer in der Lage sind, Schwachstellen massenhaft und effizient zu missbrauchen.
Massenausnutzung von Schwachstellen in der Vergangenheit
Die Ausnutzung von N-Day Schwachstellen ist kein neues Phänomen. In der Vergangenheit gab es mehrere bemerkenswerte Beispiele, bei denen bekannte Schwachstellen massenhaft ausgenutzt wurden:
- WannaCry-Ransomware (2017): WannaCry nutzte eine bekannte Schwachstelle (EternalBlue) im Windows SMB-Protokoll aus. Obwohl ein Patch bereits veröffentlicht worden war, traf WannaCry Tausende von Systemen weltweit, die nicht rechtzeitig aktualisiert worden waren.
- NotPetya (2017): Ähnlich wie WannaCry nutzte NotPetya ebenfalls die EternalBlue-Schwachstelle aus. Der Angriff verursachte massive Schäden, insbesondere in der Ukraine, und breitete sich schnell global aus.
- Equifax-Datenleck (2017): Das Equifax-Datenleck wurde durch die Ausnutzung einer bekannten Schwachstelle in Apache Struts verursacht. Trotz der Verfügbarkeit eines Patches wurde das Update nicht rechtzeitig implementiert, was zu einem der größten Datenlecks in der Geschichte führte.
Diese Beispiele zeigen, dass selbst bekannte und gepatchte Schwachstellen immer noch erheblichen Schaden anrichten können, wenn Systeme nicht rechtzeitig aktualisiert werden. Die Fähigkeit von LLM Agents, solche Schwachstellen effizient zu finden und auszunutzen, könnte die Häufigkeit und das Ausmaß solcher Angriffe in Zukunft weiter erhöhen.
Einordnung und Bewertung
Obwohl das Potenzial der LLM-Agents, das Kang aufzeigt, beunruhigend klingt, sollten diese Erkenntnisse in einem größeren Kontext betrachtet werden. Derzeit befinden sich die Fähigkeiten der LLM Agents noch in einem Entwicklungsstadium, das sie nicht vollumfänglich in die Lage versetzt, komplexe und maßgeschneiderte Angriffe autonom durchzuführen. Die Technologie zeigt zwar, was theoretisch möglich ist, doch gibt es noch technische Hürden, die eine sofortige und breite Anwendung verhindern.
Das bedeutet, dass das Szenario also nicht gänzlich unwahrscheinlich ist, doch gibt es keinen Grund zur Panik. Die aktuelle technologische Reife reicht voraussichtlich noch nicht aus, um diese vollkommen autonome Ausnutzung der Schwachstellen ohne bereits verfügbaren Code sofort Wirklichkeit werden zu lassen. Es ist eher ein Weckruf für die Zukunft, der uns zeigt, wohin die Reise gehen könnte und welche Maßnahmen bereits jetzt ergriffen werden sollten.
Fazit und Empfehlungen
Die Balance zwischen dem Nutzen der KI-Technologie und der Minimierung ihrer Risiken wird eine der zentralen Herausforderungen der kommenden Jahre sein. Während die aktuellen Fähigkeiten der LLM Agents vermutlich noch nicht ausgereift genug sind, um hochkomplexe Angriffe völlig autonom durchzuführen, zeigt die Forschung, dass die technologische Entwicklung in diese Richtung geht. Unternehmen sollten diese Entwicklungen genau beobachten und entsprechende Maßnahmen zur Risikominderung ergreifen.
Unternehmen müssen sich dennoch bewusst sein, dass die heute noch theoretische Fähigkeit keine ferne Zukunftsvision mehr ist. Daher sind sie gut beraten, ihre Sicherheitsstrategien entsprechend anzupassen. Dazu gehören folgende Best Practices:
- Regelmäßiges Patching: Sicherstellen, dass alle Systeme regelmäßig auf dem neuesten Stand gehalten werden, um die Angriffsfläche für N-Day Exploits zu minimieren.
- Überwachung und Erkennung: Implementierung von fortschrittlichen Überwachungsmechanismen, die ungewöhnliche Aktivitäten frühzeitig erkennen können.
- Priorisierung und Risikobewertung von Schwachstellen: Ausgehend vom Standard CVSS sollten Schwachstellen mit weiteren Kontextinformationen versehen um die situative Gefahr eines Assets besser einschätzen zu können und somit eine bessere Priorisierung herstellen zu können. Die komplette Menge aller verfügbaren Softwareschwachstellen aktiv zu managen, ist für die allermeisten Unternehmen bereits heute ein großes Problem.
- Besserer Schutz vor Missbrauch: Durch Techniken wie das Virtual Patching kann erreicht werden, dass Softwareschwachstellen erkannt und wenn möglich durch einen Netzwerkfilter vor Ausnutzung geschützt werden.
- Automatisierung der Bedrohungsanalyse: Schutztechnologien könnten ähnliche Mechanismen wie LLM-Agents nutzen, um ihre Systeme auf Schwachstellen zu überprüfen und diese, wenn möglich, automatisiert zu beheben oder zumindest besser gegen die reale Bedrohungslandschaft und die Wahrscheinlichkeit einer Ausnutzung zu überprüfen.
Diese proaktive Nutzung von KI könnte dazu beitragen, Sicherheitslücken schneller zu schließen und das Risiko von Angriffen zu minimieren.