Nicht jeder ist ein Informatiker ist ein IT-Sicherheitsexperte. Deswegen möchten wir hier eine kleine Anleitung für Administratoren und Informatiker anbieten, wie man seine Systeme auf den neuartigen und durchaus kritischen Log4J Exploit überprüft.
Es ist eingeschlagen wie eine Bombe und hat Systemadministratoren, Entwickler und IT-Security Experten am Freitag ein ungemütliches Wochenende beschert. Wahrscheinlich stehst du nun da, vor deinen Servern und Clients und fragst dich: Bin ich überhaupt betroffen? Wie finde ich das heraus? Denn nicht jeder, der Java oder Apache nutzt ist zwangsläufig betroffen.
Herausfinden ob man betroffen ist:
Log4J ist ein Softwarebaustein, der von einigen Anwendungen wie Java und Apache angewendet werden kann, aber nicht muss. Es kann also sein, dass deine Server und Clients die betroffenen Anwendungen installiert haben, aber dennoch du kein Log4J Problem hast.
Erstmal gute Nachrichten. Was müssen wir also machen, um herauszufinden ob wir betroffen sind? Wir suchen nach den passenden Signaturen auf deinen Clients.
Log4J Signaturen auf Windows Systemen (Windows 10 / Windows Server) entdecken:
Um die Log4J Signaturen auf deinem Rechner zu entdecken, müssen wir auf die passenden Signaturen eine Indexierung und Suche starten. Nur wenn diese ein Ergebnis ausspucken, besteht Handlungsbedarf.
Die Suche nehmen wir mithilfe eines kleinen Powershell Befehls vor. Dafür starten wir Powershell ISE mit lokalen Administratorrechten und führen folgendes Skript aus:
Get-ChildItem -Path C:\ -Include log4j-api-*.jar,log4j-core-*.jar -File -Recurse -ErrorAction SilentlyContinue
Du findest nichts? Gut, das heißt, dass der untersuchte Server / Clients nicht betroffen ist.
Du bist dir nicht sicher ob überhaupt gesucht wurde?
Nutze den folgenden Befehl, um die Funktionalität des Skriptes zu überprüfen. Hier suchen wir zusätzlich nach Dateien mit einer .pdf Endung, damit du ein paar Ergebnisse ausgespuckt kriegst:
Get-ChildItem -Path C:\ -Include log4j-api-*.jar,log4j-core-*.jar,*.pdf -File -Recurse -ErrorAction SilentlyContinue
Log4J Signaturen auf Linux Systemen entdecken:
Die Suche auf Linux Systemen können wir aufgrund der guten Bedienbarkeit von Linux direkt aus der Shell starten. Du brauchst dafür nur folgenden Befehl:
find / -name '*log4j*'
Ich habe bei meiner Suche Log4J Signaturen entdeckt!
Du hast kein Ergebnis erhalten? Super. Das bedeutet, dass deine Systeme Log4J nicht nutzen. Es besteht kein weiterer Handlungsbedarf.
Du hast ein Ergebnis erhalten? Kein Grund zur Panik. Mit großer Wahrscheinlichkeit ist es eine von dir oder deinen Kollegen installierte Software, die du am Programmpfad erkennst. Kontaktiere deinen Anbieter oder besuche seine Website, um das neueste Update mit den neuesten Patches zu erhalten und installiere diese. Die meisten Softwareanbieter sind informiert und arbeiten mit Hochdruck an Lösungen und kritischen Updates für dein System.
Überprüfe in den nächsten Tagen und Wochen verstärkt verfügbare Updates und versuche sie schnellstmöglich zu installieren und bereitzustellen.
Du hast eine eigenentwickelte Software, die Log4J nutzt? Bitte den Entwickler, diese Schnittstelle zu deaktivieren bis ein passender Patch gefunden und installiert wurde.
Du brauchst zusätzliche Hilfe bei der Beseitung der Sicherheitslücken? Schreibe uns gerne eine E-Mail! Unsere IT-Experten stehen dir mit Rat und Tat beiseite.
Interessiert an einer umfassenden IT-Beratung oder einer neuen Website? Unser Team berät dich gerne, vor Ort und gerne auch digital! Bis dahin kannst du dir gerne auf der Seite Webdesign oder im Bereich IT einen Eindruck von unserer Arbeit machen.