Netzwerk-Exploit-Typen: praktische Beispiele aus Pentests

Die Wahl des richtigen Exploits ist keine Frage der Intuition, sondern eine strategische Entscheidung auf Basis der Analyse der Angriffsfläche, der Softwareversion und des operativen Ziels. Bei einem Pentest der Netzwerkinfrastruktur zählt jede Minute doppelt, und eine unüberlegte Wahl der Technik kann mit einem IDS-Alarm, einem Sitzungsverlust oder fehlendem Zugriff auf kritische Ressourcen enden. In diesem Artikel finden Sie einen geordneten Überblick über Typen von Netzwerk-Exploits, konkrete CVE-Beispiele und praktische Hinweise zur Klassifizierung und Priorisierung von Techniken, die im Feld tatsächlich funktionieren.

Inhaltsverzeichnis

• Wie klassifiziert man Netzwerk-Exploit-Typen?

• Beispiele für Exploits gegen SMB, RDP und SSH

• Exploits von Edge-Geräten und VoIP-Systemen

• Meistgenutzte CVEs und Heuristiken zur Priorisierung von Exploits

• Worauf bei der Bewertung der Nützlichkeit von Exploits zu achten ist: Experten-Perspektive

• Werkzeuge und Hardware für effektives Testen von Netzwerk-Exploits

• Häufig gestellte Fragen

Kernpunkte

Wie klassifiziert man Netzwerk-Exploit-Typen?

Jetzt, da Sie wissen, wie wichtig die richtige Wahl ist, lohnt es sich, den logischen Rahmen für die Klassifizierung von Exploits zu verstehen. Ohne ein kohärentes System zur Wissensorganisation wird jeder Pentest zu einem chaotischen Versuchs-und-Irrtums-Prozess. Klassifizierung ist nicht nur Theorie, sondern ein Arbeitswerkzeug.

Laut Exploitation Techniques Overview wird die Klassifizierung von Netzwerk-Exploits am besten entlang von drei unabhängigen Achsen durchgeführt: Angriffsfläche, Klasse der Technik und operatives Ziel. Jede dieser Achsen beantwortet eine andere Frage, und zusammen ergeben sie ein vollständiges Bild des Angriffsszenarios.

Angriffsfläche

Die erste Achse ist die Angriffsfläche, also das Protokoll oder der Dienst, der den Eintrittsvektor darstellt. Am häufigsten in der Praxis anzutreffen:

• SMB (Server Message Block) - in Windows-Umgebungen weit verbreitet, historisch reich an RCE-Schwachstellen

• RDP (Remote Desktop Protocol) - oft an Netzwerkrändern offen, Ziel von Brute-Force-Angriffen und Speicher-Exploits

• SSH - relativ sicher, aber anfällig für Implementierungsfehler und schwache Konfigurationen

• SIP/VoIP - in Audits vernachlässigt, aber außergewöhnlich attraktiv für Angreifer

• Edge-Geräte - Router, IP-Telefone, Switches mit anfälliger Firmware

Klasse der Exploit-Technik

Die zweite Achse beschreibt die Mechanik des Bugs. In der Praxis begegnen Pentester:

• Pufferüberlauf (Buffer Overflow) - der Klassiker, immer noch in älteren Systemen präsent

• Use-after-free - eine komplexe Technik, die Präzision in der Speicherverwaltung erfordert

• CVE Zero-Day - nicht offengelegte Schwachstellen, die eigene Recherche und Werkzeuge erfordern

• Protokoll-Logikfehler - z. B. fehlerhafte Behandlung von Paketsequenzen in SIP

• Privilege Escalation Chains - eine Schrittsequenz, die von minimalem Zugriff bis zu root führt

Fuzzing-Techniken, im Detail beschrieben im Kontext von Fuzzing in Pentests, sind ein Schlüsselwerkzeug zur Identifikation von Implementierungsfehlern in Protokollen, bevor sie in öffentliche CVEs gelangen.

Exploit-Ziel in der Angriffsstruktur

Die dritte Achse, das operative Ziel, entscheidet über den Platz des Exploits in der Angriffskette:

• Erlangung des Erstzugangs (Initial Access) zu einem System oder Netzwerk

• Privilege Escalation von einem Benutzerkonto zu root oder SYSTEM

• Lateral Movement zwischen Systemen im internen Netzwerk

• Persistenz - Aufrechterhaltung des Zugriffs nach einem Dienst- oder Systemneustart

Ein guter Pentester sucht nicht nach einem Exploit, der „irgendwie funktioniert". Er sucht nach einem Exploit, der für eine bestimmte Angriffsfläche, eine bestimmte Dienstversion und ein bestimmtes Missionsziel optimal ist. Der Rest ist Zeitverschwendung und Entdeckungsrisiko.

Die Kenntnis aller drei Achsen ermöglicht den Aufbau präziser Testszenarien statt blindem Schießen. Das ist der Unterschied zwischen einem Audit und einem echten Red Team.

Beispiele für Exploits gegen SMB, RDP und SSH

Mit dem Klassifizierungsrahmen ist es Zeit, wichtige reale Beispiele aus verschiedenen Netzwerkdiensten zu besprechen. SMB, RDP und SSH sind die drei Säulen der Windows/Linux-Infrastruktur, die regelmäßig als Angriffsvektoren in Pentest-Berichten erscheinen.

SMB: CVE-2008-4834 und die Buffer-Overflow-Schwachstellenklasse

Ein kritischer Buffer Overflow in SMB repräsentiert eine Klasse von Lücken, in denen der Angreifer ohne Authentifizierung beliebigen Code remote auf dem Zielsystem ausführen kann. CVE-2008-4834 betrifft die Microsoft-SMB-Implementierung und ermöglicht einen Stack Overflow durch ein falsch aufgebautes Transaction2-Paket. In der Pentest-Praxis bedeutet das die Möglichkeit, eine SYSTEM-Sitzung auf einem ungepatchten Windows-System ohne jegliche Anmeldedaten zu erlangen.

Die Mechanik dieses Exploits ist wie folgt:

1. Der Angreifer scannt das Netzwerk auf Suche nach einem offenen Port 445 (SMB)

2. Sendet ein speziell aufgebautes Transaction2-Paket mit überlaufendem Feld

3. Der SMB-Server schreibt Daten über die Puffergrenze hinaus und überschreibt die Rücksprungadresse

4. Die Kontrolle über den Instruktionszeiger geht auf den Shellcode des Angreifers über

5. Der Shellcode öffnet eine Reverse Shell oder lädt einen Stage-2-Payload

Vergleichstabelle der Exploits gegen SMB, RDP und SSH

Bedrohungsstatistiken: Laut Daten zu globalen Vorfällen aus dem Jahr 2023 nutzten mehr als 60 % der erfolgreichen Ransomware-Angriffe in Europa ungeschützte RDP-Dienste oder ungepatchte SMB-Implementierungen als Eintrittsvektor. Diese Dienste bleiben aufgrund ihrer Verbreitung und langer Patching-Zyklen in Produktionsumgebungen ein Prioritätsziel.

RDP: Angriffstechniken und Umgehung der Authentifizierung

Angriffe auf RDP teilen sich in zwei Kategorien. Die erste sind Exploits auf Protokollebene wie BlueKeep (CVE-2019-0708), die nur Zugriff auf Port 3389 erfordern. Die zweite sind Angriffe auf die Authentifizierungsebene: Credential Stuffing, Pass-the-Hash und Brute-Force unter Verwendung von Listen beliebter Passwörter.

Detection-Evasion-Techniken bei einem RDP-Angriff umfassen:

• Fragmentierung des TCP-Verkehrs auf der Netzwerkschicht

• Verwendung legitimer Systemwerkzeuge (LOLBins) nach Erlangung des Zugriffs

• Begrenzung der Brute-Force-Geschwindigkeit unter SIEM-Alarmschwellen

• Tunneln des Protokolls über HTTPS oder Tor

SSH: Verkehrsanalyse und Schwachstellenerkennung

Bei SSH-Diensten konzentriert sich die Schwachstellenanalyse hauptsächlich auf OpenSSH-Bibliotheksversionen mit Implementierungsfehlern, schwache RSA-Schlüssel, die auf eingebetteten Geräten generiert werden, und falsch konfiguriertes Agent Forwarding.

Es lohnt sich auch zu erwähnen, dass Schadsoftware oft Systembibliotheken manipuliert, und der Angriff auf DLLs im Netzwerkkontext eine Technik ist, die häufig nach Erlangung des Zugriffs über SSH oder RDP eingesetzt wird, um Persistenz ohne Modifikation der Hauptsystemdateien aufrechtzuerhalten.

Profi-Tipp: Bevor Sie einen Exploit auf SSH starten, prüfen Sie die Daemon-Version mit dem Befehl ssh -v target oder einem Nmap-Scan mit dem Skript ssh-auth-methods. Die OpenSSH-Version verrät oft die Distribution des Systems, was ermöglicht, die Liste effektiver CVEs auf wenige spezifische Vektoren einzuengen.

Exploits von Edge-Geräten und VoIP-Systemen

Neben Standardprotokollen werden zunehmend Edge-Geräte und VoIP angegriffen, die einen separaten Ansatz erfordern. In einer typischen Unternehmensinfrastruktur bleiben Dutzende IP-Telefone, SIP-Gateways und Edge-Router monatelang, sogar jahrelang ohne regelmäßige Firmware-Updates.

Grandstream GXP1600: RCE ohne Authentifizierung

CVE-2026-2329 in Grandstream GXP1600 ist eine Schwachstelle, die Remote Code Execution ohne jegliche Authentifizierung ermöglicht. Nach einem erfolgreichen Exploit erhält der Angreifer eine Meterpreter-Sitzung mit root-Rechten auf dem Gerät. Das ist ein kritisches Szenario, denn ein IP-Telefon mit root-Zugriff ermöglicht:

1. Abhören von SIP-Gesprächen in Echtzeit

2. Übernahme der Konfiguration und Anmeldedaten zum VoIP-Server

3. Verwendung des Geräts als Pivot für weitere Lateral Movement im Netzwerk

4. Modifikation der Firmware zur Platzierung einer dauerhaften Backdoor

Vergleichstabelle der Angriffstypen auf VoIP- und Edge-Geräte

Angriffspfade: Schritt für Schritt für VoIP

Ein typisches Szenario der VoIP-Systemkompromittierung in Pentests sieht wie folgt aus:

1. Reconnaissance - Scannen des Netzwerks nach offenen Ports 5060 (SIP) und 5061 (SIP-TLS) sowie Identifikation der Gerätemodelle

2. Fingerprinting - Auslesen der Firmware-Version aus SIP-OPTIONS-Headern oder der Web-Schnittstelle

3. CVE-Suche - Zuordnung der Version zu bekannten Schwachstellen in NVD- und Exploit-DB-Datenbanken

4. Modulvorbereitung - Konfiguration des entsprechenden Metasploit-Moduls oder eigenen Skripts

5. Exploitation - Durchführung des Angriffs mit minimalem Netzwerkrauschen

6. Post-Exploitation - Dump der SIP-Konfiguration, Passwörter, Zertifikate und Kontaktliste

Profi-Tipp: VoIP-Geräte haben selten EDR oder fortgeschrittenes Logging. Das erschwert die Angriffserkennung auf Verteidigerseite, bedeutet aber auch, dass Ihre Spuren bei einem forensischen Audit entdeckt werden können. Dokumentieren Sie immer den Testumfang und sammeln Sie Aktivitätsnachweise, bevor Sie den Exploit starten.

Ein Schlüsselelement der Bewertung ist die Firmware-Version. Dasselbe Grandstream-Modell mit Firmware 1.0.4.22 kann anfällig sein, während 1.0.4.30 einen Patch hat. Verifizieren Sie immer die genaue Version vor der Exploit-Auswahl, gehen Sie nicht davon aus, dass ein Gerät ungepatcht ist, nur weil es alt ist.

Meistgenutzte CVEs und Heuristiken zur Priorisierung von Exploits

Um die Auswahl zu automatisieren und zu optimieren, lohnt es sich, praktische Benchmarks zu kennen und Bedrohungsstatistiken zu verfolgen. Exploit-Priorisierung ist eine Fähigkeit, die einen erfahrenen Pentester von jemandem unterscheidet, der mechanisch einen Scanner ausführt.

Qualys Top 20: Was Angreifer tatsächlich nutzen

Qualys Top 20 Exploited Vulnerabilities ist eines der wichtigsten Rankings für einen Pentester, weil es nicht zeigt, was theoretisch gefährlich ist, sondern was tatsächlich in Live-Angriffen ausgenutzt wird. Im Ranking dominieren:

• Log4Shell (CVE-2021-44228) - Java Logging, RCE, massenhaft von APT- und Ransomware-Gruppen ausgenutzt

• Zerologon (CVE-2020-1472) - kritische Schwachstelle in Netlogon, Eskalation zu Domain Admin ohne Passwort

• ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) - Schwachstellenkette in Exchange Server, Pre-Auth RCE

• PrintNightmare (CVE-2021-1675) - Print-Spooler-Dienst, LPE und RCE in Windows-Umgebungen

• Fortinet FortiOS - mehrfache SSL-VPN-Schwachstellen, Pre-Auth-Zugriff

„Die Priorisierung von Exploits auf Basis der realen Nutzung in Angriffen ist der schnellste Weg, kritisches Risiko in einem Pentest-Bericht aufzuzeigen. Wenn ein CVE in den Qualys Top 20 ist, muss der Kunde es als dringend behandeln, unabhängig von seiner eigenen Risikobewertung."

Heuristik zur Exploit-Auswahl für den Test

Eine effektive Heuristik basiert auf mehreren gemeinsam bewerteten Kriterien:

• CVSS Score reicht nicht aus, suchen Sie Exploits mit bestätigten Anwendungsfällen (Exploit-DB, GitHub PoC)

• Modulverfügbarkeit in Metasploit verkürzt die Vorbereitungszeit erheblich und reduziert das Risiko von Implementierungsfehlern

• Anzahl betroffener Systeme im gescannten Netzwerk - je mehr Hosts, desto höhere Priorität

• Fehlendes oder verzögertes Patching - prüfen Sie die Daten der letzten Updates der Systeme im Pentest-Umfang

• Vorhandensein in CISA KEV (Known Exploited Vulnerabilities) - das ist ein Signal, dass die Schwachstelle aktiv von APT-Gruppen ausgenutzt wird

Tabelle beispielhafter Exploits nach Kategorie

Das Verfolgen von Updates ist genauso wichtig wie das Testen selbst. Beobachten Sie Metasploit-Repositories auf GitHub, Feedly-Kanäle mit CVE-Feeds und Mailinglisten wie Full Disclosure. Ein neues Metasploit-Modul für ein frisches CVE kann innerhalb von 24 Stunden nach Veröffentlichung eines öffentlichen Exploits erscheinen.

Wichtige Regel: Testen Sie keine Exploits, die Sie nicht verstehen. Jedes Metasploit-Modul hat Quellcode, den es vor dem Start zu lesen lohnt. Das Verständnis der Angriffsmechanik ermöglicht es, Parameter zu modifizieren, Konfigurationsbeschränkungen zu umgehen und Varianten zu erstellen, die an eine konkrete Umgebung angepasst sind.

Worauf bei der Bewertung der Nützlichkeit von Exploits zu achten ist: Experten-Perspektive

Wenn wir die Prioritäten kennen, bleibt die Frage nach Wirksamkeit und Einschränkungen der praktischen Exploit-Nutzung. Und hier beginnt die wirkliche Arbeit des Pentesters, nicht nur das Ausführen fertiger Module.

Eine der größten Fallen in Pentests ist die Annahme, dass dasselbe CVE auf allen Geräten desselben Herstellers gleich funktioniert. Die Realität ist anders. Exploit-Variabilität abhängig von der Geräteversion ist einer der wichtigsten „Edge Cases" jedes ernsthaften Pentests. Ein hervorragendes Beispiel ist Cisco IOS XE, wo verschiedene Systemversionen unterschiedliche Codepfade in der Behandlung der Web-Schnittstelle haben, sodass ein auf Version 17.3.1 funktionierender Exploit auf 17.3.4 völlig versagen kann.

Diese Variabilität ist absichtlich oder zufällig. Absichtlich, wenn der Hersteller einen Patch nur für eine bestimmte Teilmenge von Versionen einführt. Zufällig, wenn Code-Refactoring das Speicherlayout ändert und der Exploit den erwarteten Offset nicht trifft. Daher muss jeder ernsthafte Pentester Zugang zu Testumgebungen mit Geräteversionen haben, die dem Testumfang entsprechen. Tests auf VMware mit einer „ähnlichen" Systemversion sind nicht dasselbe wie Tests auf echter Firmware.

Routine ist der Feind der Wirksamkeit. Wir sehen das regelmäßig: Pentester führen dieselben Metasploit-Module in derselben Reihenfolge aus, ohne zu prüfen, ob sich in der Zielumgebung etwas geändert hat. Edge Cases - seltene Konfigurationen, benutzerdefinierte Builds, modifizierte Protokollimplementierungen - sind dagegen genau die Stellen, an denen die Verteidigung am schwächsten ist. Administratoren denken, sie seien sicher, weil sie „Standard"-CVEs gepatcht haben, aber ihre nicht standardmäßige Konfiguration schafft eine neue Angriffsfläche.

Die praktische Empfehlung ist einfach: Aktualisieren Sie die Werkzeuge vor jedem Test, nicht einmal pro Quartal. Prüfen Sie GitHub Metasploit auf neue Pull Requests für Dienste im Pentest-Umfang. Lesen Sie Sicherheits-Patch-Changelogs des Herstellers der Zielgeräte. Das dauert eine Stunde, kann aber das Ergebnis eines ganzen wochenlangen Projekts ändern.

Nicht weniger wichtig ist die Dokumentation der Edge Cases für den Kunden. Wenn ein Exploit auf Firmware X funktioniert, aber nicht auf Firmware Y (obwohl Y theoretisch auch anfällig ist), schreiben Sie das im Bericht ausdrücklich. Es schafft Vertrauen und zeigt die Tiefe der Analyse, und der Kunde erhält praktische Informationen darüber, welche Systeme kritisch gefährdet sind und welche nur potenziell.

Werkzeuge und Hardware für effektives Testen von Netzwerk-Exploits

Sie wissen bereits, wonach Sie suchen müssen - lernen Sie die Hardware kennen, die die Wirksamkeit Ihrer Tests real steigert.

Effektives Testen von Netzwerk-Exploits erfordert nicht nur Software, sondern auch das richtige Hardware-Backend. SIP-Verkehrsanalyse, Tests von Funkprotokollen, Klonen von RFID-Karten zur Authentifizierung - das sind Aufgaben, die Sie mit einem Kali-Linux-Laptop allein nicht bewältigen.

Im Sapsan-Sortiment finden Sie Hardware, die für das Testen von Netzwerkinfrastruktur und drahtlosen Protokollen bestimmt ist. HackRF Pro ist das Flaggschiff-SDR-Werkzeug für Pentester, die mit Funk- und Drahtlosprotokollen arbeiten - Lauschen, Replay und Breitbandanalyse, mit Verbesserungen gegenüber dem ursprünglichen HackRF One (besserer Oszillator, geringeres Rauschen). Für umfangreichere Antennen-Setups (Bandwechsel, Eingangs-Multiplexing) eignet sich Opera Cake für HackRF. Für Tests der RFID/NFC- und SubGHz-Schicht, einschließlich des Klonens von kontaktlosen Karten unter kontrollierten Laborbedingungen, verwenden Sie Flipper Zero - ein Multitool mit Unterstützung für 125 kHz / 13,56 MHz / SubGHz / iButton. Für LAN-Segmentierungstests und passives Abhören des Verkehrs zwischen VLANs eignen sich LAN Turtle und Packet Squirrel Mark II - beide ermöglichen die unauffällige Interposition auf einem Ethernet-Kabel und Inline-Verkehrsanalyse. Das vollständige Pentest-Hardware-Sortiment finden Sie in der Kategorie Netzwerk, mit Lieferung in ganz Europa und schneller Abwicklung von B2B-Bestellungen.

Häufig gestellte Fragen

Wie wählt man effektiv einen Exploit-Typ für den Test eines bestimmten Dienstes?

Analysieren Sie die Angriffsfläche, die Dienstversion und den Bug-Typ - nutzen Sie aktuelle CVEs und Benchmarks. Nach den Klassifizierungskriterien für Exploits berücksichtigt die optimale Wahl gleichzeitig die Modulverfügbarkeit, einen bestätigten PoC und das Popularitätsranking der Schwachstelle in aktiven Angriffen.

Welche SMB-Exploits werden heute am häufigsten genutzt?

Am gefährlichsten bleiben Buffer-Overflow-Exploits. CVE-2008-4834 und die SMB-Overflow-Klasse ermöglichen Remote Code Execution ohne Authentifizierung, und EternalBlue (CVE-2017-0144) erscheint immer noch als aktiver Vektor in Netzwerken mit ungepatchten Windows-Systemen.

Warum funktioniert nicht jeder Exploit auf allen Software-Versionen?

Unterschiede in der Implementierung und in den Codepfaden machen, dass die Wirksamkeit eines Exploits vom Modell und der Geräteversion abhängt. Edge Cases beim Testen von Exploits, wie im Fall von Cisco IOS XE, zeigen, dass selbst ein Minor Release das Speicherlayout vollständig ändern und einen Exploit ungültig machen kann.

Welche Werkzeuge unterstützen das Testen von Netzwerk-Exploits am besten?

Metasploit Framework, Fuzzing-Werkzeuge (Boofuzz, Peach Fuzzer) und SDR-Hardware sind die beliebtesten Optionen. Sie ermöglichen Testautomatisierung, Erkundung neuer Angriffsvektoren und Analyse von Netzwerkprotokollen sowohl auf der Software- als auch auf der Funkschicht.