feed-image Feed-Einträge

In einer sicheren Infrastruktur muss für jeden Dienst (Service) und jede Aufgabe (Scheduled Task) ein Service Account eingesetzt werden. Da sind auch unsere Auditoren, wenn sie bei Kunden die Infrastruktur durchleuchten, sehr gründlich. Wichtig ist, dass ein Service Account nicht für weitere Dienste eingesetzt wird. Ansonsten können bei einer allfälligen Kompromittierung die anderen Dienste in Mitleidenschaft gezogen werden. Ein Dienst oder eine Aufgabe darf auch niemals als LocalSystem (dabei handelt es ich um einen speziellen Account mit lokalen Administratorenrechten) ausgeführt werden.

Häufig unterschätzte Schwachstellen im Unternehmen sind nicht ordnungsgemäss geschlossene Remotedesktop (RDP)-Verbindungen, auch Sessions genannt. Eine Session entsteht, wenn sich ein Benutzer an einem Windows-System anmeldet. Sperrt der Benutzer den Bildschirm oder beendet eine RDP-Session ohne sich abzumelden, bleibt diese Session bestehen. Erlangt ein Angreifer die Berechtigung eines Administrators oder LocalSystem, kann dieser unteranderem, je nach Konfiguration des Systems, Anmeldeinformationen, wie beispielsweise den Kennworthash, aus dem Arbeitsspeicher auslesen. Im schlimmsten Fall kann sogar das Kennwort im Klartext ausgelesen werden. Diese Informationen können dann wiederum für Lateral Movement verwendet werden. Lesen Sie dazu den goSecurity BLOG: Lateral Movement.

In einer Windows-Umgebung wird das Kennwort nicht direkt gespeichert, sondern in einer mathematisch verschlüsselten Form als Hash-Wert. Sehr vereinfacht beschrieben, wird beim Anmelden an einem System das vom Benutzer eingegebene Kennwort in einen Hash-Wert umgerechnet. Der Hash-Wert wird anschliessend an einen Anmeldeserver übertragen und mit dem Hash-Wert aus der Datenbank verglichen. Bei einem lokalen System wird mit der SAM-Datenbank und bei einer Windows-Domänen-Umgebung mit der Active-Directory-Datenbank (ntds.dit) verglichen. Stimmen die Hashes überein, wird der Benutzer authentifiziert.

Im folgenden Blogartikel erfahren Sie, warum ein wichtiger Faktor zur Kontrolle eines Phishing-Mails ausgehebelt wird und wie Sie sich effektiv davor schützen können. Eine wenig bekannte Technik ermöglicht, dass ein vorhandener Link in E-Mails nicht mehr eindeutig geprüft werden kann.

"Alles brennt, alles geht in Flammen auf"… singt Johannes Oerding in einem seiner Songs. So oder so ähnlich mag sich der eine oder andere Administrator in den letzten Tagen gefühlt haben, wenn er die Nachrichten zu der unter Meltdown und Spectre bekanntgewordenen Schwachstellen verfolgt hat. Tatsächlich handelt es sich um massive Schwachstellen. Meltdown und Spectre bezeichnen allerdings nicht die Schwachstellen, sondern Angriffsszenarien von Googles Project Zero.

In den letzten Tagen lesen wir bei fast jeder Newsseite, dass die WLAN-Verschlüsselung grobe Schwachstellen enthält oder sogar geknackt wurde. Die Krack-Attack getaufte Schwachstelle setzt sich aus dem Begriff Key Reinstallation Attacks zusammen und meint damit, dass ein bereits verwendeter Schlüssel wiederverwendet werden kann. Somit ist es gemäss den Entdeckern möglich, einzelne Teile des Datenverkehrs zu entschlüsseln und zu manipulieren.

Bei unseren Security Audits untersuchen wir auch regelmässig Clients. Dort finden wir mal besser und mal schlechter eingeschränkte Clients. Ein gut eingeschränkter Client ist so konfiguriert, dass der Mitarbeitende alles machen kann, was er für die tägliche Arbeit benötigt und gleichzeitig so eingeschränkt ist, dass dieser nichts am System selber verändern kann. Dabei werden bei Windows Clients beispielsweise die Befehlszeilen und PowerShell deaktiviert, aber auch der Zugriff auf USB-Geräte (z.B. USB-Stick, CD/DVD) eingeschränkt. Bei einigen Clients werden auch Systempartitionen versteckt, um den Zugriff auf die Konfigurationsdateien von Windows zu verhindern.

Wie Sie bereits im BLOG von Michel Hennet vom 21. April 2016 nachlesen können, ist die Idee von Ransomware nicht wirklich neu. Neu ist hingegen die hohe Wahrscheinlichkeit für den Angreifer nicht gefasst zu werden. In jedem Film (und meines Wissens auch in der Wirklichkeit) ist die Geldübergabe für einen Erpresser sehr anspruchsvoll. Meistens wird der Erpresser bei der Geldübergabe gefasst. Die anonyme Bitcoin-Währung ist für Internet-Erpresser deshalb ein Segen. Diese neue Möglichkeit hat die Verbreitung von Ransomware seit 2015 stark «gefördert». Der neueste Fall von WannaCry eröffnet eine neue Ära… die eigentlich auch nicht wirklich neu ist.

Die IT-Sicherheit in einem Unternehmen ist nur so gut wie das schwächste Glied. Und das ist oft der Mensch. Viele der heutigen Angriffe erfolgen mit Social Engineering. Dabei versucht der Angreifer zuerst mittels Information Gathering an Informationen über dir Firma oder die Mitarbeiter der Firma zu kommen, um diese dann für einen Angriff auszunutzen.

«Aber es ist doch verschlüsselt» oder «Wir verwenden ausschliesslich HTTPS». Das sind Aussagen, die unsere Auditoren häufig zu hören bekommen. Kryptographie ist im wahrsten Sinne ein Fremdwort.