:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/0f/e50f3478e3e1d50e6785b5989363af5a/0111527874.jpeg "Nach erfolgreichen Cyber-Angriffen drängt die Zeit. Die Backup-Strategie muss sich deshalb an der Wiederherstellung orientieren – und nicht an der Sicherung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/fc/f2fc6769dabf502d45912be2472d363e/0111572675.jpeg "In letzter Zeit rücken vermehrt öffentliche Einrichtungen und die Verwaltung ins Visier von Cyberkriminellen. (© sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Vorsicht Falle! Microsofts ungepatchte Sicherheitsrisiken
Ungepatchte Software und gefährdete Internet-Websites gehören zu den gefährlichsten Cyber-Sicherheitsrisiken für Unternehmen. Die Frage lautet, welche Sicherheitsprobleme hat Microsoft entweder noch nicht gepatcht, wird MS auch voraussichtlich nicht patchen und welche müssen manuell angepasst werden, um sie zu beheben?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Die fortwährenden Anfälligkeiten der Softwarepakete von Microsoft zeigen, wie wichtig es ist, die Systeme regelmäßig zu patchen. Dazu gibt der Hersteller immer wieder Warnungen vor kriminellen Hacker-Attacken aus und stellt entsprechende Sicherheits-Updates zur Verfügung. Damit Hacker nicht zum Ziel kommen, sollten diese Patches möglichst schnell von den Administratoren und Nutzern der Programme auf die Systeme gespielt werden.
Dann ist der Anwender also vollständig gepatcht und vollkommen sicher? Eher nicht. In der Regel werden zwar immer wieder Microsoft-Probleme durch Patches gelöst, jedoch muss das nicht zwingend so sein. Einige der Schwachstellen sind unter anderem Konfigurationsprobleme, die meist nicht gepatcht werden können. Folgende Sicherheitsprobleme hat Microsoft zum Beispiel entweder nur zum Teil oder noch nicht gepatcht oder es war nie beabsichtigt, dass sie gepatcht werden sollen. Solche Sicherheitsprobleme müssen dann nach Möglichkeit manuell angepasst werden, um sie zu beheben.
PrintNightmare
Im Rahmen der monatlichen Updates wurde PrintNightmare bereits zum Teil behoben. Jedoch ist das Sicherheitsrisiko nach wie vor besorgniserregend, da es auf Probleme mit dem Druckspooler-Dienst hinweist, die noch behoben werden müssen. Das rührt daher, dass Hacker bösartige DLL einschleusen könnten, die den Druckspooler-Dienst nutzt, um Kontrolle über einen Rechner oder Netzwerk zu erhalten. Dies kann sowohl zur Ausführung von Remote-Codes als auch zur Erweiterung der Privilegien genutzt werden.
Als Abhilfe für diese oder künftige Schwachstellen im Druckspooler wird eine Deaktivierung des Druckspoolers empfohlen. Für Anwender, die drucken müssen, ist dies natürlich nicht ratsam. Kleiner Tipp: Der Sicherheitsexperte Benjamin Delpy hat einen über das Internet zugänglichen Druckserver entwickelt, der Windows-Systemrechte installiert.
Es stehen auch andere Möglichkeiten zur Verfügung, Hacker-Angriffe auf den Druckerspooler zu verhindern. Beispielsweise könnten Anwender den RPC- und SMB-Verkehr verhindern, indem sie den ausgehenden Port 135 (RPC Endpoint Mapper) und 139/445 (SMB) blockieren. Zudem sollte die Gruppenrichtlinie verwendet werden, um die Server einzuschränken oder sie mit der Option „Paketpunkt und Druck - zugelassene Server“ vollständig zu blockieren.
PetitPotam-Attacke
Zur Durchführung eines klassischen NTLM-Relay-Angriffs werden PetitPotam-Attacken genutzt. Anwender sind potenziell für solche Angriffe ein Ziel, wenn sich Active Directory Certificate Services (ADCS) mit Certificate Authority Web Enrollment oder Certificate Enrollment Web Service im Einsatz befinden.
Microsoft rät dazu, den erweiterten Schutz für die Authentifizierung (EPA) oder die SMB-Signierung zu aktivieren und den veralteten Windows NT LAN Manager (NTLM) nicht mehr zu verwenden. Genau hier liegt der Haken. Es kann durchaus sein, dass NTLM immer noch für eine wichtige Anwendung verwendet wird. Testen ist der Schlüssel zur Auswahl der richtigen Abhilfemaßnahmen.
ADCS - ESC8
Eine zusätzliche Angriffsmöglichkeit, die auf ADCS abzielt, beginnt mit der Webschnittstelle, die standardmäßig eine NTLM-Authentifizierung zulässt und keine Relay-Mitigations verstärkt.
Mithilfe einer solchen Angriffssequenz sind Hacker in der Lage, die Authentifizierung an die Webschnittstelle weiterzuleiten und ein Zertifikat im Namen des weitergeleiteten Kontos anzufordern. Wieder einmal wird NTLM in einem Netzwerk missbraucht, um eine Domäne zu übernehmen.
SeriousSAM
Unzulässige Berechtigungen wie SeriousSAM in verschiedenen Windows 10-Versionen ermöglichen es Angreifer, auf die gespeicherten Passwörter in der SAM-Datei zuzugreifen. Wenn der Rechner läuft, kann die SAM-Datei nicht gelesen werden. Wenn jedoch eine VSS-Kopie des Computers erstellt wird, ist die Kennwortstruktur in der Schattendateikopie sichtbar.
Für eine Problemlösung sollte das Netzwerk durchsucht werden, um zu erkennen, in welchem Ausmaß der User davon betroffen ist. Wobei auch festgestellt wurde, dass nicht alle Installationen davon betroffen sind. Diese Schwachstellen machen deutlich, wie wichtig es ist, dass die IT-Teams auf nicht gepatchte Probleme achten. Eine gute Möglichkeit, sich auf dem Laufenden zu halten, besteht darin, relevante Diskussionen in den sozialen Medien auf Twitter und anderen Foren zu verfolgen.
RemotePotato0
Bei potenziellen Angriffen wie beispielsweise RemotePotato0 handelt es sich um eine Erweiterung der Privilegien vom User zum Domänen-Administrator. RemotePotato0 missbraucht den DCOM-Aktivierungsdienst und löst eine NTLM-Authentifizierung eines beliebigen Users aus, der derzeit auf dem Zielcomputer angemeldet ist.
Dafür sollte ein privilegierter User (Domänen-Admin-User) auf demselben Rechner angemeldet sein. Microsoft gab an, dass das Problem nicht behoben wird und es an den Anwendern läge, zu entscheiden, welche Abhilfemaßnahmen zu ergreifen sind.
SSRF-Schwachstelle
Bei einer Server-Side Request Forgery (SSRF)-Schwachstelle möchte ein Angreifer Microsofts lokales Netzwerk ausspähen. Das heißt, die URL wird nicht gefiltert, was zu einer begrenzten SSRF (Reaktionszeit, Code, Größe bzw. offene Diagrammdaten durchgesickert) führt, die für das interne Portscanning und das Senden von HTTP-basierten Exploits an die entdeckten Webdienste verwendet werden kann.
Ein genauerer Blick auf die Link-Vorschau offenbart eine Spoofing-Schwachstelle. Dabei ist festzustellen, dass das Vorschau-Link-Ziel auf einen beliebigen Ort gesetzt werden kann, unabhängig von Hauptlink, Vorschaubild und -beschreibung, angezeigtem Hostnamen oder On-Hover-Text. Daraus folgt, dass beim Klicken auf die Vorschau ein anderer Link geöffnet wird als vom User erwartet, wodurch der Empfänger Phishing-Angriffen ausgesetzt wird.
(ID:48135500)
:quality(80)/images.vogel.de/vogelonline/bdb/1963000/1963091/original.jpg "Beim Mai-Patchday 2022 von Microsoft müssen Admins bei einigen Updates schnell handeln, denn NTLM-Relay-Angriffe können beispielsweise ganze Netzwerke in die Knie zwingen. (Microsoft)")
:quality(80)/images.vogel.de/vogelonline/bdb/1928900/1928950/original.jpg "IT-Security muss einen deutlich höheren Stellenwert einnehmen und Basis aller Digitalisierungsprojekte werden. (Gorodenkoff - stock.adobe.com)")