:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Microsoft Exchange Sicherheitslücke Risikopotenzial und Gegenstrategien für E-Mail-Angriffe
Gleich zweimal musste Microsoft in den letzten Wochen Sicherheitsupdates für seinen Exchange Server bereitstellen. Zusätzlich stellten die Redmonder über 2700 weitere, teils kritische Updates für Exchange und verschiedene Windows-Systeme zur Verfügung. IT-Security-Experte Steffen Ullrich über das Risikopotenzial von E-Mail-Servern sowie geeignete Gegenstrategien.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Security-Insider: In den vergangenen Wochen wurden massive Sicherheitslücken im Microsoft Exchange Server bekannt. Wie hoch schätzen Sie allgemein das Risiko ein, über Mail Server Opfer von Cyberattacken zu werden?
Steffen Ullrich: Die kürzlich bekannt gewordenen Sicherheitslücken beschränken sich auf Microsoft Exchange Server-Installationen, bei denen das Web Interface direkt zum Internet und damit Richtung Angreifer exponiert ist. Dieses Web Interface stellt den Zugang zu den Exchange-Diensten wie Mail und Kalender für den Browser bereit, aber auch für Applikationen wie MS Outlook. Das Sicherheitsproblem besteht darin, dass durch diesen Web-Zugang die interne Infrastruktur von MS Exchange ohne Authentisierung erreichbar und kompromittierbar ist.
In der Vergangenheit traten durchaus ähnlich kritische Probleme mit anderen Mail-Systemen auf. Beispielsweise gab es 2019 einen Bug im Mail Server Exim, bei dem ebenfalls ein Angreifer ohne Authentisierung in der Lage war, Code mit Systemrechten auf dem Mail Server auszuführen. Aber auch für MS Exchange ist dieses nicht die erste kritische Lücke. In den letzten Jahren wurden schon mehrere hochkritische Sicherheitslücken im Produkt bekannt. Und auch das aktuelle Problem scheint wohl nicht die letzte Lücke in MS Exchange für dieses Jahr zu sein. So hat die NSA gerade weitere kritische Lücken an Microsoft gemeldet.
Security-Insider: Wie lassen sich die Microsoft Exchange Sicherheitslücke und ihre Folgen technisch beschreiben?
Steffen Ullrich: Es sind gleichzeitig mehrere Sicherheitslücken bekannt geworden. Die wesentliche – „ProxyLogon“ – ermöglicht es einem nicht authentisierten Angreifer, die Authentisierung im Web Interface zu umgehen und Aktionen in der internen Infrastruktur von MS Exchange auszuführen. Das erlaubt ihm z. B. den Zugriff auf die gespeicherten Mails. Über die weiteren bekanntgewordenen Sicherheitslücken kann der Angreifer dann die komplette interne Infrastruktur des MS Exchange übernehmen. Da diese typischerweise mit dem internen Netz eng gekoppelt ist, kann der Angreifer auf weitere interne Ziele zugreifen. Entsprechend ist auch die Empfehlung, nicht nur zu patchen, sondern die interne Infrastruktur auf eine potentielle Kompromittierung hin zu untersuchen.
Security-Insider: Wodurch wurde die Sicherheitslücke konkret verursacht?
Steffen Ullrich: Die Umgehung der Authentisierung in ProxyLogon ist möglich, weil der Web Server für das Web Interface die Eingabedaten nicht ausreichend verifiziert. Insbesondere werden vom Client, also vom Angreifer geschickte Daten unter der Annahme durchgelassen, dass es die gleichen und unveränderten Daten sind, die vorher vom internen Server über den Web Server zum Client geschickt wurden. Letztlich handelt es sich also um eine unzureichende Validierung von Eingabedaten und einen unzureichenden Schutz von server-generierten Daten gegen Manipulationen im Client. Beides sind leider recht typische Probleme für Web-Applikationen, obwohl dafür prinzipiell bewährte Schutzmaßnahmen existieren.
Security-Insider: Welche IT-Security-Maßnahmen können konkret vor solchen Angriffen schützen?
Steffen Ullrich: Der Idealfall wäre die Nutzung proaktiver Lösungen, welche Angriffe direkt abwehren. Unglücklicherweise setzen diese aber im Allgemeinen voraus, dass die Details des Angriffs bereits bekannt sind, um darauf aufbauend passende Regeln für eine Web Applikation Firewall (WAF), eine Firewall oder ein Intrusion Detection System (IDS) zu implementieren. Diese Regeln sind dazu dann oftmals auch noch spezifisch für einen bestimmten bekannten Exploit und lassen sich durch Modifikationen des Angriffs umgehen.
Proaktiv kann man aber die Angriffsfläche reduzieren, indem man MS Exchange gar nicht erst direkt aus dem Internet erreichbar macht. Ein üblicher Weg ist es, den Zugriff von außen sowohl auf die interne Firmeninfrastruktur im Allgemeinen, als auch auf das MS Exchange im Speziellen, nur über ein VPN zu ermöglichen. Damit muss ein Angreifer eine initiale Hürde der Authentisierung am VPN erst einmal überwinden.
Allerdings sollte man auch beim VPN auf die Sicherheit achten. So wurden 2019 mehrere hochkritische Sicherheitslücken in bekannten und viel benutzten VPN-Lösungen von Palo Alto Networks, Fortinet und Pulse Secure gefunden, ironischerweise von der selben Firma DEVCORE, die jetzt die Lücken in MS Exchange gefunden hat. Und vor wenigen Tagen wurde bekannt, dass Angreifer eine weitere bisher unbekannte kritische Lücke in Pulse Secure VPN aktiv ausnutzen. Ist der Schutzbedarf sehr hoch bzw. für sehr sensible Geschäftsbereiche sollte man über Lösungen nachdenken, die extern evaluiert wurden und z. B. für VS-NfD oder NATO RESTRICTED zugelassen sind.
Proaktiv kann man die Infrastruktur von MS Exchange vom Rest des Netzes segmentieren und so die Auswirkungen einer erfolgten Kompromittierung von MS Exchange auf das interne Netz begrenzen. Mittels spezieller Lösungen lässt sich eine Separation auf Portebene vornehmen, wie es von Microsoft in „Network ports for clients and mail flow in Exchange“ beschrieben ist. Weitere sinnvolle Maßnahmen sind eine granulare Mikrosegmentierung auf Applikationsebene innerhalb eines Netzsegments, ein leistungsfähiges Monitoring sowie die Einbeziehung von IOC (Indicator of Compromise, z. B. IP-Adressen bekannter Angreifer oder bekannte Malware Tools) und IDS-Signaturen. Das erlaubt nicht nur eine detailliertere Separation, sondern auch die unmittelbare Reaktion auf durch IOC und IDS-Regeln erkannte Gefahren; und das mit einem transparenten Einsatz als Bridge, d. h. ohne Rekonfiguration der eigenen Netzinfrastruktur.
Security-Insider: Wie sollten Unternehmen abgesehen von den skizzierten technischen Maßnahmen ihre Sicherheitsstrategie ausrichten?
Steffen Ullrich: Wir müssen uns bewusster werden und akzeptieren, dass die in sensitiven Netzen genutzte Software nicht immer den Sicherheitsbedürfnissen genügt. Im besten Fall können wir bei Sicherheitsproblemen diese Software nicht oder nicht vollständig nutzen. Im schlimmsten Fall wurde durch das Sicherheitsproblem die komplette Infrastruktur kompromittiert. Anwender kommen dann nicht mehr an ihre eigenen Daten heran, sensitive Daten sind veröffentlicht oder es wurden gar Dritte in Mitleidenschaft gezogen.
Ransomware nutzt bereits massiv die aktuelle MS Exchange-Lücke als Einfallstor aus und vor nur wenigen Monaten wurde die Infiltration sensitiver und auch staatlicher Infrastrukturen über die kompromittierte Netzwerk-Management-Software Solarwinds bekannt. Vielen sind auch noch die Auswirkungen von WannaCry und NotPetya in Erinnerung.
Der Einsatz und der Umgang mit Software muss daher in ein Risikomanagement einbezogen werden. Das kann bedeuten, eine Software aus Sicherheitsgründen nicht einzusetzen. Oder es kann bedeuten, einfach nur zu hoffen, dass nichts passiert. Man kann auch gezielt versuchen, den möglichen Schaden zu begrenzen, z. B. durch eine explizite Beschränkung der Software auf das erwartete Verhalten oder durch extensives Monitoring des internen Netzes, um einen potentiellen Angreifer aufgrund seines ungewöhnlichen Verhaltens zu entdecken. Als Technologien können dabei eine granulare proaktive Mikrosegmentierung verbunden mit Monitoring helfen. Durch eine frühzeitige und evtl. automatisierte Reaktion auf erkannte Gefahren können diese Risiken besser beherrscht werden.
(ID:47367018)
:quality(80)/p7i.vogel.de/wcms/76/e1/76e1334fe3b40ca0d4148a8eb166b4b0/0111183876.jpeg "Geeignet für geheime Botschaften mit 2x 40 Gbit/s IPsec und <20 μs Latenz: Die VPN-Appliance von der Genua GmbH (Bild: frei lizenziert: Tayeb MEZAHDIA )")
:quality(80)/p7i.vogel.de/wcms/9b/43/9b43b4de39b7b6da54331bbb7ef65bfb/0109716705.jpeg "Zum Patchday im Februar 2023 wird Microsoft Edge der Windows-Standardbrowser und der Internet Explorer wird deaktiviert. Außerdem warten 9 kritische und 66 wichtige Updates auf ihre Installation. (Logo:Microsoft)")