:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/c7/9ac7c7e8a3b32a83049dfc945e67b476/0113571100.jpeg "Der Angriff auf Wale mit einer solchen eisernen Harpune ist brutal und sehr blutig; ein Phishing-Angriff mithilfe von Ki ist hinterhältig und gnadenlos - nur nicht so blutig. (Bild: frei lizenziert: FotoArt-Treu)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/59/60/5960c42975dff727adfac6a471bc7428/0114147994.jpeg "Obwohl 90 Prozent der Befragten glauben, dass ihre aktuellen Tools zur Erkennung von Bedrohungen effektiv sind, befürchten 97 Prozent, einen relevanten Sicherheitsvorfall zu verpassen. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/93/4a/934ad835e86c1eea66869d7d9a59f1f1/0113980249.jpeg ""Integrierte Sicherheit gegen wachsende Cyberbedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Frank Kuypers von Intel Corporation. (Bild: Vogel IT-Medien / Intel / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/13/56/1356472468aa93a42551824e15bc86d1/0114006798.jpeg "Mit dem richtigen Löschkonzept schaffen es auch KMU, personenbezogene Daten strukturiert und sicher zu löschen. (Bild: Mego-studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/e4/67e44f84835d9f919003ad8dbf03d436/0114086650.jpeg "Mitarbeitende und Unternehmen in Deutschland nehmen ihre Verantwortung bei der IT-Sicherheit nicht im geforderten Ausmaß ernst. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Verteidigung gegen Sunburst, ProxyLogon & Co. So schützen Angriffssimulationen vor Angriffen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Nur wenige Wochen nach dem Bekanntwerden des massiven Supply-Chain-Angriffs auf SolarWinds sahen sich Unternehmen auf der ganzen Welt mit Sicherheitsproblemen konfrontiert, die auf die Ausnutzung von vier Zero-Day-Schwachstellen in Microsoft Exchange-Servern zurückgehen. Mit Angriffssimulationen können Unternehmen Zero-Day-Lücken wie ProxyLogon in Microsoft Exchange erkennen und entschärfen.
Laut Microsoft handelte es sich bei den ProxyLogon-Angriffen um eine staatlich gesponserte Operation, innerhalb kürzester Zeit hatte sich aber eine Art Wildwest-Szenario entwickelt, in dem auch andere Cyberkriminelle begannen, Angriffe auf die Schwachstellen zu fahren.
Nach Berichten von Bloomberg waren mehr als 60.000 Unternehmen weltweit bekanntermaßen von der Sicherheitspanne betroffen. Nach der Veröffentlichung des ersten Patches am 2. März gab Microsoft weitere Details zu dem Angriff und seiner Ausführung bekannt.
In einem vor kurzem veröffentlichten Beitrag schrieb Microsoft: „[Wir haben] festgestellt, dass mehrere Zero-Day-Exploits für begrenzte, gezielte Angriffe auf lokale Microsoft Exchange Server-Installationen verwendet werden. Bei den beobachteten Angriffen nutzte der Bedrohungsakteur diese Schwachstellen aus, um sich Zugriff auf lokale Exchange-Server zu verschaffen. Dies ermöglichte ihm, Zugang zu E-Mail-Konten zu erhalten und weitere Malware zu installieren, um sich langfristigen Zugriff auf die Umgebungen der Opfer zu sichern. Das Microsoft Threat Intelligence Center (MSTIC) führt diese Kampagne mit hoher Wahrscheinlichkeit auf HAFNIUM zurück, eine Gruppe, bei der die Viktimologie und die beobachteten Taktiken und Vorgehensweisen darauf schließen lassen, dass sie staatlich gesponsert ist und von China aus operiert.“
So werden die Angriffe ausgeführt
Die vier Schwachstellen werden von Sicherheitsforschern unter der Bezeichnung „ProxyLogon“ zusammengefasst. Sie können eine Angriffskette bilden und dazu genutzt werden, Admin-Rechte auf Exchange-Servern zu erhalten. Dies versetzt die Angreifer dann in die Lage, Malware zu installieren.
Hier ein Beispiel für die Vorgehensweise:
- Ein Angreifer scannt nach verwundbaren Servern
- Der Angreifer nutzt eine SSRF-Schwachstelle (CVE-2021-26855), um sich Admin-Rechte auf dem Exchange-Server zu verschaffen
- Danach nutzt der Angreifer eine weitere Sicherheitslücke aus (CVE-2021-27065), die es ihm ermöglicht, Dateien auf dem Exchange-Server zu editieren. So kann der Angreifer eine Web-Shell auf dem Exchange-Server erstellen
- Im Anschluss kann sich der Angreifer Zugang zu sensiblen E-Mail-Informationen verschaffen, sich auf dem Exchange-Server einnisten und aus dieser Position heraus weitere Angriffe durchführen
Während die viele Angriffe mit nationalstaatlichen Akteuren in Verbindung gebracht werden, wurde auch ein funktionierender Proof-of-Concept veröffentlicht. Diesen könnten Angreifer nutzen, um ähnlich schwerwiegende Attacken zu starten, falls verwundbare Server nicht rechtzeitig gepatcht werden.
Unternehmen sollten also schnell handeln und ihre Abwehr hochfahren. Da diese Schwachstellen so weit verbreitet sind, ist die Verstärkung der Verteidigungsmaßnahmen ein Wettlauf mit der Zeit.
So schützen Angriffssimulationen vor ProxyLogon und künftigen Angriffen
Eine effektive Angriffssimulation ist darauf ausgelegt, optimalen Schutz vor Advanced Persistent Threats (APTs) und anderen hochentwickelten Bedrohungen zu bieten und simuliert Angriffe auf die vorhandenen Verteidigungssysteme. Um eine schnelle Reaktion zu gewährleisten sollten die Angriffssimulationen automatisiert sowie kontinuierlich durchgeführt werden und befähigen IT-Verantwortliche dadurch, größtmöglichen Überblick über alle Schwachstellen in den verschiedenen Umgebungen zu gewinnen. Der große Vorteil von Angriffssimulationen liegt darin, die eigenen Abwehrmaßnahmen mit den Augen eines Angreifers sehen zu können.
Eine wirksame Simulation zeigt jedoch nicht nur Sicherheitslücken auf – sie macht auch deutlich, wie ein Angreifer die Lücken ausnutzen würde. Die angriffszentrierte Schwachstellenpriorisierung geht über konventionelle, CVSS-basierte Schwachstellenscans hinaus und liefert entscheidenden Risikokontext. Sie konzentriert sich auf das eine Prozent der ausnutzbaren Schwachstellen, das ein echtes Risiko für die geschäftskritischen Assets darstellt. Mit diesem Wissen muss keine Zeit mehr durch das Patchen von Servern verschwendet werden, die nur geringe Priorität haben.
In einer Zeit wie dieser ist es unerlässlich, über die richtigen Software-Tools zu verfügen. Angriffe wie ProxyLogon sind wiederkehrende Probleme. Kontinuierliche Schwachstellenscans (die zugleich entscheidenden Risikokontext aufzeigen) sind deshalb für sicherheitsbewusste Unternehmen ein zwingendes Gebot.
Die nächsten Schritte
Microsoft hat die IT-Administratoren dringend aufgefordert, die veröffentlichten Fixes und schadensbegrenzenden Maßnahmen sofort anzuwenden. Zudem hat Microsoft ein Skript für IT-Administratoren auf GitHub hochgeladen, das Indicators of Compromise zu den vier bekannten Sicherheitslücken enthält.
Letztendlich sollten Unternehmen diese Gelegenheit ergreifen, um ihre Abwehrbereitschaft neu zu bewerten. Eine tiefgehende, laufende Übersicht über die bestehenden Schwachstellen – gepaart mit wichtigem Risikokontext und effektiver Priorisierung – ist das beste Mittel, um Herausforderungen wie ProxyLogon zu meistern.
Wenn man bedenkt, was auf dem Spiel steht, könnte das größte Risiko von allen vielleicht darin bestehen, die kritischsten Assets nicht mit einer Plattform zu schützen, die die oben genannten Eigenschaften bietet.
Über den Autor: Zur Ulianitzky ist Head of Research bei XM Cyber.
(ID:47443080)
:quality(80)/images.vogel.de/vogelonline/bdb/1963000/1963091/original.jpg "Beim Mai-Patchday 2022 von Microsoft müssen Admins bei einigen Updates schnell handeln, denn NTLM-Relay-Angriffe können beispielsweise ganze Netzwerke in die Knie zwingen. (Microsoft)")
:quality(80)/images.vogel.de/vogelonline/bdb/1945900/1945969/original.jpg "Eine DDoS-Schutzlösung sollte hybrid konzipiert sein (kentoh - stock.adobe.com)")