:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Verteidigung gegen Sunburst, ProxyLogon & Co. So schützen Angriffssimulationen vor Angriffen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/122700/122743/65.jpg "rapid7-logo-si.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Nur wenige Wochen nach dem Bekanntwerden des massiven Supply-Chain-Angriffs auf SolarWinds sahen sich Unternehmen auf der ganzen Welt mit Sicherheitsproblemen konfrontiert, die auf die Ausnutzung von vier Zero-Day-Schwachstellen in Microsoft Exchange-Servern zurückgehen. Mit Angriffssimulationen können Unternehmen Zero-Day-Lücken wie ProxyLogon in Microsoft Exchange erkennen und entschärfen.
Laut Microsoft handelte es sich bei den ProxyLogon-Angriffen um eine staatlich gesponserte Operation, innerhalb kürzester Zeit hatte sich aber eine Art Wildwest-Szenario entwickelt, in dem auch andere Cyberkriminelle begannen, Angriffe auf die Schwachstellen zu fahren.
Nach Berichten von Bloomberg waren mehr als 60.000 Unternehmen weltweit bekanntermaßen von der Sicherheitspanne betroffen. Nach der Veröffentlichung des ersten Patches am 2. März gab Microsoft weitere Details zu dem Angriff und seiner Ausführung bekannt.
In einem vor kurzem veröffentlichten Beitrag schrieb Microsoft: „[Wir haben] festgestellt, dass mehrere Zero-Day-Exploits für begrenzte, gezielte Angriffe auf lokale Microsoft Exchange Server-Installationen verwendet werden. Bei den beobachteten Angriffen nutzte der Bedrohungsakteur diese Schwachstellen aus, um sich Zugriff auf lokale Exchange-Server zu verschaffen. Dies ermöglichte ihm, Zugang zu E-Mail-Konten zu erhalten und weitere Malware zu installieren, um sich langfristigen Zugriff auf die Umgebungen der Opfer zu sichern. Das Microsoft Threat Intelligence Center (MSTIC) führt diese Kampagne mit hoher Wahrscheinlichkeit auf HAFNIUM zurück, eine Gruppe, bei der die Viktimologie und die beobachteten Taktiken und Vorgehensweisen darauf schließen lassen, dass sie staatlich gesponsert ist und von China aus operiert.“
So werden die Angriffe ausgeführt
Die vier Schwachstellen werden von Sicherheitsforschern unter der Bezeichnung „ProxyLogon“ zusammengefasst. Sie können eine Angriffskette bilden und dazu genutzt werden, Admin-Rechte auf Exchange-Servern zu erhalten. Dies versetzt die Angreifer dann in die Lage, Malware zu installieren.
Hier ein Beispiel für die Vorgehensweise:
- Ein Angreifer scannt nach verwundbaren Servern
- Der Angreifer nutzt eine SSRF-Schwachstelle (CVE-2021-26855), um sich Admin-Rechte auf dem Exchange-Server zu verschaffen
- Danach nutzt der Angreifer eine weitere Sicherheitslücke aus (CVE-2021-27065), die es ihm ermöglicht, Dateien auf dem Exchange-Server zu editieren. So kann der Angreifer eine Web-Shell auf dem Exchange-Server erstellen
- Im Anschluss kann sich der Angreifer Zugang zu sensiblen E-Mail-Informationen verschaffen, sich auf dem Exchange-Server einnisten und aus dieser Position heraus weitere Angriffe durchführen
Während die viele Angriffe mit nationalstaatlichen Akteuren in Verbindung gebracht werden, wurde auch ein funktionierender Proof-of-Concept veröffentlicht. Diesen könnten Angreifer nutzen, um ähnlich schwerwiegende Attacken zu starten, falls verwundbare Server nicht rechtzeitig gepatcht werden.
Unternehmen sollten also schnell handeln und ihre Abwehr hochfahren. Da diese Schwachstellen so weit verbreitet sind, ist die Verstärkung der Verteidigungsmaßnahmen ein Wettlauf mit der Zeit.
So schützen Angriffssimulationen vor ProxyLogon und künftigen Angriffen
Eine effektive Angriffssimulation ist darauf ausgelegt, optimalen Schutz vor Advanced Persistent Threats (APTs) und anderen hochentwickelten Bedrohungen zu bieten und simuliert Angriffe auf die vorhandenen Verteidigungssysteme. Um eine schnelle Reaktion zu gewährleisten sollten die Angriffssimulationen automatisiert sowie kontinuierlich durchgeführt werden und befähigen IT-Verantwortliche dadurch, größtmöglichen Überblick über alle Schwachstellen in den verschiedenen Umgebungen zu gewinnen. Der große Vorteil von Angriffssimulationen liegt darin, die eigenen Abwehrmaßnahmen mit den Augen eines Angreifers sehen zu können.
Eine wirksame Simulation zeigt jedoch nicht nur Sicherheitslücken auf – sie macht auch deutlich, wie ein Angreifer die Lücken ausnutzen würde. Die angriffszentrierte Schwachstellenpriorisierung geht über konventionelle, CVSS-basierte Schwachstellenscans hinaus und liefert entscheidenden Risikokontext. Sie konzentriert sich auf das eine Prozent der ausnutzbaren Schwachstellen, das ein echtes Risiko für die geschäftskritischen Assets darstellt. Mit diesem Wissen muss keine Zeit mehr durch das Patchen von Servern verschwendet werden, die nur geringe Priorität haben.
In einer Zeit wie dieser ist es unerlässlich, über die richtigen Software-Tools zu verfügen. Angriffe wie ProxyLogon sind wiederkehrende Probleme. Kontinuierliche Schwachstellenscans (die zugleich entscheidenden Risikokontext aufzeigen) sind deshalb für sicherheitsbewusste Unternehmen ein zwingendes Gebot.
Die nächsten Schritte
Microsoft hat die IT-Administratoren dringend aufgefordert, die veröffentlichten Fixes und schadensbegrenzenden Maßnahmen sofort anzuwenden. Zudem hat Microsoft ein Skript für IT-Administratoren auf GitHub hochgeladen, das Indicators of Compromise zu den vier bekannten Sicherheitslücken enthält.
Letztendlich sollten Unternehmen diese Gelegenheit ergreifen, um ihre Abwehrbereitschaft neu zu bewerten. Eine tiefgehende, laufende Übersicht über die bestehenden Schwachstellen – gepaart mit wichtigem Risikokontext und effektiver Priorisierung – ist das beste Mittel, um Herausforderungen wie ProxyLogon zu meistern.
Wenn man bedenkt, was auf dem Spiel steht, könnte das größte Risiko von allen vielleicht darin bestehen, die kritischsten Assets nicht mit einer Plattform zu schützen, die die oben genannten Eigenschaften bietet.
Über den Autor: Zur Ulianitzky ist Head of Research bei XM Cyber.
(ID:47443080)
:quality(80)/images.vogel.de/vogelonline/bdb/1900600/1900681/original.jpg "Exchange, sowie Office 2021 (und ältere Versionen) sind wieder Ziel von Angriffen. Zum Patchday im November 2021 ist schnelles Handeln notwendig! (Microsoft)")
:quality(80)/images.vogel.de/vogelonline/bdb/1888900/1888966/original.jpg "Am Patchday im Oktober 2021 veröffentlicht Microsoft über 70 Sicherheitslücken, darunter sind wieder viele kritische, wichtige und bereits ausgenutzte Sicherheitslücken. Die Installation sollte schnellstmöglich erfolgen. Außerdem gibt es eine Warnung der NSA zu einer Sicherheitslücke in Exchange. (Microsoft)")