:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/91/75/9175edeb1bd68cad2b5c77f653f79036/0110576453.jpeg "Unternehmen müssen robuste IT-Security-Maßnahmen implementieren, die sowohl ihre IT- als auch ihre OT-Systeme schützen. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/97/16/97161bc650bf4d7681114ab563c92d70/0110588372.jpeg "Der Update-Dienst „Azure Update Management“ ermöglicht die einfache Aktualisierung von Windows- und Linux-VMs und auch von lokalen Servern. (Bild: Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/64/da64bfed6115566a6d71e7aaa4b64bbb/0109715450.jpeg "Ein wesentlicher Bestandteil für eine erfolgreiche Strategie gegen Ransomware-Angriffe ist die Resilienz des Systems und der Daten. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/ff/56ff577ef3d84e5690210417e4e551c5/0110554219.jpeg "Das Handbuch "Management von Cyber-Risiken" widmet sich einer umfassenden Unternehmenskultur, die Cyber-Sicherheit jederzeit berücksichtigt und so die Resilienz der Unternehmen erhöht. (Bild: jijomathai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Verteidigung gegen Sunburst, ProxyLogon & Co. So schützen Angriffssimulationen vor Angriffen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/122700/122743/65.jpg "rapid7-logo-si.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Nur wenige Wochen nach dem Bekanntwerden des massiven Supply-Chain-Angriffs auf SolarWinds sahen sich Unternehmen auf der ganzen Welt mit Sicherheitsproblemen konfrontiert, die auf die Ausnutzung von vier Zero-Day-Schwachstellen in Microsoft Exchange-Servern zurückgehen. Mit Angriffssimulationen können Unternehmen Zero-Day-Lücken wie ProxyLogon in Microsoft Exchange erkennen und entschärfen.
Laut Microsoft handelte es sich bei den ProxyLogon-Angriffen um eine staatlich gesponserte Operation, innerhalb kürzester Zeit hatte sich aber eine Art Wildwest-Szenario entwickelt, in dem auch andere Cyberkriminelle begannen, Angriffe auf die Schwachstellen zu fahren.
Nach Berichten von Bloomberg waren mehr als 60.000 Unternehmen weltweit bekanntermaßen von der Sicherheitspanne betroffen. Nach der Veröffentlichung des ersten Patches am 2. März gab Microsoft weitere Details zu dem Angriff und seiner Ausführung bekannt.
In einem vor kurzem veröffentlichten Beitrag schrieb Microsoft: „[Wir haben] festgestellt, dass mehrere Zero-Day-Exploits für begrenzte, gezielte Angriffe auf lokale Microsoft Exchange Server-Installationen verwendet werden. Bei den beobachteten Angriffen nutzte der Bedrohungsakteur diese Schwachstellen aus, um sich Zugriff auf lokale Exchange-Server zu verschaffen. Dies ermöglichte ihm, Zugang zu E-Mail-Konten zu erhalten und weitere Malware zu installieren, um sich langfristigen Zugriff auf die Umgebungen der Opfer zu sichern. Das Microsoft Threat Intelligence Center (MSTIC) führt diese Kampagne mit hoher Wahrscheinlichkeit auf HAFNIUM zurück, eine Gruppe, bei der die Viktimologie und die beobachteten Taktiken und Vorgehensweisen darauf schließen lassen, dass sie staatlich gesponsert ist und von China aus operiert.“
So werden die Angriffe ausgeführt
Die vier Schwachstellen werden von Sicherheitsforschern unter der Bezeichnung „ProxyLogon“ zusammengefasst. Sie können eine Angriffskette bilden und dazu genutzt werden, Admin-Rechte auf Exchange-Servern zu erhalten. Dies versetzt die Angreifer dann in die Lage, Malware zu installieren.
Hier ein Beispiel für die Vorgehensweise:
- Ein Angreifer scannt nach verwundbaren Servern
- Der Angreifer nutzt eine SSRF-Schwachstelle (CVE-2021-26855), um sich Admin-Rechte auf dem Exchange-Server zu verschaffen
- Danach nutzt der Angreifer eine weitere Sicherheitslücke aus (CVE-2021-27065), die es ihm ermöglicht, Dateien auf dem Exchange-Server zu editieren. So kann der Angreifer eine Web-Shell auf dem Exchange-Server erstellen
- Im Anschluss kann sich der Angreifer Zugang zu sensiblen E-Mail-Informationen verschaffen, sich auf dem Exchange-Server einnisten und aus dieser Position heraus weitere Angriffe durchführen
Während die viele Angriffe mit nationalstaatlichen Akteuren in Verbindung gebracht werden, wurde auch ein funktionierender Proof-of-Concept veröffentlicht. Diesen könnten Angreifer nutzen, um ähnlich schwerwiegende Attacken zu starten, falls verwundbare Server nicht rechtzeitig gepatcht werden.
Unternehmen sollten also schnell handeln und ihre Abwehr hochfahren. Da diese Schwachstellen so weit verbreitet sind, ist die Verstärkung der Verteidigungsmaßnahmen ein Wettlauf mit der Zeit.
So schützen Angriffssimulationen vor ProxyLogon und künftigen Angriffen
Eine effektive Angriffssimulation ist darauf ausgelegt, optimalen Schutz vor Advanced Persistent Threats (APTs) und anderen hochentwickelten Bedrohungen zu bieten und simuliert Angriffe auf die vorhandenen Verteidigungssysteme. Um eine schnelle Reaktion zu gewährleisten sollten die Angriffssimulationen automatisiert sowie kontinuierlich durchgeführt werden und befähigen IT-Verantwortliche dadurch, größtmöglichen Überblick über alle Schwachstellen in den verschiedenen Umgebungen zu gewinnen. Der große Vorteil von Angriffssimulationen liegt darin, die eigenen Abwehrmaßnahmen mit den Augen eines Angreifers sehen zu können.
Eine wirksame Simulation zeigt jedoch nicht nur Sicherheitslücken auf – sie macht auch deutlich, wie ein Angreifer die Lücken ausnutzen würde. Die angriffszentrierte Schwachstellenpriorisierung geht über konventionelle, CVSS-basierte Schwachstellenscans hinaus und liefert entscheidenden Risikokontext. Sie konzentriert sich auf das eine Prozent der ausnutzbaren Schwachstellen, das ein echtes Risiko für die geschäftskritischen Assets darstellt. Mit diesem Wissen muss keine Zeit mehr durch das Patchen von Servern verschwendet werden, die nur geringe Priorität haben.
In einer Zeit wie dieser ist es unerlässlich, über die richtigen Software-Tools zu verfügen. Angriffe wie ProxyLogon sind wiederkehrende Probleme. Kontinuierliche Schwachstellenscans (die zugleich entscheidenden Risikokontext aufzeigen) sind deshalb für sicherheitsbewusste Unternehmen ein zwingendes Gebot.
Die nächsten Schritte
Microsoft hat die IT-Administratoren dringend aufgefordert, die veröffentlichten Fixes und schadensbegrenzenden Maßnahmen sofort anzuwenden. Zudem hat Microsoft ein Skript für IT-Administratoren auf GitHub hochgeladen, das Indicators of Compromise zu den vier bekannten Sicherheitslücken enthält.
Letztendlich sollten Unternehmen diese Gelegenheit ergreifen, um ihre Abwehrbereitschaft neu zu bewerten. Eine tiefgehende, laufende Übersicht über die bestehenden Schwachstellen – gepaart mit wichtigem Risikokontext und effektiver Priorisierung – ist das beste Mittel, um Herausforderungen wie ProxyLogon zu meistern.
Wenn man bedenkt, was auf dem Spiel steht, könnte das größte Risiko von allen vielleicht darin bestehen, die kritischsten Assets nicht mit einer Plattform zu schützen, die die oben genannten Eigenschaften bietet.
Über den Autor: Zur Ulianitzky ist Head of Research bei XM Cyber.
(ID:47443080)
:quality(80)/images.vogel.de/vogelonline/bdb/1900600/1900681/original.jpg "Exchange, sowie Office 2021 (und ältere Versionen) sind wieder Ziel von Angriffen. Zum Patchday im November 2021 ist schnelles Handeln notwendig! (Microsoft)")
:quality(80)/images.vogel.de/vogelonline/bdb/1888900/1888966/original.jpg "Am Patchday im Oktober 2021 veröffentlicht Microsoft über 70 Sicherheitslücken, darunter sind wieder viele kritische, wichtige und bereits ausgenutzte Sicherheitslücken. Die Installation sollte schnellstmöglich erfolgen. Außerdem gibt es eine Warnung der NSA zu einer Sicherheitslücke in Exchange. (Microsoft)")