Anstatt vorherzusagen, was das Jahr 2022 bringen wird, sollten wir lieber die Lehren aus den größten Sicherheitsbedrohungen dieses Jahres ziehen und uns auf die Zukunft einstellen. [...]
Es ist das Ende des Jahres 2021, eine Zeit, in der man erwartet, dass Sicherheitsexperten Prognosen für die Sicherheitsprobleme des kommenden Jahres abgeben. Ich würde lieber auf die Sicherheitsprobleme zurückblicken, die wir verfolgt haben, um sicherzustellen, dass wir alle notwendigen Lehren daraus ziehen.
SolarWinds-Angriff: Kennen Sie die Sicherheitsvorkehrungen Ihres Anbieters
Es ist buchstäblich ein Jahr her, dass der Angriff auf die Software-Lieferkette von SolarWinds in den Nachrichten auftauchte, und wir versuchen immer noch, das Potenzial dieser Art von Angriffen vollständig zu verstehen. Die Angreifer gingen heimlich vor und wurden nur deshalb entdeckt, weil eines der betroffenen Unternehmen, FireEye, über erstklassige Fähigkeiten zur Überwachung und Erkennung von Eindringlingen verfügt.
Ich frage mich, ob mein Unternehmen in einer solchen Situation über die nötigen Instrumente und Ressourcen verfügen würde, um einen derartigen Angriff zu erkennen. Ich vermute, dass nicht nur ich von diesem Eindringen nichts mitbekommen hätte, sondern auch viele von Ihnen nicht über die nötigen Ressourcen verfügen würden, um dies zu tun. Laut Microsoft war der Angreifer in der Lage, SAML-Tokens zu fälschen, die sich als beliebige Benutzer und Konten der Organisation ausgeben, einschließlich hoch privilegierter Konten“. Dies sollte uns alle dazu veranlassen, die Quelle der von uns installierten Software zu überdenken und uns zu fragen, ob wir unseren Anbietern und deren Sicherheitsprozessen vertrauen können, ganz zu schweigen von unseren eigenen Sicherheitsprozessen.
Lektionen gelernt: Überprüfen Sie die Sicherheitsprozesse Ihrer Software-Anbieter. Achten Sie auf abnormales Verhalten, insbesondere bei hoch privilegierten Konten. Überprüfen Sie, wann neue föderierte Vertrauensstellungen erstellt oder Anmeldeinformationen zu Prozessen hinzugefügt wurden, die Aktionen wie mail.read oder mail.readwrite ausführen können. Außerdem sollten Sie bekannte C2-Endpunkte in der Firewall am Netzwerkrand blockieren.
Exchange Server-Angriff: Schutz von Altsystemen
Im März 2021 kam es zu einem sehr disruptiven Angriff. Lokal installierte Exchange Server wurden über eine Zero-Day-Schwachstelle direkt angegriffen. Microsoft gab zunächst an, dass es sich um gezielte Angriffe handelte, doch später stellte sich heraus, dass die Angriffe viel weiter verbreitet waren. Microsoft stellte außerdem fest, dass viele Mailserver in Bezug auf Patches völlig veraltet waren, so dass es schwierig war, sie schnell auf den neuesten Stand zu bringen. Microsoft musste Patches für ältere Plattformen bereitstellen, um die Kunden zu schützen. Das FBI ging sogar so weit, Exchange Server, die noch ungeschützt waren, proaktiv zu reinigen und zu patchen.
Lektionen gelernt: Stellen Sie sicher, dass jeder ältere Server geschützt ist. Besonders Exchange-Server vor Ort sind häufiger Ziel von Angriffen. Stellen Sie sicher, dass Sie angemessene Ressourcen für das Patchen dieser Altsysteme bereitstellen. E-Mail ist ein wichtiger Zugangspunkt zu Netzwerken, sowohl in Bezug auf Phishing-Angriffe, die über E-Mail erfolgen, als auch in Bezug auf ein höheres Risiko, da Angreifer wissen, wie schwierig es ist, diese Server zu patchen.
Verlassen Sie sich auch nicht unbedingt auf die Bedrohungs- und Risikobewertung des Herstellers. Microsoft wies zunächst darauf hin, dass die Angriffe begrenzt und gezielt waren, aber sie waren viel weiter verbreitet und betrafen sogar kleine Unternehmen.
PrintNightmare: Drucker auf dem neuesten Stand halten
Der nächste große Sicherheitsvorfall ist einer, mit dem wir uns fast sechs Monate später immer noch beschäftigen. Im Juli veröffentlichte Microsoft ein Out-of-Band-Update für eine Sicherheitslücke namens PrintNightmare. Für Netzwerkadministratoren hat sich dieser PrintNightmare in einen Print Management Nightmare verwandelt. Bei der Druckspooler-Software handelt es sich um älteren Code aus der NT-Ära, den viele Microsoft auffordern, komplett neu zu schreiben, was jedoch zu erheblichen Störungen bei Drittanbietern von Druckern führen würde. Während die Pandemie uns weg vom persönlichen Druck hin zu mehr Remote-Druckprozessen gebracht hat, sind sogar PDF-Drucker auf den Druckspooler angewiesen, um PDF-Dateien bereitzustellen und zu drucken.
Selbst jetzt im Dezember beobachten wir immer noch die Nebenwirkungen der zahlreichen Patches für den Druckspooler, die seither veröffentlicht wurden. Die optionalen Updates, die Ende Dezember veröffentlicht wurden, enthalten eine Lösung für mehrere druckbezogene Probleme. Es behebt Probleme, bei denen Windows-Druckclients die folgenden Fehler beim Herstellen einer Verbindung zu einem auf einem Windows-Druckserver freigegebenen Remote-Drucker auftreten können:
0x000006e4 (RPC_S_CANNOT_SUPPORT)
0x0000007c (ERROR_INVALID_LEVEL)
0x00000709 (ERROR_INVALID_PRINTER_NAME)
Ich habe gesehen, dass sich einige Netzwerkadministratoren aufgrund der störenden Nebeneffekte dieser Aktualisierungen dafür entschieden haben, keine Patches zu installieren.
Lektionen gelernt: Selbst in der Pandemie müssen wir noch drucken. Wann immer ein Update eine Korrektur für den Druckspooler-Dienst enthält, sollten Sie geeignete Ressourcen zuweisen, um vor dem Update zu testen. Nutzen Sie Ressourcen von Drittanbietern wie PatchManagement.org oder das Sysadmin-Forum auf reddit, um auf Nebenwirkungen und Umgehungsmöglichkeiten zu achten, die Sie möglicherweise ergreifen müssen, um Ihr Unternehmen nicht ungeschützt zu lassen. Der Druckerspooler-Dienst sollte auf Servern und Workstations deaktiviert werden, auf denen nicht gedruckt werden muss, und nur auf Geräten und Servern laufen, auf denen das Drucken aktiviert sein muss.
Ransomware: RPC- und SMB-Kommunikation blockieren
Unter den Sicherheitsvorfällen, die wir im Jahr 2022 erleben werden, wird Ransomware weiterhin ein großes Risiko darstellen. Ransomware ist jetzt in Cyber-Versicherungspolicen enthalten, und die US-Regierung hat Task Forces eingerichtet, um Unternehmen mehr Schutz, Informationen und Anleitungen für den Umgang mit diesem Risiko zu bieten.
Lektionen gelernt: Verwenden Sie Ihre lokalen und Netzwerk-Firewalls, um RPC- und SMB-Kommunikation zu verhindern. Dadurch werden laterale Bewegungen und andere Angriffsaktivitäten eingeschränkt. Aktivieren Sie außerdem Manipulationsschutzfunktionen, um Angreifer daran zu hindern, Sicherheitsdienste zu stoppen. Erzwingen Sie dann starke, randomisierte lokale Administratorkennwörter. Ich empfehle Ihnen, die Local Administrator Password Solution (LAPS) zu verwenden, um sicherzustellen, dass Sie zufällige Passwörter haben.
Überwachen Sie die Löschung von Ereignisprotokollen. In diesem Fall erzeugt Windows die Sicherheitsereignis-ID 1102. Stellen Sie außerdem sicher, dass für alle mit dem Internet verbundenen Komponenten die neuesten Sicherheitsupdates installiert sind. Überprüfen Sie diese Anlagen regelmäßig auf verdächtige Aktivitäten. Ermitteln Sie schließlich, wo sich hochprivilegierte Konten anmelden und Anmeldedaten preisgeben. Überwachen und untersuchen Sie Anmeldeereignisse (Ereignis-ID 4624) auf Anmeldetypattribute. Hochprivilegierte Konten sollten auf Workstations nicht vorhanden sein.
Be the first to comment