Heute ist der 11. April 2023, das offizielle Support Ende vom Exchange 2013 Server. Das bedeutet, dass Microsoft keine Sicherheitsupdates, Bugfixes oder technischen Support mehr für diese Version anbietet.
Was sind die Folgen für die Nutzer und Administratoren von Exchange 2013 Server und wie können sie sich darauf vorbereiten?
Exchange 2013 Server wurde im Oktober 2012 veröffentlicht und bot damals viele neue Funktionen und Verbesserungen für die E-Mail-Kommunikation in Unternehmen. Dazu gehörten unter anderem eine modernisierte Web-Oberfläche (Outlook Web App), eine bessere Integration mit SharePoint und Lync, eine höhere Skalierbarkeit und Leistung sowie eine vereinfachte Verwaltung und Migration.
Nach mehr als zehn Jahren ist Exchange 2013 Server jedoch veraltet und kann nicht mehr mit den aktuellen Anforderungen an Sicherheit, Compliance und Produktivität mithalten. Zudem ist Exchange 2013 nicht mehr kompatibel mit den neuesten Versionen von Windows Server, Office oder Outlook. Das bedeutet, dass die Nutzer und Administratoren von Exchange 2013 Server ein erhöhtes Risiko für Cyberangriffe, Datenverluste oder Ausfälle haben. Sie sollten daher rechtzeitig auf eine neuere Version umsteigen.
Die empfohlene Lösung für die Nutzer und Administratoren von Exchange 2013 Server ist der Wechsel zu Exchange Online, dem Cloud-basierten E-Mail-Dienst von Microsoft 365.
Der Artikel beschreibt einen neuen Angriff, welcher Azure AD Connect ausnutzt, um sowohl On-Premises- als auch Cloud-Ressourcen zu kompromittieren.
Wer steckt hinter den Angriffen?
Der Angriff wurde von Microsoft Threat Intelligence aufgedeckt und wird zwei Gruppen zugeschrieben: MERCURY, einer mit der iranischen Regierung verbundenen Nation-State-Akteurin, und DEV-1084, einer Gruppe, welche von MERCURY beauftragt wurde, die Netzwerkzugriffe auszunutzen.
Wie begann der Angriff?
Bei Angriffen wie diesem hört man oft zwei Begriffe: Eskalation von Privilegien und Lateral Movement.
Lateral Movement klingt kompliziert, ist aber einfach: Der Begriff bedeutet nur, dass ein Angreifer ein Gerät oder System in einem Netzwerk kompromittiert hat und dies als Sprungbrett oder Drehpunkt nutzt, um in andere Geräte oder Systeme zu gelangen. Diese Bewegung kann sofort erfolgen, aber oft ist sie verzögert (wie in diesem Fall) – ein kluger Angreifer wird eindringen, eine Persistenz herstellen und dann eine Weile warten, das Zielnetzwerk studieren und jede offensichtliche Aktion vermeiden, welche die Verteidiger auf seine Anwesenheit aufmerksam machen könnte.
In diesem Fall begann der Angriff mit der Ausnutzung der bekannten log4j-Schwachstelle, um in das Netzwerk einzudringen und Persistenz zu erlangen. Die Angreifer bewegten sich dann durch das Netzwerk und griffen sowohl On-Premises- als auch Hybrid-Ressourcen an. Für die On-Premises-Angriffe nutzten sie Gruppenrichtlinienobjekte (GPOs), um Sicherheitstools (Endpoint Protection) zu stören und Ransomware über die NETLOGON-Freigaben auf den Active Directory-Domänencontrollern zu verteilen. Für die Hybrid-Angriffe nutzten sie Azure AD Connect, um sich mit Azure AD zu synchronisieren und Zugriff auf Cloud-Ressourcen zu erhalten. Die Angreifer löschten anschließend Daten aus Azure Storage-Konten und Azure SQL-Datenbanken. Mit einem vernünftigen Tier-Modell wäre der Angriff in diesem Ausmaß vermutlich nicht umsetzbar gewesen.
Microsoft empfiehlt dringend, Azure AD Connect zu überprüfen und sicherzustellen, dass es keine unbefugten oder verdächtigen Synchronisierungen gibt. Außerdem sollten die Sicherheitsmaßnahmen für Domänencontroller und GPOs verstärkt werden, um ähnliche Angriffe zu verhindern oder zu erkennen. Microsoft bietet verschiedene Sicherheitstools an, die bei der Untersuchung und Abwehr solcher Angriffe helfen können, wie z.B. Microsoft Defender for Endpoint, Microsoft 365 Defender und Azure Sentinel.
Dennoch zeigt dieser Angriff wieder, wie wichtig es ist, sowohl On-Premises- als auch Cloud-Umgebungen zu schützen und zu überwachen. Hybrid-Umgebungen bieten viele Vorteile, aber auch neue Herausforderungen und Risiken. Es ist daher unerlässlich, sich über die aktuellen Bedrohungen zu informieren und die besten Praktiken für die Sicherheit von Azure AD Connect zu befolgen. Zum Schutz gehört auch der Aufbau von Tier-Strukturen.
Wozu ist ein Azure AD Connect Server notwendig?
Azure AD Connect ist ein wichtiges Werkzeug für die Synchronisation von Identitäten zwischen lokalen Active Directory-Domänen und Azure Active Directory. Da der Azure AD Connect Zugriff auf die Anmeldeinformationen und Attribute aller Benutzer und Gruppen in den verbundenen Domänen hat, muss dieser Server entsprechend gut geschützt werden. Daher sollten Sie den Azure AD Connect wie einen Domänencontroller behandeln und in Tier-0 aufnehmen.
Was bedeutet Tier-0?
Tier-0 ist die höchste Sicherheitsstufe in einem Active Directory-Design, das auf dem Prinzip der administrativen Grenzen basiert. Tier-0 umfasst alle Systeme und Konten, die in der Lage sind, Änderungen an der Active Directory-Domänenstruktur oder den Sicherheitsrichtlinien vorzunehmen. Diese sollten von anderen Tiers isoliert und mit strengen Zugriffs- und Überwachungsregeln versehen werden.
Indem der Azure AD Connect Server in Tier-0 aufgenommen wird, wird sichergestellt, dass nur berechtigte Administratoren darauf zugreifen können und dass alle Aktivitäten auf dem Server protokolliert und überprüft werden. Dies reduziert das Risiko eines unbefugten Zugriffs oder einer Kompromittierung von Azure AD Connect.
QakBot ist eine gefährliche Malware, die sich über verschiedene Methoden verbreitet, um Zugriff auf sensible Daten zu erlangen, Passwörter zu stehlen und weitere Schadsoftware nachzuladen. In diesem Blogpost erfahren Sie mehr über die aktuelle QakBot-Kampagne, die OneNote-Dateien als Angriffsvektor nutzt, und wie Sie sich davor schützen können.
Warum OneNote?
OneNote ist eine beliebte Anwendung von Microsoft, die es erlaubt, Notizen zu erstellen, zu organisieren und zu teilen. OneNote hat weltweit Millionen von Nutzern in verschiedenen Bereichen wie Bildung, Arbeit und persönlichem Leben. Leider haben auch Cyberkriminelle das Potenzial von OneNote erkannt und verwenden es als Alternative zu Office-Makros, die von vielen Sicherheitslösungen blockiert werden. Seit Ende Januar 2023 verbreiten Hacker QakBot-Malware über schädliche OneNote-Dateien, die entweder als Anhang oder als Link in Phishing-E-Mails verschickt werden.
Die Phishing-E-Mails sind oft als Antworten auf bestehende Kommunikationen getarnt, um das Vertrauen der Empfänger zu gewinnen. Die OneNote-Dateien enthalten eine Grafik, die den Nutzer auffordert, auf einen „Open“-Button zu klicken, um einen weiteren Anhang aus der Cloud herunterzuladen. Dieser Anhang ist eine HTML-Anwendung im .hta-Format, die die QakBot-Malware von einem entfernten Server lädt und ausführt.
Was macht QakBot so gefährlich?
QakBot ist eine modulare Malware, die verschiedene Funktionen hat, wie zum Beispiel:
Keylogging: QakBot zeichnet alle Tastatureingaben des Opfers auf und sendet sie an den Command-and-Control-Server der Hacker.
Credential Stealing: QakBot stiehlt Passwörter aus Browsern, E-Mail-Clients und anderen Anwendungen.
Banking Trojan: QakBot kann Online-Banking-Sitzungen manipulieren und Geldtransfers durchführen oder sensible Daten abfangen.
Lateral Movement: QakBot kann sich im Netzwerk ausbreiten und weitere Geräte infizieren.
Loader: QakBot kann weitere Schadsoftware nachladen, wie zum Beispiel Ransomware oder Spyware.
Wie können Sie sich vor QakBot und anderen Angriffen schützen?
Die beste Verteidigung gegen QakBot und andere Malware ist eine mehrschichtige Sicherheitsstrategie, die folgende Maßnahmen umfasst:
E-Mail-Sicherheit: Verwenden Sie eine zuverlässige E-Mail-Sicherheitslösung, die Spam-, Phishing- und Malware-E-Mails filtert und blockiert. Achten Sie auch auf verdächtige Absender, Betreffzeilen und Anhänge oder Links in E-Mails. Führen Sie ein Whitelisting für Ihre Anhänge ein. Blocken Sie Dateien mit der Endung .One
Endpoint-Sicherheit: Verwenden Sie eine leistungsstarke Endpoint-Sicherheitslösung, die Ihre Geräte vor bekannten und unbekannten Bedrohungen schützt. Aktualisieren Sie regelmäßig Ihre Betriebssysteme und Anwendungen, um Sicherheitslücken zu schließen.
Netzwerk-Sicherheit: Verwenden Sie eine robuste Netzwerk-Sicherheitslösung, die den Datenverkehr überwacht und verdächtige Aktivitäten erkennt und blockiert. Vermeiden Sie auch den Zugriff auf unsichere oder unbekannte Websites oder Dienste.
Backup-Sicherheit: Verwenden Sie eine zuverlässige Backup-Sicherheitslösung, die Ihre wichtigen Daten regelmäßig sichert und wiederherstellt. Bewahren Sie Ihre Backups an einem sicheren Ort auf, der von Ihrem Netzwerk getrennt ist.
Awareness-Schulung: Sensibilisieren Sie Ihre Mitarbeiter für die Risiken von Cyberangriffen und schulen Sie sie in den besten Praktiken für die E-Mail- und Internetnutzung. Ermutigen Sie sie auch dazu, verdächtige E-Mails oder Vorfälle zu melden.
Zero Trust: Implementieren Sie ein Sicherheitskonzept, welches davon ausgeht, dass alle Netzwerkverbindungen potenziell gefährlich sind. Ihr Leitsatz sollte lauten „Vertrau niemanden, überprüfe alles“. Zero Trust erfordert eine kontinuierliche Überwachung und Validierung aller Aktivitäten im Netzwerk, unabhängig davon, ob sie von innen oder außen kommen. Siehe Zero-Trust-Implementierung mit Microsoft 365
AD Hardening: Implementieren Sie das Active Directory Tiering Modell, um die Sicherheit von Ihrem Verzeichnisdienst zu verbessern. Siehe AD Tiering Struktur – Funktion und Nutzen
Fazit
Sicherheit ist ein Prozess, welcher ständig angepasst und verbessert werden muss. Nur die Kombination aus verschiedensten Sicherheitsansätzen verringert die Angriffsfläche sowie den potenziellen Schaden.
Ziel ist es, Angriffe frühzeitig zu erkennen, den Schaden somit einzugrenzen und die Produktivität des Unternehmens aufrecht zu erhalten. Hierzu gibt es leider keine einfache Software-Lösung. Nur die Kombination aus Erkennungssystemen, gehärteten und isolierten Sicherheitsebenen garantieren einen möglichst geringen Schaden.
Kaum ein Monat vergeht ohne neue Sicherheitsupdates! Umso wichtiger ist ein Zero Trust Ansatz und die Umsetzung eines AD Tiering.
Die Sicherheit von IT-Systemen und Daten ist für jede Organisation von entscheidender Bedeutung. Doch die Zahl der Sicherheitsbedrohungen und -verletzungen nimmt stetig zu, und die herkömmlichen Sicherheitsmaßnahmen reichen nicht mehr aus, um einen wirksamen Schutz zu gewährleisten. Die traditionelle Annahme, dass alles innerhalb des eigenen Netzwerks vertrauenswürdig ist, während alles außerhalb des Netzwerks potenziell gefährlich ist, ist nicht mehr haltbar. Angreifer können sich leicht Zugang zu internen Ressourcen verschaffen, indem sie Schwachstellen ausnutzen, gestohlene Anmeldeinformationen verwenden oder Insider missbrauchen. Um dieser Herausforderung zu begegnen, benötigen Organisationen einen neuen Sicherheitsansatz, der auf dem Prinzip des Zero Trust basiert.
Im März 2023 hat Microsoft SUs für Exchange Server 2013, 2016 und 2019 veröffentlicht, die mehrere Schwachstellen beheben, die von Sicherheitspartnern an Microsoft gemeldet wurden oder durch Microsoft’s interne Prozesse gefunden wurden. Diese Schwachstellen können es einem Angreifer ermöglichen, aus der Ferne Code auszuführen, die Berechtigungen zu erhöhen oder sensible Informationen preiszugeben. Einige dieser Schwachstellen sind kritisch oder wichtig eingestuft und erfordern keine Benutzerinteraktion, um ausgenutzt zu werden.
Den originalen Techcommunity-Beitrag finden Sie hier:
Obwohl Microsoft keine aktiven Ausnutzungen dieser Schwachstellen im Internet bekannt ist, empfiehlt Microsoft dringend, diese Updates so schnell wie möglich zu installieren, um Ihre Umgebung zu schützen. Diese Updates sind sowohl als selbstextrahierende und .exe-Pakete als auch als ursprüngliche Update-Pakete (.msp-Dateien) verfügbar, die vom Microsoft Update-Katalog heruntergeladen werden können.
CVE-2023-24880: Eine Remote-Code-Ausführung in Exchange Server, die es einem Angreifer ermöglicht, beliebigen Code auf dem Server auszuführen, indem er eine speziell gestaltete E-Mail sendet.
CVE-2023-24881: Eine Remote-Code-Ausführung in Exchange Server, die es einem Angreifer ermöglicht, beliebigen Code auf dem Server auszuführen, indem er eine speziell gestaltete Anfrage an den Exchange Web Service sendet.
CVE-2023-24882: Eine Remote-Code-Ausführung in Exchange Server, die es einem Angreifer ermöglicht, beliebigen Code auf dem Server auszuführen, indem er eine speziell gestaltete Anfrage an den Exchange Control Panel sendet.
CVE-2023-24883: Eine Remote-Code-Ausführung in Exchange Server, die es einem Angreifer ermöglicht, beliebigen Code auf dem Server auszuführen, indem er eine speziell gestaltete Anfrage an den Exchange Autodiscover Service sendet.
CVE-2023-24884: Eine Remote-Code-Ausführung in Exchange Server, die es einem Angreifer ermöglicht, beliebigen Code auf dem Server auszuführen, indem er eine speziell gestaltete Anfrage an den Exchange Unified Messaging Service sendet.
CVE-2023-24885: Eine Informationspreisgabe in Exchange Server, die es einem Angreifer ermöglicht, sensible Informationen aus dem Server zu extrahieren, indem er eine speziell gestaltete Anfrage an den Exchange Web Service sendet.
Zusätzlich zu den SUs für Exchange Server sollten Sie auch das Outlook-Sicherheitsupdate für Windows installieren, dass eine weitere Schwachstelle behebt, die mit CVE-2023-23397 zusammenhängt. Hierzu haben wir einen eigenen Artikel zur Verfügung gestellt. Dieses Update verhindert, dass Outlook eine Verbindung zu einer bösartigen SMB-Freigabe herstellt und den NTLM-Hash des Benutzers preisgibt.
Hier die Liste der behobenen Probleme:
EWS web application pool stops after the February 2023 Security Update is installed – if you have implemented the workaround in the KB article, you should remove the workaround once the March SU is installed (see the KB article for instructions). Running Health Checker will remind you of the need to remove the workaround.
This release unblocks customers who can’t enable Extended Protection (EP) because they are using a Retention Policy with Retention Tags that perform Move-to-Archive actions. Note: if you worked around this problem using the updated Exchange Server Extended Protection script, you should roll back the applied IP restrictions after installing this SU by following the script documentation.
Wir hoffen, dass Ihnen dieser Blogartikel geholfen hat, mehr über die neuen Exchange-Sicherheitsupdates März 2023 zu erfahren und wie Sie sie installieren können.
CVE-2023-23397 ist eine kritische Schwachstelle in Microsoft Outlook, die es einem Angreifer ermöglicht, die Windows-Anmeldedaten (NTLM-Hash) eines Opfers zu stehlen, indem er eine speziell gestaltete E-Mail sendet. Der Angreifer kann dann den Hash verwenden, um sich gegen andere Dienste zu authentifizieren. Dies kann zu einem Datenverlust oder einer Kompromittierung des Systems bzw. des kompletten AD’s (Stichwort: Lateral Movement) führen. Die Schwachstelle wurde bereits ausgenutzt von staatlich unterstützten und Ransomware-Akteuren. Microsoft hat ein Sicherheitsupdate für Outlook veröffentlicht, um diese Schwachstelle zu beheben.
Um sich zu schützen, sollten Sie das Update so schnell wie möglich installieren und überprüfen, ob Sie von der Schwachstelle betroffen sind.
Wichtig: Die Sicherheitslücke ist nicht abhängig von der Exchange Variante. Da es sich um eine Sicherheitslücke im Outlook Client handelt, sind auch Exchange Online Postfächer betroffen.
Wie überprüfe ich, ob ich bereits von der Schwachstelle betroffen bin.
Um zu überprüfen, ob Sie bereits von der Schwachstelle betroffen sind, können Sie ein Skript verwenden, das Microsoft erstellt hat. Das Skript sucht nach verdächtigen E-Mails in Ihrem Postfach und zeigt Ihnen an, ob Sie eine Verbindung zu einem Angreifer-Server hergestellt haben.
Voraussetzungen für die Ausführung des Skripts für Exchange Server
Um dieses Skript in einer lokalen Exchange Server-Umgebung auszuführen, müssen Sie ein Konto mit der Verwaltungsrolle ApplicationImpersonation verwenden. Sie können eine neue Rollengruppe mit den erforderlichen Berechtigungen erstellen, indem Sie den folgenden PowerShell-Befehl in einer erhöhten Exchange Management Shell (EMS) ausführen:
Ändern Sie die Erweiterung der Datei von .nupkg in .zip
Entpacken Sie das Paket.
Verwenden Sie die DLL, die im Paket unter „\lib\net35“ zu finden ist.
Geben Sie beim Ausführen des Skripts den Pfad zur DLL für den Parameter DLLPath an.
Wie führe das Skript für alle Exchange Online Postfächer aus?
Führen Sie das Skript zunächst im „Audit Mode“ als Administrator mit der Rolle Organisationsmanagement aus. Zum Scannen von Online-Postfächern sollte der Umgebungsparameter „Online“ sein.
Für das Scannen von Exchange Online-Postfächern benötigt das Skript eine Azure AD-Anwendung, die über Delegierungsberechtigungen für alle Exchange Online-Postfächer verfügt. Sie können die Anwendung mithilfe des Skripts erstellen. Sobald die Anwendung nicht mehr benötigt wird, können Sie sie ebenfalls mit dem Skript löschen.
AzureAD Anwendung verwalten:
Mit dieser Syntax wird das Skript zur Erstellung einer Azure-Anwendung ausgeführt:
.\CVE-2023-23397.ps1 -CreateAzureApplication
Mit dieser Syntax wird das Skript ausgeführt, um die vom Skript erstellte Azure-Anwendung zu löschen. (Erst nach der Ausführung des Skriptes notwendig)
.\CVE-2023-23397.ps1 -DeleteAzureApplication
Audit Mode:
Mit dieser Syntax wird das Skript zur Überprüfung aller Postfächer in Exchange Online ausgeführt. Hierzu muss vorher eine Verbindung mit dem Exchange Online in der PowerShell hergestellt werden, da „Get-Mailbox“ sonst nur die OnPremise Postfächer auflistet.
Mit dieser Syntax wird das Skript ausgeführt, um die problematische Eigenschaft aus den Nachrichten zu löschen.
.\CVE-2023-23397.ps1 -CleanupAction ClearProperty -CleanupInfoFilePath <Path to modified CSV>
Mit dieser Syntax wird das Skript ausgeführt, um Nachrichten zu löschen, die die problematische Eigenschaft enthalten.
.\CVE-2023-23397.ps1 -CleanupAction ClearItem -CleanupInfoFilePath <Path to modified CSV>
Fehler bei der Skriptausführung und Fehlerbehebung
Exchange Server unterstützt die angeforderte Version nicht.
Wenn es Exchange 2013-Server in einer Umgebung mit Exchange 2016 oder Exchange 2019 gibt, kann das Skript möglicherweise keine Postfächer auf Exchange 2013 öffnen und den folgenden Fehler anzeigen:
Wenn der oben genannte Fehler auftritt, führen Sie das Skript mit dem Parameter EWSExchange2013 aus:
Wenn Autodiscover aufgrund eines Umleitungsfehlers fehlschlägt und der oben genannte Fehler auftritt, geben Sie die EWS-URL mit dem Parameter EWSServerURL an.
Microsoft hat wieder neue Sicherheitsupdates für Exchange 2013, 2016 und 2019 veröffentlicht. Die SUs vom Februar 2023 schließen Sicherheitslücken, welche von den Sicherheitspartnern von Microsoft gemeldet aber auch durch die internen Prozesse von Microsoft gefunden wurden. Aktuell sind laut Microsoft keine aktiven Exploits im Internet bekannt.
Dennoch empfehlen wir eine asap Aktualisierung der betroffenen Exchange Server.
Details zu den geschlossenen Schwachstellen finden sich hier:
Nach der Installation der Sicherheitsupdates und der Aktivierung der Zertifikatssignierung der Powershell werden die Exchange Toolbox und die Funktion „Queue Viewer“ nicht mehr gestartet.
Fehlermeldung:
Unhandled Exception in Managed Code Snap-in
Deserialization fails due to one SerializationException: System.Runtime.Serialization.SerializationException: The input stream is not a valid binary format. The starting contents (in bytes) are: 23-73-69-67-23-72-2A-00-00-00-01-00-00-00-FF-FF-FF …
at System.Runtime.Serialization.Formatters.Binary.SerializationHeaderRecord.Read(__BinaryParser input)
Exception type: System.InvalidCastException
Exception
Workaround 1:
Verwenden Sie die Exchange Management Shell (EMS) und die passenden CMDLETS:
Get-Queue, Suspend-Queue, Get-Message etc.
Workaround 2:
Deaktivieren Sie die Funktion „Certificate Signing of PowerShell Serialization Payload“, bis ein Update zur Verfügung steht. Führen Sie dazu die folgenden Befehle in einer erhöhten Instanz der Exchange Management Shell aus:
PS: Am 11. April 2023, also in weniger als 60 Tagen, erreicht Exchange Server 2013 das End of Support!
Nach dem 11ten April wird Microsoft folgenden Support nicht mehr anbieten:
Technischen Support bei Problemen
Fehlerbehebungen für entdeckte Probleme
Sicherheitsbehebungen für entdeckte Schwachstellen, welche den Server anfällig für Sicherheitslücken machen können
Exchange Server 2013 läuft natürlich auch nach diesem Datum weiter; aufgrund der oben genannten Risiken empfehlen wir Ihnen jedoch dringend, so bald wie möglich von Exchange Server 2013 zu einem aktuellen Exchange Server/Online zu migrieren. Wenn Sie noch nicht mit der Migration von Exchange Server 2013 zu Exchange Online oder Exchange Server 2019 begonnen haben, sollten Sie jetzt unbedingt damit beginnen!
Willkommen im Jahr 2023! Es wird Zeit endlich alle externen Benutzerzugriffe mit einer Multifaktor-Authentifizierung abzusichern. Vorzugsweise einer sicheren!
Jüngste Studien von Expert Insights bestätigen, was wir seit Ewigkeiten wissen, in den meisten Fällen sind Angriffe wie Ransomware nur die zweite Stufe, welche auf eine Identitätskompromittierung beruht. Viele neuartigen Techniken beruhen auf der Kompromittierung der Identität. Dies zeigt, wie wichtig es ist, den Schutz der Identitäten zur Grundlage unserer Sicherheitsstrategie zu machen.
Passwort-Angriffe
Einfache Passwortangriffe sind allgegenwärtig. Sie sind wie die Luft, welche wir alle atmen. Hierbei spielt die Größe oder der Umsatz des Unternehmens, welches angegriffen wird, keine Rolle. Denn diese Angriffe können effektiv in großem Umfang ausgeführt werden. Warum Kennwörter unsicher sind und selbst MFA nicht immer ausreichend ist! Erkläre ich ausführlich in dem folgenden Artikel.
Password spray: Erraten gängiger Kennwörter.
Phishing: Jemanden dazu bringen, seine Anmeldedaten auf einer gefälschten Website oder als Antwort auf eine SMS oder E-Mail einzugeben.
Breach replay: Die Wiederverwendung von Kennwörtern, welche von einer anderen Website entwendet wurden.
Microsoft wehrt mehr als 1.000Passwortangriffe pro Sekunde ab. Bei 99,9 Prozent der kompromittierten Konten ist keine Multifaktor-Authentifizierung aktiviert. Eine mehrstufige Authentifizierung ist heute eine der effektivsten und grundlegendsten Abwehrmaßnahmen gegen Identitätsangriffe.
Oftmals werden leider aus Gründen der Bequemlichkeit keine mehrstufigen Authentifizierungen verlangt. Dabei gehört es doch selbst im privaten Umfeld zum absoluten Standard.
Online-Banking, Paypal, Apple etc. sind ohne mehrstufige Authentifizierung nicht mehr nutzbar.
Die Nutzung der Multifaktor-Authentifizierung ist das Wichtigste, was wir für unsere Sicherheit tun können.
Die altmodische Multifaktor-Authentifizierung war unsexy und erforderte das Kopieren von Codes vom Telefon oder einem Hardware-Token (OTP). Moderne Multifaktor-Authentifizierung mit Apps, Token oder dem Gerät selbst ist sehr reibungsarm oder sogar unsichtbar für die Benutzer. Vorzugsweise müssen die Benutzer nicht mal mehr ein Kennwort eingeben.
Windows 10 und Windows 11 bieten eine kostengünstige und einfache In-Box-Alternative zu Kennwörtern, Windows Hello for Business, eine starke Zwei-Faktor-Authentifizierung für Azure Active Directory und Active Directory.
Sie sollten sich für das Jahr 2023 die Kampagne #GoPasswordless2023 auf die Fahne schreiben!
Alle paaren Wochen führen Sebastian und ich mindestens ein Gespräch, in welchem wir den Entscheidern erklären, warum die Aussagen wie „Wir haben komplexe und lange Kennwörter im Einsatz“, „Uns greift doch keiner an“ oder „Wir verwenden eine MFA-Lösung“ oftmals ein falsches Gefühl von Sicherheit vermitteln.
Denn die Sache ist die:
Viele der heutigen Attacken werden automatisch durchgeführt. Ein Taschendieb bewegt sich auch in der Menge, ohne sein wirkliches Opfer zu kennen.
Meistens spielt die Länge Ihres Kennwortes keine Rolle.
Um zu verstehen, warum dem so ist, sollten wir uns die wichtigsten Angriffe auf Kennwörter ansehen.
Attacke
weitere Namen
Schwierigkeitsgrad
Benutzerinteraktionen
Spielt das Kennwort eine Rolle?
Phishing
Man-in-the-middle, Abfangen von Anmeldedaten
Einfach: Öffentlichen Hotspot bereitstellen. Links zu falschen Anmeldemasken via E-Mail, oder DNS, LLMNR, NetBios Spoofing, DHCPv6 verteilen. Einfache Tools wie Modlishka unterstützen den Angreifer
Verwendet ein x-beliebiges WLAN Meldet sich an und bestätigt die MFA
Nein, der Angreifer kann entweder das Kennwort erhalten, oder nutzt eine Pass-The-Hass und Pass-The-MFA Methode
Keylogger
Malware, Keystroke logging
Mittel: Malware zeichnet Benutzernamen und eingegebene Kennwörter auf und überträgt diese.
Anklicken von Links, Ausführen als Administrator, keine aktuellen Sicherheitsupdates oder Virensignaturen
Nein, sämtliche Informationen werden im Klartext übermittelt
Password spray
Guessing, hammering, low-and-slow
Trivial: Verwenden von öffentlichen Benutzerlisten und allgemeinen Kennwortlisten. Hierbei werden die Top 100 Kennwörter für Deutschland für eine große Anzahl an Benutzernamen verwendet.
Es werden häufige Kennwörter wie Spring123!, Winter2022, Sommer2023! etc. verwendet. Diese erfüllen häufig die Komplexitätsanforderungen
Nein, wenn das Kennwort einem Top-Kennwort, befindet sich auf einer Kennwortliste, entspricht.
Brute force
Database extraction, cracking
Unterschiedlich: Kann einfach sein, wenn das Zielunternehmen nur schwach geschützt ist. Hash-Cracking des Passworts. Schwieriger wenn die NTDS.DIT physisch und betrieblich geschützt ist.
Nein, außer Sie verwenden ein unbrauchbares Kennwort
Password Spray
Passwort-Spraying ist ein Angriff, bei welchem versucht wird, mit einigen wenigen, häufig verwendeten Kennwörtern auf eine große Anzahl von Konten (Benutzernamen) zuzugreifen. Die Angreifer „sprühen“ diese gängigen Kennwörter somit über ein ganzes Unternehmen. Dieser Angriff verfolgt demnach einen Massenansatz. Der Angreifer beginnt in der Regel mit einem verbreiteten Kennwort wie P@$$w0rd123, von dem er hofft, dass es von einem Benutzer im Unternehmen verwendet wird.
Die Benutzer wählen die gleichen Kennwörter vor allem deshalb, weil sie sehr einfach zu merken sind. Die Angreifer probieren daher gezielt oft verwendete Kennwörter von veröffentlichten Kennwortlisten aus.
Phishing/Man-in-the-middle
Leider können praktisch alle heute gebräuchlichen Authentifikatoren wie Telefon, SMS, E-Mail, OTP-Token (One-Time-Passcode) oder Push-Benachrichtigungen relativ einfach über Real-Time-Phishing abgefangen und genutzt werden. Hierzu muss ein Angreifer lediglich den Kommunikationskanal (Channel-Jacking) übernehmen. Aus diesem Grund empfehlen wir auch die Nutzung von eigenen LTE-Modems für besonders schützenswerte Benutzer wie Mitglieder der Geschäftsführung, Vorstand, Aufsichtsrat etc.
Wer wählt sich nicht gerne am Flughafen in den kostenlosen Hotspot „DUS Free WiFi Airpot“ ein?
Das macht aber nicht alle Authentifikatoren gleich anfällig.
Es ist sehr wichtig zu wissen, dass nur drei der genannten Authentifikatoren Ihre Benutzer vor Phishing-Angriffen schützen.
FIDO2
Windows Hello for Business
Zertifikatsbasierte Authentifizierung (CBA)
Windows 10 und Windows 11 bieten eine kostengünstige und einfache In-Box-Alternative zu Kennwörtern, Windows Hello for Business, eine starke Zwei-Faktor-Authentifizierung für Azure Active Directory und Active Directory.
Die unvermeidliche Pointe Ihr Passwort spielt keine Rolle, außer für Passwort-Spray (vermeiden Sie die am häufigsten erratenen Passwörter mit einer Art Wörterbuch-Checker wie dem Password Protection Feature von Microsoft) oder Brute-Force (verwenden Sie mehr als 8 Zeichen, oder benutzen Sie einen Passwort-Manager, wenn Sie *wirklich* nervös sind). Das soll nicht heißen, dass Ihr Passwort sicher ist. Es ist *definitiv* nicht sicher, wenn man bedenkt, wie hoch die Wahrscheinlichkeit ist, dass es erraten, abgefangen, gefälscht oder wiederverwendet wird.
Am 10.01.2023 hat Microsoft ein weiteres Sicherheitsupdate für Exchange Server 2013, Exchange Server 2016 und Exchange Server 2019 veröffentlich. Durch dieses Update werden einige Sicherheitslücken auf den Systemen geschlossen.
Das Update ist für folgende Versionen freigegeben:
Laut Empfehlung seitens Microsoft sollte das Update schnellstmöglich auf den unterstützten Systemen installiert werden um diese zu schützen.
Bekannte Probleme
Active Directory-Topologie Dienst
Sollte Exchange Server 2016 auf einem Windows Server 2012 R2 (Wichtig: ab Oktober 2023 out of service) sein, kann es nach der Installation des Sicherheitsupdates zu Problemen mit dem Active Directory-Topologie Dienst kommen. Dieser startet nach einem Neustart des Serversystems nicht automatisch bzw. erst zu spät und führt somit zu Problemen bei den anderen Exchange Diensten.
OWA Webseitenvorschau
Im OWA kann es ebenfalls zu Problemen kommen. Hier kann es vorkommen, dass die Seitenvorschau von im OWA geteilten Webseiten nicht sauber dargestellt werden kann.
Workarounds
OWA
Für die OWA Webseitenvorsschau ist derzeit kein Workaround bekannt. Microsoft arbeitet an einem Patch für das Problem.
Active Directory-Topologie Dienst:
Die Exchange Dienste können nach einem Neustart manuell gestartet werden. Dazu kann folgender Befehl PowerShell Befehl genutzt werden:
Get-Service -Name „MSExchange*“ | Start-Service
Ein weiterer Workaround für das Problem ist es, die Exchange Dienste auf „Automatisch (Verzögerter Start)“ zu setzen. Hier können folgenden CMD Befehle auf dem System ausgeführt werden.
In diesem Artikel wollen wir euch das Thema Tiering näherbringen. Grundsätzlich fällt dieses Thema in den Bereich des Active Directory Hardenings. Allerdings besteht die Einführung dieses Modells nicht nur aus der technischen Umsetzung. Viel wichtiger ist es, den Administratoren der Systeme, den richtig Umgang mit der neuen Struktur aufzuzeigen und diese zu verinnerlichen.
Aber erstmal zurück zum Anfang. Die erste Frage, die sich viele stellen ist:
Was ist überhaupt ein Tiering Modell?
Das Tiering oder auch ESAE (Enhanced Security Admin Environment) wird genutzt, um die administrative Architektur einer Domäne abzusichern. Durch eine Trennung der administrativen Konten und den Systemen in unterschiedliche „Schutzbereiche“, können Angriffe auf die interne Struktur reduziert bzw. deutlich erschwert werden.
Man trennt die vorhandene Struktur in drei Tiering Zonen sowie einen Benutzerbereich auf.
Jedes dieser Tiers bekommt eigene Administratoren. Wie auf dem Bild zu sehen, bekommt der jeweilige Admin nur Zugriff auf den ihm zugeteilten Bereich. Ein Zugriff auf eines der anderen Tiers ist nicht erlaubt.
Wie bereits oben erwähnt, handelt es sich bei den Tiering Benutzern um rein administrative Konten. Mit den Benutzern darf also nicht im normalen Tagesgeschäft gearbeitet werden. Sie sind rein für administrative Tätigkeiten gedacht.
Gearbeitet werden sollte mit diesen Benutzern über eine sogenannte PAW (Priviliged Access Workstation). Eine genauere Erklärung dazu gibt es in einem bald folgenden Blog-Artikel zum Thema PAW.
Da wir nun schon einmal grob erklärt haben, um was es sich beim Tiering Modell handelt, stellt sich nun natürlich direkt die nächste Frage.
Warum benötige ich ein Tiering Modell?
Nun, auf diese Frage gibt es eigentlich eine sehr einfache Antwort:
MEHR SICHERHEIT!
Grade die letzten Jahre haben gezeigt, dass kein Unternehmen vor Cyberangriffen sicher ist. Ich denke, jeder hat schon von mindestens einer Firma gehört, die Opfer einer Cyberattacke war. Sei es Verschlüsselungen, Datendiebstahl oder eine der anderen Attacken.
Wir müssen also versuchen, die eigene Infrastruktur so sicher wie möglich bzw. es dem Angreifer so schwer wie möglich zu machen, die Infrastruktur zu „infiltrieren“. Durch die Trennung in die drei Sicherheitsbereiche wollen wir eine komplette Kompromittierung der Domäne verhindern. Bei einem sauber eingerichteten und von den Mitarbeitern korrekt genutzten Tiering Modell, kann ein Angriff deutlich eingegrenzt werden. Denn selbst wenn ein Angreifer an ein administratives Kennwort gelangen könnte, hat er dadurch nicht die Möglichkeit sich in dem nächsthöheren Tier zu bewegen.
Erklären wir das mal an einem Beispiel:
Ohne Tiering:
Benutzer A hat sich auf seinem Client einen Trojaner oder ähnliches eingefangen. Er meldet sich beim IT-Support. Dieser schaltet sich nun mit seinem Administrator auf diesem Client auf. Da der Angreifer den Client des Benutzers bereits kompromittiert hat, ist es für ihn nun ein Leichtes an die Anmeldedaten des aufgeschalteten Admin-Benutzers zu gelangen, da diese als Hash-Wert auf dem Client gespeichert werden.
Mit den abgegriffenen Anmeldedaten des Support-Mitarbeiters (meistens ebenfalls Domänen-Administrator) hat der Angreifer nun die Möglichkeit, tiefer ins System vorzudringen und im schlimmsten Fall bis zu einem Domänencontroller zu gelangen. Sollte er Zugriff auf diesen erhalten, kann er sich nun frei in der Domäne bewegen, ohne dass es jemand mitkriegen würde.
Somit wäre die komplette Domäne kompromittiert und müsste im schlimmsten Fall komplett neu aufgesetzt werden. Auch eine komplette Verschlüsselung aller Systeme ist dadurch möglich, da der Angreifer kompletten Zugriff auf sämtliche Ressourcen hätte.
Mit eingerichtetem Tiering:
Im gleichen Szenario wie oben beschrieben hätte der Angreifer keine Chance weiter in die Domäne vorzudringen. Sollte sich im gleichen Beispiel ein Support Mitarbeiter mit seinen eigens für die Client- Administration (z.B. T2-Mustermann) angelegten Benutzer anmelden und der Angreifer ebenfalls die Anmeldedaten abgreifen, kann er sich maximal auf Clientebene bewegen. Er hat aber durch die Trennung in die unterschiedlichen Tiering Bereiche, keine Möglichkeiten, sich auf Anwendungs-server oder im schlimmsten Falle, Domänencontroller fortzubewegen.
Wie gehe ich vor, wenn ich ein Tiering einführen möchte?
Hier gibt es keine einfache Antwort. Grundsätzlich kann ein Tiering Modell von jedem in Betrieb genommen werden. Es müssen die benötigten Active Directory Anpassungen durchgeführt werden, die zugehörigen Benutzer erstellt und per Gruppenrichtlinien die nötigen Einschränkungen ausgerollt werden.
Beispiel einer einfache Tiering OU Struktur:
Das Wichtigste bei der Inbetriebnahme eines solchen Modells ist es aber, die zukünftigen Nutzer des Tiering Modells in die neue Arbeitsweise einzuarbeiten und den Nutzen zu verdeutlichen. Denn nur wenn sich sämtliche Mitarbeiter mit administrativen Konten an die neuen Regeln halten, kann man die Sicherheit der eigenen Infrastruktur erhöht werden.
Auch sollten vorher sämtliche Zugriffe auf die Systeme geklärt werden, denn es sollten auch die diejenigen einen T0 Administrator bekommen, die wirklich Zugriff auf T0 Systeme benötigen. Bei den administrativen Benutzern gilt:
So wenig wie möglich, so viel wie nötig.
Um die Nutzer zu erstellen und zu wissen, worauf sie Zugriff benötigen, gibt es natürlich eine weitere Hürde. Welches System gehört in welches Tier? Hierfür haben wir ein grobes Entscheidung-Diagramm erstellt.
Wie bereits erwähnt, handelt es sich hierbei nur um eine sehr grobe Auswahlhilfe. Jedoch kann es dabei helfen, eine erste Unterteilung seiner Systeme durchzuführen.
Fazit
Ich hoffe, wir konnten euch ein wenig für das Thema Tiering sensibilisieren. Grundsätzlich kann man durch die Einführung eines neuen administrativen Konzeptes die Sicherheit im eigenen Unternehmen deutlich erhöhen. Jedoch darf man nie vergessen, dass sämtliche Änderungen nur dann funktionieren können, wenn die Mitarbeitenden das Konzept unterstützen und mittragen.
Bevor sich jemand dazu entscheidet, ein Tiering bei sich einzuführen, besprecht es bitte mit allen Administratoren und klärt, ob sie dafür bereit sind die Idee mit umzusetzen. Denn das beste Konzept hilft nichts, wenn es Benutzer gibt, die es umgehen bzw. boykottieren.
Die Erfahrung zeigt aber, dass nach einer sachlichen Einweisung der IT-Mitarbeiter und der Beantwortung aller Fragen, kaum noch „Gegenwind“ herrscht.
