Neuer Missbrauch der DHCP-Administratorengruppe zur Erweiterung der Privilegien in Windows-Domänen

Als IT-Consultant möchte ich Sie, die IT-Administratoren, über eine kritische Sicherheitsbedrohung informieren, die die DHCP-Administratorengruppe in Windows-Domänen betrifft. Dieses Risiko könnte unzureichend abgesicherte DHCP-Server in Machtinstrumente für Angreifer verwandeln, die vollständige Domain-Übernahmen anstreben.

Was Sie wissen müssen: Die DHCP-Administratorengruppe kann in einigen Fällen dazu missbraucht werden, erweiterte Berechtigungen innerhalb einer Windows-Domäne zu erlangen. Dies geschieht durch das Manipulieren von DHCP-Optionen, die eigentlich dazu dienen, Netzwerkkonfigurationen zu verteilen.

Wie genau funktioniert der Angriff?

Der Angriff mittels der DHCP-Administratorengruppe für Privilegienerweiterung in Windows-Domänen erfolgt durch die missbräuchliche Verwendung der DHCP-Konfigurationsmöglichkeiten. Angreifer, die Zugang zur DHCP-Administratorengruppe haben, können spezielle DHCP-Optionen manipulieren. Ein kritischer Punkt dabei ist die Veränderung der DNS-Servereinstellungen über DHCP, was es ermöglicht, DNS-Anfragen umzuleiten. Dies kann zu einer Maschine-im-Mittelpunkt (MITM)-Attacke führen, bei der der Angreifer DNS-Anfragen abfängt oder manipuliert, um weitergehende Angriffe wie Kerberos-Authentifizierungsumleitungen durchzuführen. Solche Angriffe ermöglichen eine Eskalation der Privilegien bis hin zur Übernahme eines Domain Controllers, wenn der DHCP-Server auf diesem installiert ist.

Ein kritischer Aspekt dieses Angriffs auf die DHCP-Administratorengruppe ist, dass er auf legitimen Konfigurationsmöglichkeiten beruht und keine direkten Schwachstellen ausnutzt. Daher existiert keine einfache „Fix“ oder Patch, um diese Angriffsart zu unterbinden.

Präventionsmaßnahmen

In der Welt der Netzwerksicherheit ist die korrekte Platzierung und Verwaltung von Rollen innerhalb einer Active Directory (AD)-Umgebung entscheidend, um Sicherheitsrisiken zu minimieren. Ein häufig übersehener, aber kritischer Aspekt ist die Trennung von Diensten durch das AD Tiering Modell, speziell die Positionierung der DHCP-Rolle in Bezug auf Domain Controller (DC).

Das Risiko einer inkorrekten Rollenverteilung: Wenn der DHCP-Dienst auf einem Domain Controller installiert ist, öffnet dies Tür und Tor für potenzielle Angriffe. Angreifer, die Zugriff auf die DHCP-Administratorengruppe erlangen, können diese Position nutzen, um weitreichende Privilegien innerhalb der Domäne zu eskalieren. Diese Gefahr wird durch die Nutzung von DHCP-Optionen verstärkt, die manipuliert werden können, um bösartige Netzwerkkonfigurationen zu verbreiten oder unerlaubte DNS-Updates zu initiieren.

Die Lösung durch AD Tiering: Ein gut durchdachtes AD Tiering Modell bietet eine effektive Strategie, um solche Risiken zu mindern.

Im idealen Modell:

  • Tier 0 umfasst die Domain Controller und andere kritische Infrastrukturkomponenten, die die höchsten Sicherheitsanforderungen haben.
  • Tier 1 sollte Dienste wie DHCP beherbergen, die zwar wichtig sind, aber eine klare Trennung von den Kernkomponenten des Active Directory benötigen.

Durch die Einhaltung dieses Modells wird verhindert, dass DHCP-Administratoren Zugriff auf die kritischsten Bereiche der IT-Infrastruktur erhalten und somit das Risiko einer Privilegienerweiterung drastisch reduziert.

Schritte zur Implementierung und Überwachung:

  1. Überprüfung der aktuellen Infrastruktur: Identifizieren Sie alle Instanzen, in denen DHCP-Dienste auf Domain Controllern laufen, und planen Sie deren Migration.
  2. Einrichtung von Zugriffsbeschränkungen: Stellen Sie sicher, dass nur autorisierte Benutzer Zugriff auf kritische Systeme im Tier 0 haben.
  3. Regelmäßige Überwachung und Anpassungen: Überwachen Sie die Einhaltung des Tiering-Modells und passen Sie die Zugriffsrechte kontinuierlich an.

Fazit: Die strikte Trennung von Diensten nach dem AD Tiering Modell ist ein wesentlicher Bestandteil einer robusten Sicherheitsstrategie. Indem Sie sicherstellen, dass kritische und weniger kritische Systeme ordnungsgemäß isoliert sind, stärken Sie die Sicherheit Ihrer gesamten IT-Infrastruktur und minimieren das Risiko von Sicherheitsvorfällen, die durch eine falsche Rollenzuweisung entstehen könnten. Mehr zum Tiering Model finden Sie hier:

AD Tiering Struktur – Funktion und Nutzen

Wie Hacker Schwachstellen durch Netzwerkerkennung (NDR) aufdecken

Netzwerkerkennung und -reaktion (Network Detection and Response, kurz NDR) ist eine fundamentale Komponente in der Sicherheitsarchitektur vieler Unternehmen. Sie bietet tiefe Einblicke in den Netzwerkverkehr und ermöglicht es Sicherheitsteams, ungewöhnliche Aktivitäten zu erkennen, die auf eine Kompromittierung hindeuten könnten. Doch obwohl NDR viele Vorteile bietet, gibt es bestimmte Aspekte, durch die Hacker in der Lage sind, Lücken in dieser Sicherheitsebene zu finden und zu nutzen.

Die Doppelrolle von NDR

NDR als Detektor: NDR-Systeme sind darauf ausgelegt, Anomalien im Netzwerkverkehr zu erkennen. Sie nutzen fortschrittliche Algorithmen und maschinelles Lernen, um Muster zu identifizieren, die auf Malware-Infektionen, Datenexfiltration oder unautorisierten Zugriff hinweisen könnten. Diese Systeme sind essenziell, um schnell auf Bedrohungen reagieren zu können, die traditionelle Sicherheitslösungen wie Firewalls und Antivirus-Programme umgehen.

NDR als Ziel: Gleichzeitig können NDR-Systeme selbst zum Ziel werden. Hacker, die die Funktionsweise von NDR verstehen, entwickeln Methoden, um diese Systeme zu umgehen oder irrezuführen. Beispielsweise können sie verschleierten oder getarnten Datenverkehr nutzen, der so gestaltet ist, dass er von NDR-Systemen als normal eingestuft wird. Außerdem können Angriffe zeitlich so geplant werden, dass sie während Volumenspitzen stattfinden, bei denen die Wahrscheinlichkeit größer ist, dass sie in der Masse des normalen Verkehrs untergehen.

Wie Hacker NDR-Systeme austricksen

1. Einsatz von Verschleierungstechniken: Hacker verwenden Techniken wie das Splitting von Datenpaketen oder das Verschlüsseln von Malware-Kommunikation, um die Erkennung durch NDR-Systeme zu erschweren. Diese Methoden können dazu führen, dass bösartiger Datenverkehr als harmlos eingestuft wird.

2. Ausnutzung von Konfigurationsschwächen: Schwachstellen in der Konfiguration von NDR-Systemen können es Angreifern ermöglichen, Warnungen zu unterdrücken oder Fehlalarme zu generieren, die Sicherheitsteams ablenken und echte Angriffe verbergen.

3. Angriffe auf die Datenintegrität: Durch Manipulation der von NDR-Systemen erfassten Daten können Hacker die Glaubwürdigkeit der Systemausgaben untergraben. Dies kann durch gezielte Netzwerkangriffe geschehen, bei denen Datenpakete modifiziert oder gefälschte Pakete injiziert werden.

Strategien zur Stärkung von NDR

A. Fortlaufende Überprüfung und Anpassung: Regelmäßige Updates und Patches für NDR-Systeme sind unerlässlich, um Schutzmaßnahmen gegen neu entdeckte Angriffstechniken zu verstärken.

B. Erweiterte Schulung der Sicherheitsteams: Sicherheitsteams sollten speziell geschult werden, um die Taktiken, Techniken und Prozeduren (TTPs) der Angreifer, die auf NDR-Systeme abzielen, zu verstehen und effektiv zu bekämpfen.

C. Integration in eine umfassende Sicherheitsstrategie: NDR sollte nicht isoliert betrachtet werden. Eine Integration in eine übergreifende Sicherheitsstrategie, die andere Ebenen und Maßnahmen umfasst, ist entscheidend, um die Wirksamkeit zu maximieren und Sicherheitslücken zu minimieren.

Obwohl NDR-Systeme eine kritische Rolle in der modernen Netzwerksicherheit spielen, ist es wichtig, sich bewusst zu sein, dass keine Technologie allein ausreicht, um gegen fortschrittliche Cyberbedrohungen immun zu sein. Unternehmen müssen eine mehrschichtige Verteidigungsstrategie verfolgen, die sowohl präventive als auch reaktive Sicherheitsmaßnahmen umfasst.

Warum EDR und XDR gegenüber ausgefeilten Angriffen immer wieder scheitern

In der heutigen komplexen IT-Landschaft, die von ständigen Bedrohungen und sich entwickelnden Angriffstechniken geprägt ist, setzen viele Unternehmen auf Endpoint Detection and Response (EDR) und Extended Detection and Response (XDR) Lösungen, um ihre Netzwerke zu schützen. Obwohl diese Tools entscheidend sind, um viele Arten von Sicherheitsvorfällen zu erkennen und darauf zu reagieren, zeigen Erfahrungen, dass sie bei besonders ausgeklügelten Angriffen an ihre Grenzen stoßen können.

Die Grenzen von EDR und XDR

1. Abhängigkeit von bekannten Signaturen und Verhaltensmustern: EDR- und XDR-Systeme sind oft stark abhängig von Signaturen bekannter Malware und definierten Verhaltensmustern, um Bedrohungen zu identifizieren. Fortgeschrittene Angreifer entwickeln jedoch maßgeschneiderte Lösungen und Methoden, die speziell darauf ausgelegt sind, diese Erkennungsmechanismen zu umgehen. Das bedeutet, dass neue oder angepasste Schadsoftware, die keine erkennbaren Signaturen oder typischen Verhaltensmuster aufweist, möglicherweise nicht erkannt wird.

2. Mangel an Kontext und ganzheitlicher Sicht: Obwohl XDR-Lösungen eine breitere Datensammlung aus verschiedenen Quellen bieten, fehlt es ihnen oft an dem notwendigen Kontext, um die Daten effektiv zu korrelieren und zu interpretieren. Dies führt dazu, dass zwar viele Datenpunkte gesammelt werden, die Analyse jedoch oberflächlich bleibt und somit komplexe Angriffsszenarien nicht vollständig aufgedeckt werden können.

3. Falsche Alarme und Überwachungsmüdigkeit: Ein weiteres Problem stellt die hohe Anzahl von Fehlalarmen dar, die sowohl EDR- als auch XDR-Systeme produzieren können. Dies führt zu einer Überwachungsmüdigkeit bei den Sicherheitsteams, wodurch echte Bedrohungen in einem Meer von Fehlalarmen untergehen können.

4. Ressourcen- und Know-how-Begrenzungen: Viele Unternehmen verfügen nicht über die notwendigen Ressourcen oder das spezialisierte Wissen, um EDR- und XDR-Tools vollständig zu nutzen und zu warten. Dieses Manko wird besonders deutlich, wenn es darum geht, die von diesen Systemen gelieferten Daten zu interpretieren und darauf basierend angemessene Reaktionen zu formulieren.

Beispiele aus der Praxis

Die Herausforderungen und Grenzen von EDR- und XDR-Systemen lassen sich anhand einiger Beispiele aus der Praxis veranschaulichen:

1. Umgehung durch Polymorphismus: Angreifer nutzen polymorphe Malware, die ihr Erscheinungsbild ständig ändert, um Signaturen zu umgehen. Da EDR und XDR stark von Signaturen abhängig sind, können solche Malware-Arten oft unentdeckt bleiben.

2. Ausnutzung von Zero-Day-Schwachstellen: Zero-Day-Exploits, also Schwachstellen, die noch nicht öffentlich bekannt oder gepatcht sind, können von Angreifern genutzt werden, bevor Sicherheitssysteme wie EDR oder XDR darauf eingestellt sind. Diese Art von Angriff ist schwer zu erkennen, da sie keine bekannten Signaturen oder Verhaltensmuster verwenden.

3. Seitliche Bewegungen und legitime Tools: Fortgeschrittene Angreifer verwenden Techniken des seitlichen Bewegens (Lateral Movement) und setzen dabei legitime Administrationswerkzeuge ein, was die Erkennung durch EDR und XDR erschwert. Diese Werkzeuge generieren Aktivitäten, die normal erscheinen und daher oft nicht als bösartig erkannt werden.

4. Angriffe auf das EDR-System selbst: In einigen Fällen richten sich Angriffe direkt gegen die EDR- oder XDR-Lösungen, um diese zu deaktivieren oder zu manipulieren. Solche Angriffe können schwerwiegende Folgen haben, da sie das gesamte Sicherheitssystem kompromittieren.

5. Hohe Rate von Falschpositiven: Die hohe Anzahl von Fehlalarmen, die durch EDR und XDR generiert werden können, führt oft dazu, dass Sicherheitsteams wichtige Warnungen übersehen. Dieses Phänomen wird auch als „Alarmmüdigkeit“ bezeichnet und kann dazu führen, dass echte Bedrohungen nicht rechtzeitig erkannt oder behandelt werden.

Diese Beispiele unterstreichen die Notwendigkeit, Sicherheitssysteme kontinuierlich zu überprüfen und zu verbessern, um mit den sich ständig ändernden Taktiken und Techniken der Angreifer Schritt zu halten.

Strategien zur Verbesserung der Cybersicherheit

A. Anpassung und Weiterentwicklung: IT-Entscheider und Administratoren müssen kontinuierlich in die Weiterbildung ihrer Teams und die Anpassung ihrer Sicherheitssysteme investieren, um mit den sich ändernden Angriffstechniken Schritt zu halten.

B. Einsatz von KI und maschinellem Lernen: Der Einsatz von fortgeschrittenen KI-Technologien kann dazu beitragen, das Erkennungsvermögen von EDR- und XDR-Systemen zu verbessern, indem ungewöhnliche Muster erkannt werden, die sonst unentdeckt bleiben könnten.

C. Betonung auf proaktive Verteidigungsmaßnahmen: Statt sich ausschließlich auf Erkennung zu verlassen, sollten Unternehmen eine proaktivere Sicherheitsstrategie verfolgen, die Risikomanagement, die Stärkung von Endpunkten und die Schulung der Mitarbeiter umfasst.

D. Verbesserung der Incident Response: Eine effektive Incident-Response-Strategie ist entscheidend, um die Auswirkungen von Sicherheitsvorfällen zu minimieren. Diese sollte eine schnelle Identifikation, eine umfassende Untersuchung und eine koordinierte Reaktion auf Sicherheitsvorfälle beinhalten.

E. Härtung durch die Implementierung von einem „Berechtigungskonzept“ unter Berücksichtigung von einer AD Tiering Struktur.

F. Implementierung einer vollständigen Zero-Trust-Architektur.

Siehe hierzu: Zero-Trust-Implementierung mit Microsoft 365

Trotz der fortschrittlichen Technologien, die EDR und XDR bieten, sind sie keine Allheilmittel. Die Sicherheitslandschaft erfordert eine ständige Anpassung und Weiterentwicklung der Strategien und Werkzeuge, um den Bedrohungen immer einen Schritt voraus zu sein

Lektionen aus dem Angriff auf Südwestfalen-IT: Prävention und Schutzmaßnahmen

Der Angriff auf Südwestfalen-IT durch die Ransomware-Gruppe „Akira“ im Oktober 2023 bietet wertvolle Einsichten in Cybersicherheitsrisiken und Präventionsstrategien. Dieser Blogbeitrag analysiert die einzelnen Schritte der Angreifer und diskutiert, wie diese hätten vermieden werden können. Als Quelle fungierte der öffentliche forensische Bericht.

Schritt 1: Identitäten absichern und Sicherheitsupdates einspielen

Schwachstelle in der VPN-Lösung: Der Angriff begann mit dem Ausnutzen einer Schwachstelle (CVE-2023-20269) in der VPN-Lösung ohne Multi-Faktor-Authentifizierung (MFA).

Warum Kennwörter unsicher sind und selbst MFA nicht immer ausreichend ist!

Die angebliche Zero-Day Schwachstelle, welche von der Akira Ransomware Gruppe ausgenutzt wurde, wurde bereits am 24ten August von Cisco in einem Blog Artikel erwähnt. Von einer Zero-Day Attacke (CVE-2023-20269) kann bei 55 Tagen nach Bekanntgabe daher nun wirklich keine Rede sein. Ein passendes Sicherheits-Update wurde am 11ten September zur Verfügung gestellt. Erste identifizierte Angriffe wurden am 18ten Oktober identifiziert werden.

Akira Ransomware Targeting VPNs without Multi-Factor Authentication – Cisco Blogs

Prävention: Die Implementierung von einer sicheren MFA hätte den Zugriff deutlich erschwert. Außerdem sollte bei Bekanntgabe von CVE’s immer eine direkte Bewertung sowie passende Maßnahmen umgesetzt werden. Die Einrichtung von Systemen zur Erkennung verdächtiger Aktivitäten, wie ungewöhnliche Anmeldeversuche oder auffällige Netzwerkbewegungen, hätte die frühzeitige Erkennung des Angriffs ermöglichen können.

Schritt 2: Ausbreitung

Erhalten administrativer Berechtigungen: Nach dem Zugang zum Netzwerk erlangten die Angreifer administrative Rechte.

Die Angreifer konnten das Administrator-Kennwort ausnutzen, weil es seit 2014 in einem Gruppenrichtlinienobjekt in entschlüsselbarer Textform hinterlegt war. Jeder Angreifer mit gültigen Domänen-Zugangsdaten konnte dadurch das Kennwort auslesen. Unter Verwendung eines von Microsoft bereitgestellten AES-Schlüssels ließ sich das Kennwort entschlüsseln, was den Angreifern ermöglichte, ihre Zugriffsberechtigungen auf das Niveau eines Domänen-Administrators zu erhöhen, ohne dabei typische forensische Anzeichen für Privilege Escalation oder Lateral Movement zu hinterlassen.

Prävention: Striktere Zugriffskontrollen und regelmäßige Überprüfungen der Berechtigungen hätten dies verhindern können. Sie sollten regelmäßig ihre Identity und Access Management Systeme auditieren.

Schritt 3: Verbreitung der Ransomware

Verbreitung der Ransomware: Die Ransomware wurde innerhalb der Windows-Domäne verbreitet. Die Verteilung der Ransomware erfolgte gezielt und anscheinend mittels Zugriffen auf das C$-Netzwerkshare der einzelnen Server. Es wurde angenommen, dass die Ransomware von Zielsystemen durch diese Zugriffe ausgeführt wurde. Diese Annahme stützt sich darauf, dass keine Spuren gefunden wurden, die auf andere Verteilungsmethoden hindeuten. Außerdem wurde festgestellt, dass die Ransomware w.exe selbst Logfiles schrieb, welche dokumentierten, welche Aktionen durch die Schadsoftware durchgeführt wurden und welche Fehler beim Verschlüsseln auftraten.

Es wurden 961 Systeme identifiziert, auf denen die Ransomnote akira_readme.txt vorzufinden war. Zum Glück wurden keine GPO’s, wie bei anderen Ransomware Gruppen üblich, verwendet. Andernfalls wären ca. 4200 Clients und 800 Server betroffen.

Prävention: Bessere Netzwerksegmentierung, ein AD Tiering, eine klassische Server Härtung und strengere Zugangskontrollen hätten die Ausbreitung eingedämmt.

AD Tiering Struktur – Funktion und Nutzen

Schritt 4: Verschlüsselung von Daten

Die Ransomware verschlüsselte das Dateisystem von Südwestfalen-IT, indem sie einen rekursiven Ansatz verfolgte. Das Programm durchlief das gesamte Dateisystem und verschlüsselte jedes Verzeichnis einzeln, beginnend mit dem angegebenen Startpfad. Interessanterweise nutzte die Ransomware, benannt als w.exe, eine Blacklist, um bestimmte Dateitypen, Dateiendungen und Verzeichnisse von der Verschlüsselung auszunehmen. Nachdem die Verschlüsselung in einem Verzeichnis abgeschlossen war, platzierte die Ransomware in jedem betroffenen Verzeichnis eine Erpressungsnachricht mit dem Namen „akira_readme.txt“​

Prävention: Regelmäßige Backups und ein effektiver und regelmäßig erprobter Disaster-Recovery-Plan hätte zudem eine schnellere Wiederherstellung der Systeme ermöglicht.

Schlussfolgerung:

Das Fazit aus dem Angriff auf Südwestfalen-IT durch die Ransomware-Gruppe „Akira“ unterstreicht die Wichtigkeit einer umfassenden und proaktiven Cybersicherheitsstrategie. Die Schlüsselerkenntnisse sind:

  1. Bedeutung von Multi-Faktor-Authentifizierung: Die Abwesenheit von MFA, insbesondere bei kritischen Zugangspunkten wie VPNs, kann Türöffner für Cyberangriffe sein. MFA ist ein wesentlicher Bestandteil zur Verstärkung der Sicherheitsmaßnahmen.
  2. Wichtigkeit regelmäßiger Sicherheitsaudits: Die Identifizierung und Behebung von Schwachstellen, wie z.B. schlecht gesicherte Passwörter, ist entscheidend, um potenzielle Angriffsvektoren zu minimieren.
  3. Notwendigkeit von Netzwerksegmentierung und strengen Zugriffskontrollen: Diese Maßnahmen können die Bewegungsfreiheit von Angreifern im Netzwerk begrenzen und die Ausbreitung von Malware verhindern oder zumindest einschränken.
  4. Proaktive Überwachung und Anomalie-Erkennung: Frühzeitige Erkennung von verdächtigen Aktivitäten und Angriffsversuchen ist entscheidend, um Eindringlinge abzuwehren, bevor sie ernsthaften Schaden anrichten können.
  5. Bewusstsein und Schulung der Mitarbeiter: Da Menschen oft das schwächste Glied in der Sicherheitskette sind, ist es wichtig, das Bewusstsein und die Wachsamkeit der Mitarbeiter zu stärken.
  6. Robuste Backup- und Disaster-Recovery-Strategien: Diese sind unerlässlich, um die Resilienz gegen Ransomware-Angriffe zu erhöhen und die Geschäftskontinuität im Falle eines Datenverlusts sicherzustellen.
  7. Einsatz fortschrittlicher Sicherheitslösungen: Der Einsatz moderner Antivirus- und Endpunkt-Schutzlösungen kann dazu beitragen, Bedrohungen frühzeitig zu erkennen und zu neutralisieren.

Der Vorfall zeigt einmal mehr, dass Cybersicherheit ein kontinuierlicher Prozess ist, der ständige Aufmerksamkeit und Anpassung erfordert, um mit den sich ständig weiterentwickelnden Bedrohungen Schritt zu halten.

Abschließend lässt sich sagen, dass der Angriff auf Südwestfalen-IT die Notwendigkeit eines Zero-Trust-Ansatzes in der Cybersicherheit unterstreicht. Zero-Trust bedeutet, grundsätzlich keinem Akteur innerhalb oder außerhalb des Netzwerks zu vertrauen, sondern jede Anfrage als potenzielle Bedrohung zu behandeln. Dieser Ansatz fordert eine kontinuierliche Überprüfung und Authentifizierung, um Sicherheit in einer immer komplexeren und vernetzteren digitalen Welt zu gewährleisten. Der Vorfall zeigt deutlich, dass der Übergang zu einem Zero-Trust-Modell für Unternehmen unerlässlich ist, um sich gegen fortgeschrittene und sich ständig weiterentwickelnde Cyberbedrohungen zu schützen.

Sicherer Zugriff im Zeitalter der Künstlichen Intelligenz: Was ist neu bei Microsoft Entra?

Als IT-Berater bin ich immer auf der Suche nach den neuesten Innovationen im Bereich der Cybersicherheit, die meinen Kunden helfen können, ihre digitale Umgebung zu schützen. Deshalb war ich sehr gespannt auf die Ankündigungen von Microsoft Entra, der integrierten Lösung für Identitäts- und Zugriffsmanagement, auf der Ignite 2023 Konferenz. Nun möchte ich mit einer zeitlichen Verzögerung endlich über meine persönlichen Highlights berichten.

Was ist Microsoft Entra?

Microsoft Entra bietet eine Reihe von Funktionen, die den sicheren Zugriff auf alle Anwendungen und Ressourcen für alle Benutzer und Geräte ermöglichen, die sich von überall aus verbinden. Dabei werden die Prinzipien des Zero Trust Ansatzes verfolgt, der auf der Verifizierung von Identität, Gerät, Anwendung und Netzwerk basiert, bevor der Zugriff gewährt wird.

Einige der Highlights, die mich besonders beeindruckt haben, sind:

  • Security Service Edge (SSE): Dies ist eine neue Lösung, die Microsoft Entra Internet Access und Microsoft Entra Private Access umfasst. Microsoft Entra Internet Access ist ein identitätszentriertes Secure Web Gateway (SWG), welches den Zugriff auf alle Internetanwendungen und -ressourcen mit bedingtem Zugriff und Web-Inhaltsfilterung sichert. Microsoft Entra Private Access ist ein identitätszentriertes Zero Trust Network Access (ZTNA), das den Zugriff auf alle privaten Anwendungen und Ressourcen mit bedingtem Zugriff und modernen Authentifizierungsmethoden sichert. Beide Lösungen arbeiten mit dem bestehenden Sicherheits- und Netzwerkstack von Microsoft und einem offenen Partnernetzwerk zusammen, um eine nahtlose Integration zu gewährleisten.
  • Microsoft Security Copilot: Dies ist ein neuer digitaler Assistent, welcher in das Microsoft Entra Admin Center eingebettet ist und den Administratoren hilft, häufige Aufgaben zu automatisieren, schneller zu beheben, komplexe Richtlinien zu interpretieren und Workflows zu entwerfen. Der Security Copilot beantwortet einfache Fragen, was eine bedingte Zugriffsrichtlinie macht oder warum die mehrstufige Authentifizierung (MFA) ausgelöst wurde. Der Security Copilot bietet auch eine Risikozusammenfassung, Abhilfemaßnahmen und empfohlene Anleitungen für gefährdete Identitäten, um das schnelle Reagieren auf Identitätsrisiken zu erleichtern. Ich kann also einfach meinen digitalen Assistenten Fragen stellen und dieser analysiert die notwendigen Anmeldelogs, bereitet diese auf und liefert mir eine passende Antwort.
  • Phishing-resistente Authentifizierungsmethoden: Microsoft Entra unterstützt verschiedene MFA-Methoden, um die Authentifizierung vor Phishing zu schützen. Dazu gehören zum Beispiel FIDO2 Security Keys, Windows Hello for Business, Microsoft Entra Certificate-Based Authentication (CBA) und Passkeys. Alle diese Methoden ermöglichen es, Passwörter ganz zu eliminieren, so dass sie nicht erraten, abgefangen oder gephished werden können. Microsoft Entra CBA ermöglicht es, Authentifizierungsrichtlinien nach Zertifikat, Ressourcentyp und Benutzergruppe anzupassen. Passkeys sind eine neue Funktion, welche mit Windows 11 eingeführt wurde und es ermöglicht, sich mit dem Gesicht, dem Fingerabdruck oder der PIN des Geräts bei einer Website, Anwendung oder einem Dienst anzumelden, für den man einen Passkey erstellt hat. Microsoft Entra ID-Benutzer werden bald in der Lage sein, sich mit Passkeys anzumelden, die aus der Microsoft Authenticator App verwaltet werden. Ein aus meiner Sicht wichtiger Schritt, um die Notwendigkeit von Kennwörtern endgültig abzuschaffen.
  • Microsoft Entra Permissions Management: Dies ist eine Lösung, die Einblicke in die Berechtigungsrisiken bietet. Es gibt zwei wichtige Integrationen, die mir aufgefallen sind. Die erste ist die Integration mit Microsoft Defender for Cloud (MDC), diese ermöglicht es, Identitäts- und Zugriffsberechtigungsinformationen mit anderen Cloud-Sicherheitsinformationen in einer einzigen Schnittstelle zu konsolidieren. Diese Ansicht zeigt handlungsorientierte Empfehlungen zur Behebung von Berechtigungsrisiken sowie den Permissions Creep Index an und erleichtert die Durchsetzung des Least Privilege Zugriffs für Cloud-Ressourcen über Azure, Amazon Web Services (AWS) und Google Cloud hinweg. Die zweite Integration ermöglicht es ServiceNow-Kunden, zeitgebundene, bedarfsgesteuerte Berechtigungen für Multicloud-Umgebungen (Azure, AWS, Google Cloud) über das ServiceNow-Portal anzufordern. Diese beliebte IT-Service-Management (ITSM)-Lösung stärkt somit die Zero Trust-Haltung, indem sie Zugriffsberechtigungsanfragen zu bestehenden Genehmigungsworkflows in ServiceNow hinzufügt. Ein wichtiger Schritt Richtung herstellerunabhängiger Zero-Trust Architektur.

Fazit

Ich bin beeindruckt von dem Umfang und der Tiefe der Funktionen, welche Microsoft Entra bietet, um den sicheren Zugriff auf alles und für jeden zu ermöglichen. Ich glaube, dass diese Lösungen meinen Kunden helfen kann, ihre digitale Transformation voranzutreiben und gleichzeitig ihre Sicherheit zu erhöhen. Gerade die Integration von anderen Cloud Services wie AWS, Google oder Service-Now sind wichtige Schritte für die Absicherung der Identitäten.

Wie muss ich mit meiner Exchange on-premises Umgebung umgehen? Jetzt wo Microsoft alte Exchange Server blockt?

Bereits im Mai 2023 hat Microsoft ein neues Transport-Enforcement-System für Exchange Online angekündigt, welches darauf abzielt, die Kunden vor den Risiken von veralteten oder ungepatchten Exchange-Servern zu schützen und somit die Sicherheit der Cloud zu erhöhen. Das System wird in mehreren Stufen eingeführt und betraf zunächst nur Exchange 2007/2010 Server, welche über einen OnPremises-Connector E-Mails an Exchange Online senden.  Seit Dezember 2023 betrifft dies auch Exchange 2013 Server.

Später wird es auf alle Versionen von Exchange Server und alle E-Mails, die in Exchange Online eingehen, ausgeweitet.

Was bedeutet dies genau?

Das Transport-Enforcement-System hat drei Hauptfunktionen: Berichterstattung, Drosselung und Blockierung.

Microsoft begründet diese Maßnahme mit der dringenden und zunehmenden Sicherheitsbedrohung für Kunden, die nicht unterstützte oder ungepatchte Software verwenden. Veraltete oder ungepatchte Exchange-Server sind anfällig für Sicherheitslücken, Malware, Hacking, Datenexfiltration und andere Angriffe. Microsoft verwendet das Zero Trust Sicherheitsmodell für seine Cloud-Dienste, welches erfordert, dass sich verbindende Geräte und Server als gesund und verwaltet beweisen. Server, die nicht unterstützt oder nicht gepatcht werden, sind dauerhaft verwundbar und können demnach nicht vertraut werden.

Kurzum bedeutet das, Microsoft wird Nachrichten von älteren, nicht unterstützten Exchange-Servern blockieren. Wenn diese über einen eingehenden Connector von einem nicht unterstützten Exchange-Server zu Exchange Online gesendet werden. Die Exchange-Server, die den Connector hosten, müssen somit auf eine unterstützte Version von Exchange 2016 oder Exchange 2019 aktualisiert und regelmäßig gepatcht werden.

Stufenweiser Rollout: Microsoft führt einen stufenweisen Rollout durch, um den Administratoren Zeit zu geben, ihre Server zu überprüfen und zu aktualisieren. Die Durchsetzung beginnt mit einer 30-tägigen Berichtsphase, gefolgt von einer zunehmenden Drosselung und Blockierung des Nachrichtenflusses. Wenn die Server innerhalb von 90 Tagen nach dem ersten Bericht nicht aktualisiert werden, wird der gesamte Nachrichtenfluss über den Connector blockiert.

Timeline

Verlängerungsmöglichkeit: Microsoft ermöglicht es den Administratoren eine Verlängerung zu beantragen, wenn sie mehr Zeit benötigen, um Updates zu testen. Wichtig: Sie können die Verlängerung maximal für 90 Kalendertage vornehmen.

Exchange On-Premises vs. Exchange Online: Microsoft wird weiterhin sowohl Exchange On-Premises als auch Exchange Online vollständig unterstützen. Microsoft ist bewusst, dass viele Kunden noch eine Exchange-Hybridkonfigurationen benötigen.

Nächste Schritte:

Sie sollten nun ihre Hybrid-Exchange-Konfiguration überprüfen und entscheiden, ob sie Exchange On-Premises behalten oder komplett zu Exchange Online wechseln wollen.

Wie nutze ich die Verlängerungsmöglichkeit?

Verwenden Sie hierzu das Exchange Admin Center (EAC)

  • Navigieren Sie zu Reports -> Mail flow -> Out-of-date connection on-premises Exchange servers
  • Klicken Sie im Report auf Enforcement Pause

Wählen sie Anschluss die Anzahl der Tage aus (maximal 90 Kalendertage)

Bin ich bereits betroffen?

Wenn Ihre veralteten lokalen Exchange Server gedrosselt oder blockiert werden, werden Sie mindestens einen der folgenden Fehler in Ihren lokalen E-Mail-Protokollen sehen:

4.7.230 Connecting Exchange server version is out-of-date; connection to Exchange Online throttled for n mins/hr.
5.7.230 Connecting Exchange server version is out-of-date; connection to Exchange Online blocked for n mins/hr. 

QakBot sowie andere aktuelle Angriffe und wie diese verhindert werden können!

QakBot ist eine gefährliche Malware, die sich über verschiedene Methoden verbreitet, um Zugriff auf sensible Daten zu erlangen, Passwörter zu stehlen und weitere Schadsoftware nachzuladen. In diesem Blogpost erfahren Sie mehr über die aktuelle QakBot-Kampagne, die OneNote-Dateien als Angriffsvektor nutzt, und wie Sie sich davor schützen können.

Warum OneNote?

OneNote ist eine beliebte Anwendung von Microsoft, die es erlaubt, Notizen zu erstellen, zu organisieren und zu teilen. OneNote hat weltweit Millionen von Nutzern in verschiedenen Bereichen wie Bildung, Arbeit und persönlichem Leben. Leider haben auch Cyberkriminelle das Potenzial von OneNote erkannt und verwenden es als Alternative zu Office-Makros, die von vielen Sicherheitslösungen blockiert werden. Seit Ende Januar 2023 verbreiten Hacker QakBot-Malware über schädliche OneNote-Dateien, die entweder als Anhang oder als Link in Phishing-E-Mails verschickt werden.

Die Phishing-E-Mails sind oft als Antworten auf bestehende Kommunikationen getarnt, um das Vertrauen der Empfänger zu gewinnen. Die OneNote-Dateien enthalten eine Grafik, die den Nutzer auffordert, auf einen „Open“-Button zu klicken, um einen weiteren Anhang aus der Cloud herunterzuladen. Dieser Anhang ist eine HTML-Anwendung im .hta-Format, die die QakBot-Malware von einem entfernten Server lädt und ausführt.

Was macht QakBot so gefährlich?

QakBot ist eine modulare Malware, die verschiedene Funktionen hat, wie zum Beispiel:

  • Keylogging: QakBot zeichnet alle Tastatureingaben des Opfers auf und sendet sie an den Command-and-Control-Server der Hacker.
  • Credential Stealing: QakBot stiehlt Passwörter aus Browsern, E-Mail-Clients und anderen Anwendungen.
  • Banking Trojan: QakBot kann Online-Banking-Sitzungen manipulieren und Geldtransfers durchführen oder sensible Daten abfangen.
  • Lateral Movement: QakBot kann sich im Netzwerk ausbreiten und weitere Geräte infizieren.
  • Loader: QakBot kann weitere Schadsoftware nachladen, wie zum Beispiel Ransomware oder Spyware.

Wie können Sie sich vor QakBot und anderen Angriffen schützen?

Die beste Verteidigung gegen QakBot und andere Malware ist eine mehrschichtige Sicherheitsstrategie, die folgende Maßnahmen umfasst:

  • E-Mail-Sicherheit: Verwenden Sie eine zuverlässige E-Mail-Sicherheitslösung, die Spam-, Phishing- und Malware-E-Mails filtert und blockiert. Achten Sie auch auf verdächtige Absender, Betreffzeilen und Anhänge oder Links in E-Mails. Führen Sie ein Whitelisting für Ihre Anhänge ein. Blocken Sie Dateien mit der Endung .One
  • Endpoint-Sicherheit: Verwenden Sie eine leistungsstarke Endpoint-Sicherheitslösung, die Ihre Geräte vor bekannten und unbekannten Bedrohungen schützt. Aktualisieren Sie regelmäßig Ihre Betriebssysteme und Anwendungen, um Sicherheitslücken zu schließen.
  • Netzwerk-Sicherheit: Verwenden Sie eine robuste Netzwerk-Sicherheitslösung, die den Datenverkehr überwacht und verdächtige Aktivitäten erkennt und blockiert. Vermeiden Sie auch den Zugriff auf unsichere oder unbekannte Websites oder Dienste.
  • Backup-Sicherheit: Verwenden Sie eine zuverlässige Backup-Sicherheitslösung, die Ihre wichtigen Daten regelmäßig sichert und wiederherstellt. Bewahren Sie Ihre Backups an einem sicheren Ort auf, der von Ihrem Netzwerk getrennt ist.
  • Awareness-Schulung: Sensibilisieren Sie Ihre Mitarbeiter für die Risiken von Cyberangriffen und schulen Sie sie in den besten Praktiken für die E-Mail- und Internetnutzung. Ermutigen Sie sie auch dazu, verdächtige E-Mails oder Vorfälle zu melden.
  • Zero Trust: Implementieren Sie ein Sicherheitskonzept, welches davon ausgeht, dass alle Netzwerkverbindungen potenziell gefährlich sind. Ihr Leitsatz sollte lauten „Vertrau niemanden, überprüfe alles“. Zero Trust erfordert eine kontinuierliche Überwachung und Validierung aller Aktivitäten im Netzwerk, unabhängig davon, ob sie von innen oder außen kommen. Siehe Zero-Trust-Implementierung mit Microsoft 365
  • AD Hardening: Implementieren Sie das Active Directory Tiering Modell, um die Sicherheit von Ihrem Verzeichnisdienst zu verbessern. Siehe AD Tiering Struktur – Funktion und Nutzen

Fazit

Sicherheit ist ein Prozess, welcher ständig angepasst und verbessert werden muss. Nur die Kombination aus verschiedensten Sicherheitsansätzen verringert die Angriffsfläche sowie den potenziellen Schaden.

Ziel ist es, Angriffe frühzeitig zu erkennen, den Schaden somit einzugrenzen und die Produktivität des Unternehmens aufrecht zu erhalten. Hierzu gibt es leider keine einfache Software-Lösung. Nur die Kombination aus Erkennungssystemen, gehärteten und isolierten Sicherheitsebenen garantieren einen möglichst geringen Schaden.

Exchange Server Security Update März 2023

Kaum ein Monat vergeht ohne neue Sicherheitsupdates! Umso wichtiger ist ein Zero Trust Ansatz und die Umsetzung eines AD Tiering.

Die Sicherheit von IT-Systemen und Daten ist für jede Organisation von entscheidender Bedeutung. Doch die Zahl der Sicherheitsbedrohungen und -verletzungen nimmt stetig zu, und die herkömmlichen Sicherheitsmaßnahmen reichen nicht mehr aus, um einen wirksamen Schutz zu gewährleisten. Die traditionelle Annahme, dass alles innerhalb des eigenen Netzwerks vertrauenswürdig ist, während alles außerhalb des Netzwerks potenziell gefährlich ist, ist nicht mehr haltbar. Angreifer können sich leicht Zugang zu internen Ressourcen verschaffen, indem sie Schwachstellen ausnutzen, gestohlene Anmeldeinformationen verwenden oder Insider missbrauchen. Um dieser Herausforderung zu begegnen, benötigen Organisationen einen neuen Sicherheitsansatz, der auf dem Prinzip des Zero Trust basiert.

Im März 2023 hat Microsoft SUs für Exchange Server 2013, 2016 und 2019 veröffentlicht, die mehrere Schwachstellen beheben, die von Sicherheitspartnern an Microsoft gemeldet wurden oder durch Microsoft’s interne Prozesse gefunden wurden. Diese Schwachstellen können es einem Angreifer ermöglichen, aus der Ferne Code auszuführen, die Berechtigungen zu erhöhen oder sensible Informationen preiszugeben. Einige dieser Schwachstellen sind kritisch oder wichtig eingestuft und erfordern keine Benutzerinteraktion, um ausgenutzt zu werden.

Den originalen Techcommunity-Beitrag finden Sie hier:

https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2023-exchange-server-security-updates/ba-p/3764224

Obwohl Microsoft keine aktiven Ausnutzungen dieser Schwachstellen im Internet bekannt ist, empfiehlt Microsoft dringend, diese Updates so schnell wie möglich zu installieren, um Ihre Umgebung zu schützen. Diese Updates sind sowohl als selbstextrahierende und .exe-Pakete als auch als ursprüngliche Update-Pakete (.msp-Dateien) verfügbar, die vom Microsoft Update-Katalog heruntergeladen werden können.

Liste über die einzelnen Schwachstellen:

  • CVE-2023-23397: Microsoft Office Outlook Escalation of Privilege (Outlook Updates dringend notwendig)
  • CVE-2023-24880: Eine Remote-Code-Ausführung in Exchange Server, die es einem Angreifer ermöglicht, beliebigen Code auf dem Server auszuführen, indem er eine speziell gestaltete E-Mail sendet.
  • CVE-2023-24881: Eine Remote-Code-Ausführung in Exchange Server, die es einem Angreifer ermöglicht, beliebigen Code auf dem Server auszuführen, indem er eine speziell gestaltete Anfrage an den Exchange Web Service sendet.
  • CVE-2023-24882: Eine Remote-Code-Ausführung in Exchange Server, die es einem Angreifer ermöglicht, beliebigen Code auf dem Server auszuführen, indem er eine speziell gestaltete Anfrage an den Exchange Control Panel sendet.
  • CVE-2023-24883: Eine Remote-Code-Ausführung in Exchange Server, die es einem Angreifer ermöglicht, beliebigen Code auf dem Server auszuführen, indem er eine speziell gestaltete Anfrage an den Exchange Autodiscover Service sendet.
  • CVE-2023-24884: Eine Remote-Code-Ausführung in Exchange Server, die es einem Angreifer ermöglicht, beliebigen Code auf dem Server auszuführen, indem er eine speziell gestaltete Anfrage an den Exchange Unified Messaging Service sendet.
  • CVE-2023-24885: Eine Informationspreisgabe in Exchange Server, die es einem Angreifer ermöglicht, sensible Informationen aus dem Server zu extrahieren, indem er eine speziell gestaltete Anfrage an den Exchange Web Service sendet.

Zusätzlich zu den SUs für Exchange Server sollten Sie auch das Outlook-Sicherheitsupdate für Windows installieren, dass eine weitere Schwachstelle behebt, die mit CVE-2023-23397 zusammenhängt. Hierzu haben wir einen eigenen Artikel zur Verfügung gestellt. Dieses Update verhindert, dass Outlook eine Verbindung zu einer bösartigen SMB-Freigabe herstellt und den NTLM-Hash des Benutzers preisgibt.

Hier die Liste der behobenen Probleme:

Wir hoffen, dass Ihnen dieser Blogartikel geholfen hat, mehr über die neuen Exchange-Sicherheitsupdates März 2023 zu erfahren und wie Sie sie installieren können.

Application Protection

Ein weiterer wichtiger Schritt hin zu einer Zero-Trust-Implementierung ist es, sämtliche Anwendungen zu schützen. Azure AD (AAD), als zentrales IAM ermöglicht es einfach, die strengen Benutzerzugriffskontrollen, welche mit MFA und dem bedingten Zugriff (Conditional Access) eingerichtet wurden, für weitere Anwendungen durchzusetzen.

Um Ihre Anwendungen zu schützen, sollten Sie daher zunächst AAD für alle Ihre SaaS-Anwendungen mit SAML, OAuth oder OIDC konfigurieren.

Für Anwendungen, welche diese modernen Protokolle nicht unterstützen, verbinden Sie Ihre VPN-Lösung mit der Azure AD Authentifizierung. Dadurch können Sie die erweiterte Geräte- und Benutzervalidierung nutzen, um so die Sicherheit signifikant zu erhöhen.

Der nächste Schritt besteht darin, Anwendungen von VPNs weg zu verlagern, indem bestehende On-Prem-Geschäftsanwendungen und IaaS-Anwendungen über Azure App Proxy, Kemp Loadbalancer oder NetScaler veröffentlicht werden.

Bedingter Zugriff in Verbindung mit Kemp als Reverse Proxy

Dies schützt nicht nur die Anwendung, sondern ermöglicht es Ihnen auch, Benutzerkonten den Zugriff auf eine einzelne Anwendung zu beschränken. Im Gegensatz zu herkömmlichen VPNs, welche häufig Zugriff auf alle Ports und Protokolle in einem Netzwerk bieten. Und somit eher der Vergangenheit angehören.

Wir erinnern uns, ein wichtiger Ansatz von einer Zero-Trust-Implementierung ist es:

Benutzerkonten erhalten keinen pauschalen Zugriff auf Anwendungen, Dienste und Dateien, sondern lediglich Zugriff auf die Ressourcen, welche diese für die jeweilige Aufgabe benötigen.

Zero-Trust-Implementierung mit Microsoft 365

Zero-Trust ist nicht mehr nur ein Schlagwort!

Ob als Basis-Anforderung von Cybersecurity-Versicherungen bis hin zu der Umsetzung von Best-Practices oder Zertifizierungen nach CIS, CISA, Tisax oder dem NIST-Framework.

In der neuen Post-COVID-Welt des hybriden Arbeitens ist es offensichtlich, dass das altmodische Sicherheitskonzept basierend auf Perimeter-Sicherheit nicht mehr ausreichend ist. Wir sprechen hierbei eher von einer dezentralen Belegschaft, welche von nicht vertrauenswürdigen Netzwerken auf Unternehmensressourcen zugreifen soll.

Die Perimeter-Sicherheit basiert darauf, dass sich Unternehmen gegen den externen Zugriff durch Firewalls und Virtual Private Networks (VPN) geschützt haben.

Nur Netzwerktraffic und Zugriffe, die von außen erfolgen, sind potenziell gefährlich und müssen dementsprechend analysiert und beschränkt werden.

Diese Konzepte haben den gewaltigen Nachteil, dass sobald jemand in das Firmennetz eingedrungen ist, kaum noch Sicherheitsvorkehrungen vorhanden sind. Zudem berücksichtigen diese Konzepte die Tatsache nicht, dass ein erhebliches Bedrohungspotential von den eigenen Mitarbeitern und Mitarbeiterinnen ausgeht.

Die Mitarbeiter und Mitarbeiterinnen erwarten, überall, jederzeit und auf jedem Gerät zu arbeiten. Damit verliert die Perimeter-Sicherheit an Wirkung und Bedeutung.

Im Rahmen unserer Tätigkeiten als Microsoft Consultants bemerken wir häufig, wie viele Unternehmen sich weiterhin ausschließlich auf den Schutz durch Firewalls, Anti-Virenscannern etc. verlassen. Der folgende Blog soll daher mehrere Phasen einer Zero-Trust-Implementierung berücksichtigen.

Phasen der Implementierung:

User Access and Identity

Bevor ein Benutzeraccount versucht auf eine Ressource zuzugreifen, müssen Sie folgendes berücksichtigen:

  • Die Identität muss mit einer starken Authentifizierung verifiziert werden (MFA/Passwordless).
  • Sicherstellen, dass der Zugriff konform und typisch für diese Identität ist.
  • Die Grundsätze des geringstmöglichen Privilegs beim Zugriff befolgen.

Nachdem die Identität verifiziert wurde, können wir den Zugriff dieser Identität auf Ressourcen anhand von Unternehmensrichtlinien, laufenden Risikoanalysen und anderen Tools kontrollieren. Hierzu nutzen wir Conditional Access.

Zum Glück ist eine schnelle Zero-Trust-Implementierung relativ einfach, wenn Sie Microsoft 365 verwenden.

Cookie Consent mit Real Cookie Banner