[datensicherheit.de, 31.05.2021] Das Claroty Research Team hat nach eigenen Angaben eine „schwerwiegende“ Sicherheitslücke (CVE-2020-15782) zur Umgehung des Speicherschutzes speicherprogrammierbarer Steuerungen (SPS) von Siemens (SIMATIC S7-1200 und S7-1500) identifiziert und gemeldet.

Abbildung: Claroty

Claroty Research Team: Entwicklung der Angriffe auf Siemens-Steuerungen

Missbrach möglich: Schwachstelle auf Steuerungen mit deaktiviertem Zugriffsschutz

Angreifer könnten diese Schwachstelle auf Steuerungen mit deaktiviertem Zugriffsschutz missbrauchen, um Lese- und Schreibzugriff zu erlangen und aus der Ferne bösartigen Code auszuführen. Siemens habe bereits die Firmware der betreffenden Geräte aktualisiert und entsprechende Hinweise für seine Kunden veröffentlicht.
Den Nutzern werde dringend geraten, ihre Systeme entsprechend zu aktualisieren. Bislang gebe es keine Hinweise darauf, dass die Sicherheitslücke bereits ausgenutzt wurde.

Über die Schwachstelle wäre es möglich, die SPS-Sandbox in den SPS-CPUs von Siemens zu umgehen

Die Ausführung von nativem Code auf einem industriellen Steuerungssystem wie einer speicherprogrammierbaren Steuerung (SPS) sei ein Ziel, welches nur relativ wenige hochqualifizierte Angreifer bislang erreicht hätten. Diese komplexen Systeme verfügten über zahlreiche In-Memory-Schutzmechanismen, die überwunden werden müssten, damit ein Angreifer nicht nur den Code ausführen kann, sondern auch unentdeckt bleibt.
Um diese Ebene der Code-Ausführung zu erreichen, sei bislang ein physischer Zugang oder Techniken, die auf Engineering-Workstations und andere Verbindungen zur SPS abzielten, nötig gewesen. „Durch die entdeckte Schwachstelle ist es jedoch möglich, die SPS-Sandbox in den SPS-CPUs von Siemens zu umgehen und so nativen Code in geschützten Speicherbereichen auszuführen“, warnt Claroty.

Offenlegung der Schwachstelle Resultat der bestehenden Partnerschaft zwischen Siemens und Claroty

Die Offenlegung der Schwachstelle sei ein Resultat der bestehenden Partnerschaft zwischen Siemens und Claroty. Deren enge Abstimmung habe den Austausch von technischen Details, Angriffstechniken und Ratschlägen zur Schadensbegrenzung umfasst:
Diese hätten dazu beigetragen, dass die Patches im aktuellen Update von Siemens verfügbar seien. „Beide Unternehmen raten den Anwendern dringend die Durchführung eines Updates, da es sich um eine kritische Sicherheitslücke handelt.“

Weitere Informationen zum Thema:

Siemens Security Advisory by Siemens ProductCERT, 28.05.2021
SSA-434534: Memory Protection Bypass Vulnerability in SIMATICS7-1200 and S7-1500 CPU Families

[datensicherheit.de, 10.02.2021] Plötzlich habe sich der Mauszeiger wie von Geisterhand bewegt – doch dank eines aufmerksamen Mitarbeiters sei die Manipulation der Trinkwasserzusammensetzung in einem Wasserwerk in Florida sofort aufgefallen. Über die Fernsteuerungs-Software „Teamviewer“ sei durch kriminelle Hacker der Wert für Natriumhydroxid im Frischwasser verhundertfacht worden – keine unmittelbar gefährliche, aber unangenehme Komplikation wäre die Folge gewesen.

Vorfall in Florida zeigt einmal mehr, wie einfach und schnell sich Hacker Zutritt verschaffen

Andreas Schlechter, Geschäftsführer von Telonic, betont: „Diese Manipulation in den USA zeigt in erster Linie, wie einfach und schnell sich Hacker Zutritt verschaffen können und ist daher eher als Warnung zu sehen. Die Folgen können immens sein, und die Einfallstore sind durch das Home-Office noch mannigfaltiger geworden.“
Das Kölner Systemhaus sichert nach eigenen Angaben Unternehmen und Institutionen gegen solche Risiken ab. Die aktuelle Situation mit einem Großteil der Mitarbeiter im Home-Office sei dabei eine besondere Herausforderung – von IoT-Devices beim Mitarbeiter bis zu den beliebten Fernsteuerungsprogrammen.

Smart-Home-Devices mit Sicherheitslücken laden Hacker geradezu ein

Wer bei sich zuhause Kameras in das WLAN eingebunden hat, um in Abwesenheit die Wohnung zu überwachen, öffne Hackern eine Sicherheitslücke. „Viele dieser Devices stammen von OEM-Produzenten, und die ursprüngliche Firmware enthält einen unkontrollierbaren Administratoren-Zugang. Solche Lücken stellen eine ernstzunehmende Gefahr dar“, erläutert Schlechter.
Im Fall des Wasserwerks in Florida sei „Teamviewer“ das Einfallstor gewesen – eine Lösung, die häufig sogar von Administratoren genutzt werde, um Probleme auf Client-Rechnern aus der Ferne zu beheben. Telonic habe auf die Herausforderung Home-Office eine Antwort aus der Cloud: „Eine moderne Next-Generation Firewall sichert den gesamten Datenverkehr ab, skaliert ohne Einschränkungen der Performance und agiert zudem mit Lösungen aus dem KI-Bereich.“ Dieser Security-Schutzschirm sichere das eigene Data-Center, aber auch alle Kanäle von außen ab.

Hacker könnten über privilegierten Zugriff auf „Microsoft 365“- und „Azure“-Umgebungen Angriffe starten

„Bereits 2018 begann, das ,Emotet‘-Botnetz Schlagzeilen zu machen. Es galt weltweit als gefährlichste Malware und hat allein in Deutschland einen Schaden von mindestens 14,5 Millionen Euro verursacht, schätzt das Bundeskriminalamt (BKA)“, erinnert Schlechter. Erst Anfang des Jahres 2021 hätten Ermittler einen Erfolg feiern und die Infrastruktur des „Emotet“-Botnetzes zerschlagen können. „Die Infrastruktur ist ersetzbar, die Akteure wurden nicht gefasst. Es gilt also weiterhin, extreme Vorsicht walten zu lassen“, so Schlechters Warnung.
Die Risiken verlagerten sich nun auf beliebte Software-Tools: Aktuell warnten die Behörden weltweit vor ersten Angriffen über privilegierten Zugriff auf „Microsoft 365“- und „Azure“-Umgebungen. Mit seinem eigenen SNOC (Service Network Operation Center) gehe Telonic derweil weiter als bisherige Schutzsoftware. Gezielt würden mit der neuen Technologie Angriffe nach neuesten Mustern simuliert. Dazu würden Computer im Netzwerk installiert und dienten als Dummy. „Wer seinen Traffic über ,Cloud Security‘ absichert und zudem seine eigene Infrastruktur gegen ungefährliche – weil simulierte – Bedrohungen laufen lässt, geht nur noch ein geringes Risiko ein, Opfer eines Angriffs zu werden“, so Schlechter.

Weitere Informationen zum Thema:

datensicherheit.de, 09.02.2021
Florida: Hochgefährlicher Cyberangriff auf Wasserversorgung / Sicherheitsanbieter Tenable kommentiert Attacke auf Betriebstechnik

datensicherheit.de, 10.02.2021
Nochmals Glück gehabt: Hacker-Attacke auf Wasseraufbereitungsanlage in Florida / Hacker sind in eine Wasseraufbereitungsanlage in Florida eingedrungen und haben sie sich Zugang zur internen ICS-Plattform verschafft

datensicherheit.de, 10.02.2021
Am 5. Februar 2021 griffen Hacker Wasseraufbereitungsanlage in Oldsmar an / Vermeidung von Fernzugriffen aber keine Lösung gegen Hacker-Attacken in der zunehmend digitalisierten Welt

[datensicherheit.de, 20.08.2020] Die Notwendigkeit des Fernzugriffs auf industrielle Netzwerke nimmt während der „Corona“-Krise offensichtlich zu – insbesondere auf den Gebieten der Energieversorgung, kritischen Produktion sowie Wasserversorgung. Mehr als 70 Prozent der in der ersten Hälfte des Jahres 2020 aufgedeckten Schwachstellen von industriellen Kontrollsystemen (ICS) lassen sich aus der Ferne ausnutzen, so ein zentrales Ergebnis aus dem ersten halbjährlichen „ICS Risk & Vulnerability Report“ aus dem Hause CLAROTY – dies unterstreiche die Wichtigkeit des Schutzes von internetfähigen ICS-Geräten und Fernzugriffsverbindungen.

Abbildung: CLAROTY

CLAROTY: Ergebnisse aus dem ersten halbjährlichen „ICS Risk & Vulnerability Report“

CLAROTY Research Team bewertete 365 von der NVD veröffentlichte ICS-Schwachstellen sowie 139 Warnhinweise des ICS-CERT

Der Bericht umfasst demnach die vom „CLAROTY Research Team“ vorgenommene Bewertung von 365 von der „National Vulnerability Database“ (NVD) veröffentlichten ICS-Schwachstellen sowie 139 Warnhinweise des „Industrial Control Systems Cyber Emergency Response Team“ (ICS-CERT) im Zeitraum Januar bis Juni 2020. 26 der in diesem Datensatz enthaltenen Schwachstellen seien dabei vom CLAROTY-Forscherteam selbst entdeckt worden.
„Im Vergleich zum ersten Halbjahr 2019 nahmen die vom NVD veröffentlichten Schachstellen um 10,3 Prozent zu, die ICS-CERT-Hinweise sogar um 32,4 Prozent.“ Dreiviertel der Schwachstellen seien dabei mit „hohem oder kritischem CVSS-Score bewertet“ worden.

Mit dem neuen Report möchte CLAROTY ein umfassendes Bild der Risiko- und Bedrohungslandschaft aufzeigen

„Wir stellen ein steigendes Bewusstsein für die Risiken, die von Schwachstellen in industriellen Kontrollsystemen ausgehen, fest. Forscher und Anbieter konzentrieren sich verstärkt darauf, diese so effektiv und effizient wie möglich zu identifizieren und zu beheben“, erläutert Amir Preminger, „VP of Research“ von CLAROTY.
Mit ihrem Report möchten sei ein „umfassendes Bild der Risiko- und Bedrohungslandschaft“ zeigen. Hiervon könnten letztlich alle OT-Sicherheitsverantwortlichen profitieren. Preminger: „Unsere Ergebnisse zeigen, wie wichtig es für Unternehmen ist, Fernzugriffsverbindungen und ICS-Geräte mit Internet-Anschluss zu schützen. Ebenso bedeutend ist auch der Schutz vor Phishing, Spam und Ransomware. Nur so lassen sich die potenziellen Auswirkungen dieser Bedrohungen minimieren.“

Schwachstellen unterstreichen laut CLAROTY Notwendigkeit des Schutzes von ICS-Geräten mit Internet-Anschluss

Dem Bericht zufolge könnten mehr als 70 Prozent der veröffentlichten Schwachstellen aus der Ferne ausgenutzt werden. Durch knapp der Hälfte der Schwachstellen (49%) sei zudem eine entfernte Code-Ausführung (Remote Code Execution, RCE) möglich, gefolgt von der Fähigkeit, Anwendungsdaten zu lesen (41%), Denial-of-Service (DoS) zu verursachen (39 %) und Schutzmechanismen zu umgehen (37%).
Die Verwundbarkeit aus der Ferne gewinne in Folge des durch „Corona“ bedingten Trends zu „Remote Work“ auch im industriellen Bereich und zunehmender Abhängigkeit vom Fernzugriff auf ICS-Netzwerke zusätzlich an Bedeutung.

CLAROTY warnt vor Zunahme der Sicherheitslücken bei Energieversorgung, kritischer Produktion und Wasserversorgung

Die Sektoren Energie, kritische Produktion sowie Wasser- und Abwasserinfrastrukturen seien bei weitem am stärksten von den Schwachstellen betroffen. Von den 385 „Common Vulnerabilities and Exposures“ (CVEs) der ICS-CERT-Hinweise entfielen 236 auf den Energiesektor, 197 auf die kritische verarbeitende Industrie und 171 auf den Wasser- und Abwassersektor.
Im Vergleich zum ersten Halbjahr 2019 verzeichneten Wasser und Abwasser mit 122,1 Prozent den größten Anstieg, während die kritische Fertigung um 87,3 Prozent und der Energiebereich um 58,9 Prozent zugenommen hätten.

CLAROTY-Forscherteam entdeckte im ersten Halbjahr 2020 insgesamt 26 ICS-Schwachstellen

Das CLAROTY-Forscherteam habe im ersten Halbjahr 2020 insgesamt 26 ICS-Schwachstellen entdeckt. Dabei seien kritische oder risikoreiche Schwachstellen priorisiert worden, welche die Verfügbarkeit, Zuverlässigkeit und Sicherheit von Industriebetrieben beeinträchtigen könnten. Das Team habe sich dabei auf ICS-Anbieter und -Produkte mit großer Installationsbasis konzentriert, welche eine wichtige Rolle in den Produktionsprozessen spielten.
Die 26 identifizierten Schwachstellen könnten schwerwiegende Auswirkungen auf betroffene OT-Netzwerke haben, zumal mehr als 60 Prozent eine entfernte Codeausführung ermöglichten. Für viele der von CLAROTYs Entdeckungen betroffenen Anbieter sei dies ihre erste gemeldete Schwachstelle gewesen. In der Folge hätten diese dedizierte Sicherheitsteams und -prozesse geschaffen, um der steigenden Zahl von entdeckten Schwachstellen aufgrund der Konvergenz von IT und OT zu begegnen.

CLAROTY-Forscherteam kooperiert mit einer Vielzahl von Anbietern

Das CLAROTY-Forscherteam setzt sich nach eigenen Angaben „aus OT-Sicherheitsforschern zusammen, die proprietäre OT-Bedrohungssignaturen entwickeln, OT-Protokolle analysieren, sowie ICS-Schwachstellen identifizieren und offenlegen“. Es verfüge über das branchenweit umfangreichste ICS-Testlabor und arbeite eng mit führenden Anbietern von Industrieautomation zusammen, um die Sicherheit ihrer Produkte zu bewerten.
„Bis heute hat das Team mehr als 40 ICS-Schwachstellen entdeckt und offengelegt. Dabei arbeitet es eng mit einer Vielzahl von Anbietern zusammen, um alle gemeldeten Probleme zu beheben.“

Weitere Informationen zum Thema:

CLAROTY
Claroty Biannual ICS Risk & Vulnerability Report: 1H 2020

datensicherheit.de, 10.06.2020
Der Data Breach Investigation Report von Verizon aus OT-Security-Sicht

Von unserem Gastautor Nathan Howe, Director Transformation Strategy bei Zscaler

[datensicherheit.de, 24.07.2020] Als im März die globale Pandemie ausgerufen wurde, mussten viele Unternehmen auf die Schnelle handeln, um der Belegschaft die Arbeit aus dem Home-Office zu ermöglichen. Die damit einhergehende Verlagerung der Datenströme brachte die vorhandene IT-Infrastruktur schnell an ihre Grenzen, wenn Unternehmen noch nicht digitalisiert waren. Denn der Fernzugriff vervielfachte das Datenaufkommen zwischen dem Rechenzentrum und jedem einzelnen Mitarbeiter, der plötzlich zu seiner persönlichen Zweigstelle avancierte. Für die notwendige Anbindung der Mitarbeiter an Daten und Anwendungen als Grundlage für ihre Arbeitsfähigkeit wurde nicht selten die Sicherheit geopfert.

Nathan Howe, Director Transformation Strategy bei Zscaler

Sicherheitsinfrastruktur herausgefordert

Mit der Lockerung der Kontaktbeschränkungen und der Rückkehr der Mitarbeiter ins Büro muss nun das große Aufräumen beginnen. Sonst droht den Unternehmen Gefahr, die ihre Sicherheitsinfrastruktur wegen Überlastung kurzerhand außer Kraft gesetzt haben. Es war kein Einzelfall, dass bei Unternehmen mit Hub-&-Spoke basierten Netzwerkarchitekturen, bei denen jeglicher Datenverkehr durch die zentrale Sicherheitsinstanz am Perimeter geroutet werden musste, den Stecker der Firewall zogen. Denn die Sicherheits-Appliances waren nicht in der Lage, dem plötzlichen Anstieg des Datenaufkommens Stand zu halten und bildeten den Flaschenhals für die Datenströme.

Nicht nur die Firewall, auch der rasche Einsatz von VDI-Systemen lies oftmals die Sicherheit außer Acht. Denn für den direkten Zugriff auf virtuelle Desktops wurde der Traffic an den Sicherheitskontrollmechanismen vorbeigeleitet. Manche Unternehmen sattelten auf schnell verfügbare, neue Hardware um, wodurch in der Folge mehr Komplexität Einzug hielt. Die Entscheidung für das performante Arbeiten fiel in solchen Infrastrukturen zu Gunsten der Connectivity aus, um die Produktivität der Mitarbeiter nicht zu gefährden.

Gefahrenpotenzial durch neue Mobilgeräte

Gefahrenpotenzial für Unternehmen ergibt sich auch dadurch, dass Mitarbeiter zur Anschaffung neuer Mobilgeräte aufgefordert wurden oder private Geräte für den Fernzugriff zum Einsatz kamen. Gegebenenfalls wurde auf beide Arten von Geräten in aller Hektik ein VPN-Client installiert, der den Zugriff auf das gesamte Firmennetzwerk ermöglicht – was wiederum nicht ohne Risiko einhergeht, wie die jüngsten Schwachstellen in VPN-Gateways belegen, die ein rasches Patch-Management erforderlich machen, um Einfallstore für Angreifer zu schließen. Darüber hinaus war es für Unternehmen schwierig, während der Krise den Überblick über alle User-Identitäten auf den verschiedenen für die Telearbeit eingesetzten Geräte zu bewahren. Da an die Identitäten die Zugriffrechte für Daten und Anwendungen gebunden sind, könnten als Folge fehlerhafte Berechtigungen auf sensible Daten entstehen.

Die Wahl, die Sicherheit hintenanzustellen, fiel den Verantwortlichen sicher nicht leicht. Doch oftmals hatten sie keine andere Möglichkeit. Bevor die Mitarbeiter im Home Office also frustriert aufgaben bei dem Versuch auf Daten und Anwendungen aus der Ferne zuzugreifen, wurde die Sicherheitsinfrastruktur zugunsten von Performanz und Produktivität unterlaufen. Gefährlich wird es, wenn diese Situation im Nachgang nicht wieder behoben wird. Jetzt, wo sich die ersten Wogen der Pandemie glätten, müssen Unternehmen die Sicherheit wieder in den Fokus rücken. Sonst laufen Unternehmen die Gefahr, den schnell geschaffenen Zustand beizubehalten, ohne den Sicherheitskontrollmechanismen wieder die notwendige Aufmerksamkeit zukommen zu lassen.

Jetzt ist es höchste Zeit, Bilanz zu ziehen und die Infrastruktur neu zu evaluieren. Der durch die Pandemie in aller Eile geschaffene Status quo, muss nun in einen geregelten Prozess überführt werden. Unternehmen sollten anhand einem einfachen Drei-Punkte-Plan die Ist-Situation erfassen:

1. Assessment durch Bestandserhebung der neu geschaffenen Infrastruktur
2. Identifizieren eventueller Schwachstellen in der jetzigen Situation und Erfassen von neu angeschafften Assets, die die unternehmensweite Netzwerkinfrastruktur für Außenstehende offenlegen könnten
3. Isolation kritischer Infrastrukturen in einem ersten Schritt und Installation von neuen Kontrollmechanismen für alle Datenströme

Zu guter Letzt sollten sich Unternehmen die Frage stellen, ob sie mit der auf die Schnelle geschaffenen Infrastruktur für die Zukunft gut gerüstet sind. Eine Evaluierung der Produktivität und Mitarbeiterzufriedenheit durch die Arbeit aus dem Home Office setzt unter Umständen die nächste Veränderungswelle in Gang. Werden hybride Modelle des flexiblen Arbeitens zur neuen Normalität, sollte demensprechend eine langfristig tragfähige Infrastruktur und keine kurzfristig entwickelte Notlösung zum Tragen kommen. Dann lohnt sich der Blick auf neue Rahmenwerke, wie das Secure Access Service Edge-Modell von Gartner, dass die Anforderungen von Connectivity, Netzwerk und Sicherheit miteinander vereint.

Weitere Informationen zum Thema:

datensicherheit.de, 25.11.2019
Zero Trust: Warum die Zeit gerade jetzt dafür reif ist

datensicherheit.de, 15.08.2019
Firmennetzwerke bedroht: Nathan Howe empfiehlt Zero Trust Network Access

[datensicherheit.de, 02.07.2020] Das Check Point Research Team von Check Point® Software Technologies Ltd. deckte riskante Sicherheitslücken in der Open-Source-Software Apache Guacamole auf. Die beliebte IT-Infrastruktur wurde über 10 Millionen Mal heruntergeladen. Entsprechend viele Organisationen setzen Apache Guacamole ein. Es erleichtert Mitarbeitern den Fernzugriff auf die Unternehmensdaten, weil diese lediglich den Web Browser benötigen, um sich einzuwählen. Außerdem läuft die Software auf vielen verschiedenen Geräten, darunter Laptops und Smartphones. Das soll allen Angestellten jederzeit und weltweit einen konstanten Zugriff auf ihre Firmen-Server gewährleisten.

Zwei Angriffswege

Check Points Sicherheitsforscher haben nun gezeigt, wie ein Cyber-Krimineller auf zwei Wegen Apache Guacamole ausnutzen kann, um ein Firmennetzwerk zu infiltrieren und sogar komplett zu übernehmen. Die Hacker benötigen lediglich Zugang zu einem Computer im Inneren einer Organisation: Entweder, weil ein abtrünniger Mitarbeiter physisch einen Computer für kriminelle Zwecke missbraucht, oder, weil sie einen Reverse-RDP-Angriff erfolgreich durchführen. Dabei wird der Ziel-Computer mit einer Malware infiziert und schädigt wiederum alle Geräte, die sich im Rahmen eines Fernzugriffs mit ihm verbinden möchten. Danach kann der Hacker das Apache Guacamole Gateway übernehmen, das alle Fernzugriffe verwaltet – er hat also die gesamte IT-Infrastruktur für den Fernzugriff eines Unternehmens kompromittiert.

Sobald der Angreifer das Gateway kontrolliert, kann er alle eingehenden Verbindungen aushorchen, alle Zugangsdaten abgreifen und sogar weitere Verbindungen innerhalb des Unternehmens infiltrieren. Die Sicherheitsforscher stimmen darin überein, dass dies einer vollständigen Übernahme des Firmennetzwerks gleichkommt.

Christine Schönig, Foto: Check Point Software Technologies

Christine Schönig, Regional Director Security Engineering CER, Office of the CTO bei Check Point Software Technologies GmbH, erklärt: „Die Tatsache, dass Unternehmen viele intern genutzte Dienste sozusagen nach außen verlagern – also für den Fernzugriff bereitstellen – und somit an das Internet anbinden, eröffnet eine Reihe neuer Angriffswege für Cyber-Kriminelle. Umso wichtiger wird es daher die eingesetzten Geräte und Server immer auf dem aktuellen Softwarestand zu halten. Nur so kann sichergestellt werden, dass alle bekannten herstellerabhängigen Sicherheitslücken in Anwendungen und Betriebssystemen geschlossen werden. Außerdem hilft eine umfangreiche IT-Sicherheitsarchitektur, die spezialisierte Lösungen zentral steuert, dabei, Angriffe zu erkennen und zu blockieren – sogar die noch unbekannten Zero-Day-Attacken, die sich großer Beliebtheit erfreuen, oder eben die altbekannten, aber weiterhin gefährlichen RDP-Angriffe.“

Die Sicherheitsforscher von Check Point haben die Schwachstelle am 31. März an Apache gemeldet, um gemeinsam eine Lösung zu erarbeiten. Der Open-Source-Anbieter veröffentlichte nun im Juni einen Patch für Guacamole gegen diese RDP-Angriffe, den jeder dringend einspielen sollte.

Weitere Informationen zum Thema:

Blog von Check Point
Hole-y Guacamole! Fixing critical vulnerabilities in Apache’s popular remote desktop gateway

datensicherheit.de, 16.05.2020
Remote-Desktop-Protocol: Neue schwerwiegende Schwachstelle entdeckt

datensicherheit.de, 06.05.2020
Tenable: Diese Schwachstellen bedrohen mobiles Arbeiten derzeit besonders stark

datensicherheit.de, 10.04.2020
SANS Institute: Anstieg bei Angriffen auf das Remote Desktop Protocol

Ein Kommentar von Kristian von Mejer, Global Account Executive bei Forescout Technologies Inc.

[datensicherheit.de, 08.06.2020] Die COVID-19-Pandemie stellt Unternehmen vor neue, unvorhergesehene Herausforderungen und bringt leider auch ernsthafte, weitreichende IT- und Sicherheitsrisiken durch Nutzung einer Remote-Arbeitsumgebung mit sich. Die Situation hat jedoch auch die Möglichkeit geschaffen, bestehende und neue Investitionen in Cyber-Verteidigungstechnologien anzupassen. Da immer mehr Mitarbeiter von zu Hause aus arbeiten, entstehen neue Hindernisse, wie die Skalierung und Absicherung von Virtual Private Networks (VPNs) und Fernzugriff. Die meisten Organisationen hatten zuvor keine ausgereiften Sicherheitspraktiken für ihre VPN-Netzwerke oder ihre Fernmitarbeiter in der Größenordnung eingeführt, mit der sie jetzt konfrontiert sind.

Kristian von Mejer, Forescout Technologies Inc., © Forescout Technologies Inc.

Remote-Arbeitsumgebung

Die Richtigen Fragen stellen

Es ist daher für Sicherheitsverantwortliche sehr wichtig, Ihren Teams die richtigen Fragen zu stellen, um dafür zu sorgen, dass das Netzwerk am Ende wirklich sicher ist. Die Herausforderung besteht vor allem durch die physische Ausweitung und steigende Mobilität. Das Ziel sollte immer sein, das höchstmögliche Sicherheitsniveau zu erreichen, ohne die Arbeitsweise der Mitarbeiter einzuschränken, denn am Ende müssen sie die Leistung erbringen, ohne Einschränkungen bei der Nutzererfahrung.

Unternehmen sollten die folgenden sechs Fragen an ihre IT-Verantwortlichen zur Anpassung an die heutige Remote-Arbeitsumgebung stellen:

1. Wie viele Administratoren sind im Unternehmen beschäftigt? Unternehmen sollten sicherstellen, dass mehrere Konten für verschiedene Administratoren eingerichtet wurden – mit granularen Berechtigungen, Umfang und Auditierung -, um sicherzustellen, dass es bei der Verwaltung des Systems keinen Single Point of Failure gibt, wenn einer der Admins nicht verfügbar ist.
2. Hat jemand (vielleicht besser „Haben Administratoren…“) im Unternehmen Fernzugriff auf Management-Konsolen (welche Management-Konsolen? Von internen IT-Systemen)? Es wird zwar nicht empfohlen, dass Management-Konsolen aus der Ferne zugänglich sind, aber können Firmen diese erreichen, wenn der überwiegende Großteil der Mitarbeiter per Remote-Zugriff verbunden sind und von zu Hause aus arbeiten? Viele Firewalls haben unterschiedliche Regelsätze, zum Beispiel LAN<->LAN vs. VPN<->LAN-Zugriff.
3. Wurden Dashboards oder Reportings für zentrale Services eingerichtet? Die Sicherheits- und Netzwerkteams von Unternehmen müssen Remote-Benutzern und -Geräten bei der VPN-Verbindung zu Unternehmensnetzwerken den gleichen Grad an Einblick und Kontrolle bieten wie den Mitarbeitern auf dem Campus. Dies kann durch Konformitätsbewertung und richtlinienbasierte Endpunkt- und Netzwerkkontrollen erreicht werden, die dazu beitragen können, Geräte zu sichern, während sie per Fernzugriff Unternehmens- oder Bring Your Own Device (BYOD)-Systeme mit Unternehmensnetzwerken verbinden.
4. Sicherheitslösungen können die Sicherheit in Bezug auf Sichtbarkeit, Gerätekonformität und Kontrolle über Richtlinien automatisieren. Sicherheits- und Netzwerkteams müssen alle Ferngeräte in dem Moment sehen und identifizieren, in dem sie sich mit dem Unternehmensnetzwerk verbinden – genau wie Geräte auf dem Campus. Diese erweiterte Sichtbarkeit trägt zur Risikominimierung in der neuen Work-from-Home-Umgebung bei. Als nächstes müssen sie sicherstellen, dass diese Geräte konform sind und dies auch bleiben, unabhängig von dem spezifischen Standort, von dem aus sie sich verbinden.
5. Ausgestattet mit dieser Transparenz können Sicherheits- und Netzwerkteams die Sicherheitslage ihrer Remote-Geräte besser verstehen und sie auf der Grundlage einer Risikobewertung für jedes Szenario entsprechend verwalten.
6. Können Tickets bei den eigenen IT-Service-Desks auch in der Telearbeit erstellt und bearbeitet werden. Können sich diese Teams auf das Endgerät einwählen? Besonders bei neu angeschafften Geräten muss sichergestellt werden, dass diese auch für die Fernwartung aktiviert wurden. Wenn bei der Arbeit von zu Hause aus etwas schief geht, gibt es dann die erforderlichen Details und den Zugang zur Support-Website, um schnell mit dem Team sprechen zu können?

Fazit

Der Schutz von Heimnetzwerken ist möglich, allerdings müssen dafür diese fünf Fragen beantwortet werden. Letztlich sollten alle Unternehmen, wenn sie Home Office ermöglichen, eine Lösung einsetzen, die VPN-Clients identifiziert und die unternehmenseigenen Richtlinien zum Schutz dieser Clients durchsetzt. Verwaltete Geräte, die sich über VPNs verbinden, sollten den gleichen Sicherheitsrichtlinien vor und nach dem Verbindungsaufbau unterliegen, die auch für Geräte vor Ort gelten. Die Forescout-Plattform kann dabei helfen, BYOD bzw. nicht verwaltete Geräte unmittelbar nach Aufbau einer VPN-Verbindung zu erkennen und deren Compliance zu den eigenen Sicherheitsrichtlinien zu prüfen. Sicherheits- und Netzwerkteams können dann schnell fundierte Entscheidungen über die Verweigerung oder Einschränkung des Zugriffs auf Netzwerkressourcen treffen. Nur dann können Unternehmen Bedrohungen wie Ransomware und Co. gelassen gegenüber stehen und ihre Mitarbeiter auch aus der Ferne auf das eigene Firmennetzwerk bzw. auf die Unternehmenseigenen Anwendungen und Daten zugreifen lassen.

Weitere Informationen zum Thema:

Forescout
Device Visibility and Control-Plattform

datensicherheit.de, 15.04.2020
Schwächen konventioneller VPN-Verbindungen für die Anbindung von Home-Offices

[datensicherheit.de, 16.05.2020] Das Check Point Research Team von Check Point® Software Technologies Ltd. war einer bekannten – und dennoch offenen – Sicherheitslücke in Microsofts Fernzugriff für Windows-Betriebssysteme auf der Spur, als es auf eine wesentlich gefährlichere Schwachstelle stieß: Path-Traversal-Attacks.

Zugriff auf das gesamte System möglich

Den Sicherheitsforschern gelang es, die Anwendung eines Ziel-Servers auszutricksen und sich Zugriff auf das gesamte System zu verschaffen. Sie schickten eine Datei an ein beliebiges Programm, deren Name nicht verifiziert werden konnte. Statt die Datei abzulehnen, weil sie nicht in den Standard-Ordner gespeichert werden kann, gewährte das System den Angreifern nun, ihre Datei über den Explorer in einem Ordner ihrer Wahl zu speichern. So können die Cyber-Kriminellen sämtliche Ordner durchsuchen und äußerst sensible Dateien lesen oder sogar extrahieren, darunter: Informationen über Programme, Datenbanken, Passwörter, oder den Quell-Code einer Anwendung. Am schwersten aber wiegt, dass die Akteure in die Lage versetzt werden, Befehle auf dem Web-Server auszuführen, die im schlimmsten Fall den gesamten Server kompromittieren.

Schwachstelle bereits auf der Black-Hat-Conference 2019 vorgestellt

Die ursprüngliche Sicherheitslücke im RDP stellte Check Point bereits im August 2019 auf der Black-Hat-Conference vor. Microsoft veröffentlichte umgehend einen Patch (CVE-2019-0887). Jedoch fanden die Sicherheitsforscher bereits im Oktober 2019 heraus, dass der Patch selbst einige Lücken aufwies, die es ermöglichten, den installierten Patch zu umgehen und die alte Schwachstelle wieder zu öffnen. Das Ergebnis der Untersuchung war, dass Microsoft zum Schließen dieses Einfallstors die API-Funktion ‚PatchCchCanonicalize‘ nutzt, welche den Sicherheitsforschern zufolge also nicht fehlerfrei sein konnte. Im Februar 2020 schloß Micrsoft, nach dem Hinweis von Check Point, die Lücke im Fernzugriff erneut mit einem Patch (CVE 2020-0655). Damit ist zwar das RDP nun korrekt gesichert, jedoch natürlich nicht all die anderen Programme, die mit der API-Funktion ‚PatchCchCanonicalize‘ ausgestattet sind.

Christine Schönig, Check Point Software, Foto: Check Point Software Technologies

Christine Schönig, Regional Director Security Engineering CER, Office of the CTO bei Check Point Software Technologies, erklärt: „Unsere Entdeckung sollte in zwei Teilen betrachtet werden. Der erste Teil besteht daraus, dass IT-Abteilungen großer Unternehmen, die Windows verwenden, dringend Microsofts ‚Februar-Patch (CVE 2020-0655)‘ installieren müssen. Es gilt sicherzustellen, dass deren RDP-Client vor dem Angriff geschützt ist, den wir auf der BlackHat USA 2019 vorgestellt haben.

Der zweite Teil richtet sich an Software-Entwickler und Sicherheitsforscher weltweit: die Schwachstelle selbst ist in der offiziellen API noch nicht behoben. Daher sind alle Software-Programme, die nach Microsofts ‚Best Practices‘ geschrieben werden, weiterhin für einen Path-Traversal-Angriff anfällig. Software-Entwickler müssen sich dieser Bedrohung bewusst sein und dafür sorgen, dass ihre eigenen Software-Programme manuell gepatcht werden.“

Weitere Informationen zum Thema:

Check Point Research
Reverse RDP – The Path Not Taken

datensicherheit.de, 06.05.2020
Tenable: Diese Schwachstellen bedrohen mobiles Arbeiten derzeit besonders stark

datensicherheit.de, 10.04.2020
SANS Institute: Anstieg bei Angriffen auf das Remote Desktop Protocol

[datensicherheit.de, 06.05.2020] Die weltweite Reaktion auf COVID-19 hat die Angriffsfläche in Unternehmen erweitert, da viele Mitarbeiter derzeit von zuhause arbeiten. Damit der Fernzugriff für alle Kollegen geschützt ist, sollten diese kritischen Sicherheitslücken unbedingt identifiziert, priorisiert und behoben werden.

Bedeutung des CVSS

Das Common Vulnerability Scoring System (CVSS) ist der branchenweit anerkannte Standard, der bewertet, wie schwerwiegend Schwachstellen sind. Was beim CVSS jedoch nicht berücksichtigt wird, ist der Kontext der Schwachstelle innerhalb des Netzwerks. Darüber hinaus ist der Wert statisch, da er nicht sofort aktualisiert wird, sobald ein Proof-of-Concept und/oder Exploits für die Schwachstelle entwickelt werden, sondern erst ca. einen Monat später. Auch wenn Unternehmen ihre Schwachstellen priorisieren und sich auf die schwersten Fälle konzentrieren, können weniger kritische Angriffspunkte immer noch genügend Sicherheitsprobleme erzeugen.

Bild: Tenable

Jens Freitag, Security Specialist bei Tenable

Damit Unternehmen sich zunächst auf diejenigen Schwachstellen konzentrieren können, die am ehesten ausgenutzt werden und ein reales, nicht nur theoretisches Risiko darstellen, entwickelte Tenable Predictive Prioritization. Mit Hilfe eines Machine-Learning-Algorithmus werden Schwachstellen täglich überprüft und mit einem Vulnerability Priority Rating (VPR) Wert versehen. Dabei stützt sich der Algorithmus auf eine Vielzahl von Datenpunkten wie Threat Intelligence, Verfügbarkeit von Exploit-Kits und Frameworks und sogar Diskussionen über Schwachstellen in sozialen Medien und Blog-Beiträgen.

Die am häufigsten ausgenutzten Schwachstellen

Darum ist es wichtig, die aktuell tatsächlich aktiv ausgenutzten Schwachstellen aufzufinden und zu beheben, insbesondere wenn die Angriffsfläche des Unternehmens durch Fernzugriff vergrößert ist. Dies trifft auf die folgenden Schwachstellen zu, weshalb Sicherheitsteams unbedingt alle davon bewerten und beheben sollten, wenn diese im Netzwerk vorkommen.

SSL-VPN

Unternehmen nutzen SSL-VPN-Software, um sicheren Zugriff auf ihr Netzwerk zu ermöglichen. In diesen Anwendungen wurden mehrere Schwachstellen entdeckt, die Angreifer bereits ausgenutzt haben. Unternehmen, die eines der unten genannten SSL-VPNs verwenden, sollten sicherstellen, dass diese entsprechend gepatcht wurden.

Remote Desktop Services erlauben es, sich virtuell mit Maschinen innerhalb der Unternehmensumgebung so zu verbinden, als ob man physisch auf das System zugreifen würde. CVE-2019-0708 (auch BlueKeep genannt) ist eine „Remote Code Execution“ Schwachstelle im Remote Desktop Dienst, die bereits für viel Aufregung gesorgt hat, da sie möglicherweise die nächsten WannaCry-Angriffe ermöglicht. Bei dieser Schwachstelle können Schadprogramme in Remote-Desktop-Services aus der Ferne ausgeführt werden. Darum sollten Unternehmen diese Dienste routinemäßig auf versuchte Angriffe prüfen und exponierte RDP-Ziele identifizieren.

Folgende sind von besonderer Bedeutung:

* Tenable VPR-Bewertungen werden jede Nacht aktuell berechnet. Diese Ergebnisse wurden am 30. April ermittelt und spiegeln den damaligen VPR-Wert wider.

Die oben aufgeführten Schwachstellen betreffen das Remote-Arbeiten. Mehr Details über die genannten Schwachstellen, aber auch über Gefahren durch betrügerische E-Mails, Exploit-Kits und einige weitere Angriffspunkte liefert dieser Beitrag des Tenable-Blogs (auf Englisch).

Derzeit verändert sich die Arbeitsweise der Menschen grundlegend. Unternehmen müssen schnell begreifen, wie sich dadurch ihre Angriffsfläche verlagert und wie sie darauf am besten reagieren können. Wissen ist Macht, und zwar in Bezug auf das Verständnis, welche Risiken tatsächlich drohen und sich im Unternehmensnetzwerk verbergen. Darüber hinaus ist es auch entscheidend, genügend Einblick in das gesamte Netzwerk zu haben, um risikobasierte Entscheidungen zu treffen. Die Implementierung eines risikobasierten Schwachstellenmanagementprogramms kann Sicherheitsteams dabei helfen, mit diesen neuen Herausforderungen schneller und einfacher zurechtzukommen.

Weitere Informationen zum Thema:

datensicherheit.de, 14.04.202
Home-Office: Vergrößerung der Angriffsfläche verlangt nach automatisierter Cybersicherheit

datensicherheit.de, 10.04.2020
SANS Institute: Anstieg bei Angriffen auf das Remote Desktop Protocol

datensicherheit.de, 30.03.2020
VPN-Nutzung: Endgeräte-Hygiene im Home-Office empfohlen

datensicherheit.de, 30.03.2020
Unternehmensschutz: DevOps in IT-Sicherheitsmaßnahmen einbeziehen

[datensicherheit.de, 01.03.2020] Nach eigenen Angaben hat Palo Alto Networks und dessen Malware-Forschungsabteilung „Unit 42“ ein schädliches und potenziell gefährliches „Microsoft Word“-Dokument identifiziert, das demnach „als kennwortgeschütztes NortonLifelock-Dokument getarnt war“. Dieses sei in einer Phishing-Kampagne zur Bereitstellung des kommerziell erhältlichen Fernzugriffstools (Remote Access Tool, RAT) „NetSupport Manager“ verwendet worden. Der Einsatz eines fiktiven „NortonLifelock“-Dokuments, um Benutzer zur Aktivierung von Makros zu verleiten, mache diesen speziellen Angriff für die Sicherheitsexperten interessant.

RAT normalerweise für legitime Zwecke verwendet

Dieses RAT werde normalerweise für legitime Zwecke verwendet, um Administratoren den Fernzugriff auf Client-Rechner zu ermöglichen. Kriminelle hätten das RAT jedoch auf den Systemen ihrer Opfer installiert und sich so unbefugten Zugriff verschafft.
Die Verwendung von „NetSupport Manager“ bei Phishing-Kampagnen, um sich unbefugten Zugriff zu verschaffen, werde von Bedrohungsforschern mindestens schon seit 2018 beobachtet.

Aktivität Teil einer größeren Kampagne

Bei einer ersten Überprüfung der aktuellen Erkennung, die zuvor von der „Cortex XDR Engine“ markiert worden sei, hätten die IT-Sicherheitsexperten festgestellt, „dass die Kausalitätskette begann, als ein ,Microsoft Word‘-Dokument aus ,Microsoft Office Outlook‘ heraus geöffnet wurde“.
Obwohl den Forschern die eigentliche E-Mail nicht zur Verfügung stehe, hätten sie den Schluss ziehen können, „dass diese Aktivität Teil einer größeren Kampagne zu sein scheint“.

Cyber-Angreifer setzen Ausweichtechniken ein

Bei dieser Aktivität hätten die Cyber-Angreifer Ausweichtechniken eingesetzt, um sowohl die dynamische als auch die statische Analyse zu umgehen. Zur Installation der bösartigen Dateiaktivität komme das „PowerShell PowerSploit“-Framework zum Einsatz.
Durch zusätzliche Analysen habe das Forschungsteam verwandte Aktivitäten identifiziert, die bis Anfang November 2019 zurückreichten. Im ausführlichen Bericht zu dieser Bedrohung beschreibe „Unit 42“ die anomalen Aktivitäten, die durch die Verhaltenserkennungsfunktionen von „Cortex XDR“ beobachtet worden seien.

Weitere Informationen zum Thema:

paloalto NETWORKS, UNIT 42, 27.02.2020
Cortex XDR Detects New Phishing Campaign Installing NetSupport Manager RAT

datensicherheit.de, 07.08.2019
Palo Alto Networks: Sieben Merkmale wirksamer Cloud-Sicherheitslösungen

[datensicherheit.de, 08.03.2017] Wie die aktuellen Enthüllungen auf WikiLeaks einzuordnen sind, erörtert Tim Berghoff, Sicherheitsexperte bei G DATA, in seiner aktuellen Stellungnahme.

Bereits vor Jahren auf Problematik hingewiesen

„Die aktuellen WikiLeaks-Enthüllungen sind für uns keine Überraschung. Der Zugriff auf ,smarte‘ Geräte war nüchtern betrachtet ein logischer Schritt in dieser Entwicklung. Bereits vor mehr als vier Jahren haben wir auf diese Problematik hingewiesen“, betont Berghoff.
Alles, was für eine flächendeckende und umfassende Überwachung privater Räume durch staatliche Organe oder Kriminelle benötigt werde, lasse sich über Software realisieren.

Tiefe Eingriffe in die Privatsphäre

Die in den Geräten verwendeten Programme und Betriebssysteme böten „ausreichende Möglichkeiten für einen Fernzugriff und tiefe Eingriffe in die Privatsphäre der Nutzer“.
Das vielfach zitierte „Ich habe doch nichts zu verbergen“ werde durch die geheimdienstliche Nutzung der Möglichkeiten der Geräte zu einer „bitter-ironischen Realität“, kommentiert Berghoff.

Geheimdienste auf der Suche nach Sicherheitslücken in Soft- und Hardware

Äußerst problematisch sei in diesem Kontext, dass einige Geheimdienste die Angriffe auf hohe Firmenvertreter oder Unternehmen als eine Form der „aktiven Wirtschaftsförderung“ betrachteten.
Geheimdienste machten sich seit Jahren aktiv auf die Suche nach Sicherheitslücken in Soft- und Hardware. Es sei zudem davon auszugehen, dass neben der Erforschung dieser Sicherheitslücken durch die Geheimdienste selbst auch ein aktiver Ankauf von sogenannten „High-Potential-Exploits“ im digitalen Schwarzmarkt erfolge.

„Ende der Fahnenstange“ noch nicht erreicht

Das „Ende der Fahnenstange“ sei jedoch noch nicht erreicht; die Ideensammlung, die in den Dokumenten (WikiLeaks) aufgetaucht sei, enthalte noch weitaus erschreckendere Aussichten – vom Auslesen von Zugangsdaten bis hin zum Mitschneiden von WLAN-Passwörtern.
Unabhängig von den aktuellen WikiLeaks-Enthüllungen könnten alle ans Internet angebundenen Geräte Angriffspunkte bieten, die von Geheimdiensten oder Cyber-Kriminellen ausgenutzt werden könnten. Kritisch sei hierbei zu beobachten, so Berghoff, dass „Security by Design“ von einigen Herstellern allzu oft als eine Art „magischer Feenstaub“ betrachtet werde, der am Ende der Produktentwicklung auf das Produkt aufgebracht werde.

Weitere Informationen zum Thema:

G DATA Security Blog, 03.03.2017
Datenverlust bei Hersteller von Spielzeug mit Cloudanbiendung

G DATA Security Blog, 15.02.2017
Amazon Echo – Faszination und Risiken des sprachgesteuerten Lausprechers

datensicherheit.de, 09.12.2010
WikiLeaks im Jahre 1931