Werden ungepatchte Schwachstellen zum Administratoren-Alptraum?
ProxyShell, PrintNightmare oder PetitPotam gönnen Systemadministratoren keine Pause. Dabei ist es oft nicht möglich, Schwachstellen sofort zu patchen. Yves Kraft erklärt, warum deshalb Logging und Monitoring in der Cyberabwehr immer wichtiger werden.
Schwachstellen mit abenteuerlich klingenden Bezeichnungen wie Hafnium, ProxyShell, PrintNightmare, HiveNightmare und PetitPotam hielten Systemadministratoren in den letzten Wochen und Monaten auf Trab – und das ausgerechnet während der Ferienzeit im Sommer.
Dies gibt Anlass zur Frage, ob Administratoren überhaupt Ferien machen dürfen? Denn die zeitnahe Installation der Patches erwies sich bei der ein oder anderen Schwachstelle als entscheidend wichtig. Zudem steht die nächste Welle an Ransomware-Attacken und Phishing-Kampagnen vermutlich schon kurz bevor. Heutzutage bleibt kaum Zeit durchzuatmen.
1 ProxyShell
Gleich drei CVE-Nummern gab es für die Probleme, die unter dem Namen «ProxyShell» in die Geschichte eingingen: CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207. Hier lautet die Devise: Möglichst schnell patchen! Die entsprechende Sicherheits-Updates von Microsoft für den Exchange Server stehen seit April und Mai zur Verfügung.
2 PrintNightmare
Anfang Juli veröffentlichte Microsoft Informationen zu einer Schwachstelle namens PrintNightmare. Aufgrund einer Sicherheitslücke im Printer-Spooler-Service von Windows (Client und Server) konnten authentifizierte Angreifer Computer attackieren und Schadcode mit Systemrechten ausführen.
3 PetitPotam
Ein jüngst bekannt gewordener Angriff trägt die fantasievolle Bezeichnung PetitPotam. Der PetitPotam-Angriff erlaubt die Übernahme einer Windows-Domäne durch eine Schwachstelle in den Microsoft Active Directory Certificate Services (AD-CS) unter Verwendung der NTLM-Authentifizierung. Dabei ist es einem unauthentisierten Angreifer möglich, sich höchste Privilegien im Active Directory zu verschaffen.
4 HiveNightmare
Ebenso existiert mit HiveNightmare in Windows 10 ab der Version 1809 und in Windows 11 eine Schwachstelle, mit der es möglich ist, die Security Accounts Manager-Datenbank (SAM) eines verwundbaren Systems auszulesen.
Oft ist es nicht möglich, derartige Schwachstellen sofort zu patchen. Entweder weil es sich dabei um sogenannte Zero-Day-Schwachstellen handelt, das heisst, der Hersteller steht unter Zugzwang und muss möglichst schnell einen Patch für die bekanntgewordene Lücke bereitstellen, oder die Patch-Zyklen sind so gewählt, dass die Schwachstellen schon lange aktiv von Cyberkriminellen ausgenutzt werden, bevor die Lücke durch einen Patch geschlossen werden kann.
Wie die Beispiele oben zeigen, spielt die Erkennung von potenziellen Angriffen deshalb eine entscheidende Rolle. Stichworte wie Logging und Monitoring sind den Verantwortlichen dennoch oft fremd. Das MITRE ATT&CK Framework hilft Ihnen dabei, gängige Attacken der Cyberkriminellen zu kategorisieren, deren Schweregrad besser einzuschätzen und allfällige präventive Massnahmen umzusetzen.
Gerne empfehle ich Ihnen dazu auch meinen früheren Blogbeitrag: So hilft das MITRE ATT&CK Framework Unternehmen sicherer zu machen
Links & Quellen
- Microsoft Support: Security update for Microsoft Exchange Server 2019, 2016, and 2013 (April 2021)
- Microsoft Support: Security update for Microsoft Exchange Server 2019, 2016, and 2013 (Mai 2021)
- PrintNightmare Advisory von Microsoft: Windows Print Spooler Remote Code Execution Vulnerability
- Heise: Windows-Netze verwundbar für Relay-Angriff PetitPotam