Sysbus
ArtikelSecurity

IT-Sicherheit im ewigen Wettlauf mit der dunklen Seite der Macht

gg

Wenn das RDP nicht ordnungsgemäß konfiguriert und gesichert ist, kann es als Gateway innerhalb des Unternehmens fungieren und den Eindringlingen den Zugriff auf sensible interne Ressourcen ermöglichen. Brute Forcing von Passwörtern ist dabei eine Möglichkeit, um Informationen wie Log-In-Daten zu erhalten oder sogar mehrere verteilte Anfragen an einen Server zu senden, um nach gültigen Zugangsdaten zu suchen. Es wird auch versucht, ungepatchte Schwachstellen in RDP-Diensten auszunutzen, um Code aus der Ferne auszuführen und die Kontrolle über diese Gateways zu erlangen. Einer der jüngsten Angriffsvektoren, die von Bedrohungsakteuren zur Gefährdung von Unternehmen verwendet werden, ist beispielsweise eine wurmfähige Sicherheitslücke im Microsoft RDP-Dienst, die es Angreifern ermöglicht, die Fernsteuerung gefährdeter Systeme zu übernehmen (BlueKeep – CVE-2019-0708).

Diese Art von Angriff ist branchenunabhängig – das Unternehmen muss lediglich einen öffentlich zugänglichen Server betreiben. Im Erfolgsfall können sich Angreifer lateral über die Infrastruktur bewegen und andere Server oder Endpunkte kompromittieren. Damit erreichen sie Persistenz, können auf hochvertrauliche Daten zuzugreifen und diese exfiltrieren oder Malware einsetzen, die das Unternehmen lähmt oder Spuren verwischt.

Bedrohungsakteure bevorzugen auch Angriffe, die auf Webserver über SQL- oder Befehlsinjektion abzielen. Sie können Funktionen zur Ausführung von Code auf der Maschine aktivieren und diese als Gateway oder Drehpunkt für Querbewegungen innerhalb des Unternehmens verwenden. Ebenso SMB-Exploits – sie sind für Cyberkriminelle zu einer häufigen Angriffstaktik geworden, da SMB-Server oft auf Windows-Domain-basierten Netzwerk-Architekturen liegen, so dass alle Mitarbeiter Dokumente aus diesen Netzwerkfreigaben kopieren können. Durch die Gefährdung dieser kleinen und mittlelgroßen Server durch Exploits wie EternalBlue oder DoublePulsar können Angreifer sie als Einstiegspunkte nutzen.

Die Kompromittierung von Active Directory ist für Cyberkriminelle ebenso interessant: Bitdefender-Untersuchungen haben ergeben, dass Angreifer den AD-Server eines Unternehmens in weniger als zwei Stunden erfolgreich infiltrieren können. Im besagten Fall gelang es ihnen mithilfe eines kompromittierenden E-Mail-Anhangs, der vom Mitarbeiter eines Finanzinstituts geöffnet wurde, ausgewählte Maschinen in der Infrastruktur zu kompromittieren und sich heimlich innerhalb der Infrastruktur zu bewegen.

Das könnte dir auch gefallen

NCP Security Lösungen für Industrie 4.0 (IIoT)

gcg

Produktion sichern: ein Leitfaden für OT-Security

gg

Ein Blick in die Glaskugel: Trends rund um das Thema WLAN-Netzwerke

gcg