Wie riskant sind unsichere Protokolle in Unternehmensnetzwerken?

Autor/Redakteur: Mike Campfield, Head of EMEA Operations bei Extrahop/gg

Allein in diesem Jahr gab es einige der bisher größten und schädlichsten Ransomware-Angriffe. Innerhalb von nur fünf Tagen gab es im Mai zwei große Cyberangriffe, die Regierungen und privatwirtschaftliche Organisationen auf der ganzen Welt erschütterten. Der erste Angriff auf Colonial Pipeline führte zu einer einwöchigen Unterbrechung einer wichtigen Benzinlieferleitung und ließ die Benzinpreise in den USA auf den höchsten Stand seit 2014 steigen. Der zweite Angriff auf das irische Gesundheitssystem führte dazu, dass Tausende von Terminen, Krebsbehandlungen und Operationen abgesagt oder verschoben wurden und Patientendaten online weitergegeben wurden.

Bild: Extrahop

Kürzlich wurde das IT-Unternehmen Kaseya Ziel des “größten Ransomware-Angriffs aller Zeiten”, bei dem die Cyberkriminellen über 70 Millionen US-Dollar für die Wiederherstellung der Systeme und die Freigabe der Daten forderten. In diesem Fall hatten es die Angreifer auf ein gut etabliertes, aber wenig bekanntes Softwareunternehmen abgesehen, wodurch sie Zugang zu Hunderten von anderen Umgebungen erhielten.

Da Umfang, Schwere und Häufigkeit von Cyberangriffen zunehmen, suchen Unternehmen nach neuen Möglichkeiten, ihre Cyberabwehr zu verstärken. Einer der einfachsten Ansatzpunkte ist die Beseitigung unsicherer Protokolle in der Umgebung. Dennoch sind unsichere Protokolle, einschließlich derer, die mit einigen der kostspieligsten Cyberangriffe der Geschichte in Verbindung gebracht werden, nach wie vor erstaunlich weit verbreitet. 

Alte, riskante Protokolle machen Unternehmen verwundbar

Im Jahr 2017 wurde EternalBlue, die Zero-Day-Schwachstelle eines als Server Message Block Version 1 (SMBv1) bekannten Protokolls, verwendet, um innerhalb von sechs Wochen zwei verheerende Ransomware-Angriffe zu verüben – WannaCry und NotPetya. Die WannaCry- und NotPetya-Angriffe infizierten Millionen von Computern in über 150 Ländern und legten Gesundheitssysteme, kritische Infrastrukturen und den weltweiten Versand lahm. Allein der WannaCry-Angriff kostete 92 Millionen Pfund in Großbritannien und 4 Milliarden Pfund weltweit.

Doch vier Jahre nach der ersten Veröffentlichung von EternalBlue haben neue Untersuchungen ergeben, dass in 67 Prozent der Unternehmensumgebungen immer noch mindestens zehn Geräte mit SMBv1 laufen. Zehn Geräte mögen zwar als relativ geringe Zahl erscheinen, doch die durch Eternal(x)-Exploits ermöglichte Remotecode-Ausführung macht jedes Gerät mit SMBv1 zu einem einfachen Dreh- und Angelpunkt, von dem aus ein groß angelegter Angriff gestartet werden kann. Diese zehn Geräte mögen zwar nur einen winzigen Bruchteil der Ressourcen in einer Umgebung ausmachen, aber die Verteidigung ist eine Null-Fehler-Mission. SMBv1 muss nicht auf jedem Gerät in der Umgebung installiert sein, um für einen katastrophalen Angriff genutzt zu werden. Es muss nur auf einem Gerät installiert sein. Das Protokoll, das hinter den WannaCry- und NotPetya-Angriffen steckt, ist nicht das einzige bekannte, risikoreiche Protokoll, das noch in IT-Umgebungen vorhanden ist.

Siebzig Prozent der Umgebungen haben immer noch mindestens zehn Geräte, auf denen das Link-Local Multicast Name Resolution (LLMNR)-Protokoll läuft, das seit 2007 für Spoofing-Angriffe verwendet wird. Mit LLMNR kann ein Angreifer das Protokoll nutzen, um ein Opfer zur Preisgabe von Benutzerdaten zu verleiten, indem er LLMNR einsetzt, um Zugriff auf die Hashes der Benutzerdaten zu erhalten. Diese Benutzeranmeldedaten können dann geknackt werden, um die tatsächlichen Anmeldedaten preiszugeben, insbesondere wenn ältere MS-Passworttechniken wie LANMAN nicht deaktiviert sind. Anmeldedaten können zu lateralen Bewegungen führen und Cyberkriminellen die Möglichkeit geben, innerhalb eines Netzwerks dorthin zu gelangen, wo sie wollen.

Noch schockierender ist die Tatsache, dass in 34 Prozent der Umgebungen mindestens zehn Clients mit dem NTLM-Protokoll (New Technology LAN Manager) arbeiten, einer einfachen Authentifizierungsmethode, die leicht kompromittiert werden kann, um innerhalb weniger Stunden Anmeldedaten zu stehlen.

Im Jahr 2012 wurde nachgewiesen, dass jede mögliche Permutation des Acht-Byte-Hashes von NTLM in weniger als sechs Stunden geknackt werden kann. Im Jahr 2019 hat ein Open-Source-Passwortwiederherstellungstool namens HashCat gezeigt, dass es jeden Acht-Byte-Hash in weniger als zweieinhalb Stunden knacken kann.

Ein geschickter Angreifer kann NTLM-Hashes, die Passwörtern entsprechen, leicht abfangen oder NTLMv1-Passwörter offline knacken. Ein erfolgreicher Angriff auf die NTLMv1-Authentifizierung kann einen Angreifer in die Lage versetzen, Machine-in-the-Middle-Angriffe (MITM) zu starten oder die vollständige Kontrolle über eine Domäne zu übernehmen.