Administratoren – die Gefahr im Innern

Autor/Redakteur: Stefan Molls, RVP – Product SME / Risk & Security bei Tanium/gg

Nicht selten schaffen es Phishing-Mails an den Spamfiltern und Virenscannern vorbei. Ist ein Angreifer erst einmal ins Netzwerk vorgedrungen, indem er einen einzelnen Rechner unter Kontrolle gebracht hat, geht es meist erstaunlich einfach, kritische Systeme zu gefährden. Denn werden Pfade, die über großzügig vergebene oder irrtümlich verteilte Zugriffsrechte offenstehen, nicht abgeschnitten, drohen drastische Schäden für das betroffene Unternehmen. Weit verbreitete Angriffswege können jedoch mit ein paar kleinen Änderungen und einfachen Maßnahmen deutlich eingedämmt werden – vorausgesetzt, diese wurden zuvor auch implementiert.

Screenshot: Sysbus

Der Administrator als Einfallstor

Oftmals fällt es Unternehmen schwer, sicher einzuschätzen, wie viele Benutzer über Administratorrechte auf Laptops oder geschäftskritischen Systemen verfügen. Darüber hinaus können sie meist nicht erkennen, wer diese Benutzer sind, da die nötige Transparenz fehlt.

Diese Tatsache machen sich Cyberkriminelle gerne zunutze, um in Unternehmensnetzwerke einzudringen. Leider genügt es hierfür bereits, die Anmeldeinformationen eines Benutzers mit Administrationsrechten zu stehlen, um sich von Computer zu Computer zu hangeln und kreuz und quer durch das IT-Ökosystem zu bewegen. Um dieses Lateral Movement zu unterbinden, benötigen Unternehmen ein dediziertes und umsetzbares Echtzeit-Reporting über Benutzer, Endpunkte und Gruppen.

Ein zentraler Schritt, um solche Angriffe bereits im Keim zu ersticken, ist der Entzug lokaler Administratorrechte. Besonders die standardmäßig integrierten Administratorkonten, über die jeder Rechner verfügt, stellen ein großes Risiko dar. Nicht selten werden viele von diesen Rechnern mit denselben Login-Daten verwaltet, sodass theoretisch jeder im Unternehmen, der über lokale Administratorrechte verfügt, uneingeschränkt agieren und beispielsweise unerlaubte Programme installieren oder Systemkonfigurationen ändern könnte. Doch auch für unbefugte Dritte sind diese lokalen Administratorrechte eine einfache Möglichkeit, weitere Zugangsdaten zu entwenden, um sich sukzessive durch das Netzwerk zu bewegen, bis sie in den Besitz der wesentlich lukrativeren Domain-Administrator-Accounts oder anderer privilegierter Benutzerkonten kommen. Hier genügen den Hackern bisweilen schon zwei Stationen, um zu kritischen Assets zu gelangen. Umso wichtiger ist es, dass IT-Verantwortliche in der Lage sind, alle lokalen Administratorrechte aufzuspüren und sie einzelnen Nutzern gegebenenfalls zu entziehen.

Transparenz schaffen

Haben es Angreifer über einen kompromittierten Endpunkt geschafft, in das Netzwerk einzudringen, werden sie diesen nach Login-Daten für andere Anwendungen und Endpunkte durchforsten. Im Erfolgsfall sind sie anschließend in der Lage, sich heimlich von Gerät zu Gerät entlangzuhangeln. Das Ausmaß des Schadens hängt davon ab, inwieweit Unternehmen im Stande sind, dieses Lateral Movement einzuschränken. Hierzu müssen sie verstehen, wie diese Technik funktioniert.

Lateral Movement hängt vom Zugang zu den Berechtigungen für Nutzer, Gruppen und Endpunkte ab. Viele IT-Verantwortliche glauben zu wissen, wie viele Benutzer- und Gruppenberechtigungen eingerichtet wurden – doch die Realität ist eine andere. Nicht selten gewähren Standardberechtigungskonfigurationen versehentlich jedem Nutzer Zugriff auf ein Administratorkonto und somit auf alle Endpunkte der gesamten Organisation. Vollständige Transparenz über alle Konten und Zugriffsrechte ist daher die Grundlage für eine Risikoeinschätzung und nötige Einschnitte in der Zuweisung von Berechtigungen.

Oftmals ist das Lateral Movement ein langsamer, vorsichtiger und auffälliger Prozess, doch bisweilen handelt es sich auch um ein blitzschnelles Überwinden von Endpunkten, das mittels Malware automatisiert wird, welche administrative Fehler ausnutzt oder sich ungepatchte Sicherheitslücken zunutze macht. Wie bereits erwähnt, besteht eine Möglichkeit, sich vor Lateral Movement zu schützen, darin, die Zugriffsrechte einzuschränken. Allerdings gestaltet es sich zumeist schwierig, in Unternehmen mit Tausenden von Nutzern und Endpunkten und Dutzenden von Benutzergruppen den Überblick zu behalten, sodass es immens viel Zeit kostet, sich in mühsamer Handarbeit einen Überblick über die Zugriffsrechte zu verschaffen – ganz abgesehen von der Fehlerquote einer solchen Prozedur.

Unternehmen benötigen daher ein Tool, das die nötige Visibilität bietet, um Zugriffsrechte und die damit verbundenen Schwachstellen zu identifizieren. Darüber hinaus müssen die Beziehungen zwischen Nutzern, Gruppen und Endpunkten mit hoher Geschwindigkeit und in großem Umfang analysiert werden, um das Lateral-Movement-Potenzial zu bestimmen. Bestenfalls besteht außerdem die Möglichkeit, den administrativen Bereich und das Lateral-Movement-Risiko zu visualisieren und in einen Kontext zu stellen, um eine Priorisierung von Abhilfemaßnahmen zu vorzunehmen.