{"id":19485,"date":"2021-08-27T11:58:00","date_gmt":"2021-08-27T09:58:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=19485"},"modified":"2021-08-24T10:52:52","modified_gmt":"2021-08-24T08:52:52","slug":"wie-riskant-sind-unsichere-protokolle-in-unternehmensnetzwerken","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=19485","title":{"rendered":"Wie riskant sind unsichere Protokolle in Unternehmensnetzwerken?"},"content":{"rendered":"\n

Autor\/Redakteur: Mike Campfield, Head of EMEA Operations bei Extrahop<\/a>\/gg<\/p>\n\n\n\n

Allein in diesem Jahr gab es einige der bisher gr\u00f6\u00dften und sch\u00e4dlichsten Ransomware-Angriffe. Innerhalb von nur f\u00fcnf Tagen gab es im Mai zwei gro\u00dfe Cyberangriffe, die Regierungen und privatwirtschaftliche Organisationen auf der ganzen Welt ersch\u00fctterten. Der erste Angriff auf Colonial Pipeline f\u00fchrte zu einer einw\u00f6chigen Unterbrechung einer wichtigen Benzinlieferleitung und lie\u00df die Benzinpreise in den USA auf den h\u00f6chsten Stand seit 2014 steigen. Der zweite Angriff auf das irische Gesundheitssystem f\u00fchrte dazu, dass Tausende von Terminen, Krebsbehandlungen und Operationen abgesagt oder verschoben wurden und Patientendaten online weitergegeben wurden.<\/p>\n\n\n\n

\"\"<\/a>
Bild: Extrahop<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

K\u00fcrzlich wurde das IT-Unternehmen Kaseya Ziel des „gr\u00f6\u00dften Ransomware-Angriffs aller Zeiten“, bei dem die Cyberkriminellen \u00fcber 70 Millionen US-Dollar f\u00fcr die Wiederherstellung der Systeme und die Freigabe der Daten forderten. In diesem Fall hatten es die Angreifer auf ein gut etabliertes, aber wenig bekanntes Softwareunternehmen abgesehen, wodurch sie Zugang zu Hunderten von anderen Umgebungen erhielten.<\/p>\n\n\n\n

Da Umfang, Schwere und H\u00e4ufigkeit von Cyberangriffen zunehmen, suchen Unternehmen nach neuen M\u00f6glichkeiten, ihre Cyberabwehr zu verst\u00e4rken. Einer der einfachsten Ansatzpunkte ist die Beseitigung unsicherer Protokolle in der Umgebung. Dennoch sind unsichere Protokolle, einschlie\u00dflich derer, die mit einigen der kostspieligsten Cyberangriffe der Geschichte in Verbindung gebracht werden, nach wie vor erstaunlich weit verbreitet. <\/p>\n\n\n\n

Alte, riskante Protokolle machen Unternehmen verwundbar<\/strong><\/p>\n\n\n\n

Im Jahr 2017 wurde EternalBlue, die Zero-Day-Schwachstelle eines als Server Message Block Version 1 (SMBv1) bekannten Protokolls, verwendet, um innerhalb von sechs Wochen zwei verheerende Ransomware-Angriffe zu ver\u00fcben – WannaCry und NotPetya. Die WannaCry- und NotPetya-Angriffe infizierten Millionen von Computern in \u00fcber 150 L\u00e4ndern und legten Gesundheitssysteme, kritische Infrastrukturen und den weltweiten Versand lahm. Allein der WannaCry-Angriff kostete 92 Millionen Pfund in Gro\u00dfbritannien und 4 Milliarden Pfund weltweit.<\/p>\n\n\n\n

Doch vier Jahre nach der ersten Ver\u00f6ffentlichung von EternalBlue haben neue Untersuchungen ergeben, dass in 67 Prozent der Unternehmensumgebungen immer noch mindestens zehn Ger\u00e4te mit SMBv1 laufen. Zehn Ger\u00e4te m\u00f6gen zwar als relativ geringe Zahl erscheinen, doch die durch Eternal(x)-Exploits erm\u00f6glichte Remotecode-Ausf\u00fchrung macht jedes Ger\u00e4t mit SMBv1 zu einem einfachen Dreh- und Angelpunkt, von dem aus ein gro\u00df angelegter Angriff gestartet werden kann. Diese zehn Ger\u00e4te m\u00f6gen zwar nur einen winzigen Bruchteil der Ressourcen in einer Umgebung ausmachen, aber die Verteidigung ist eine Null-Fehler-Mission. SMBv1 muss nicht auf jedem Ger\u00e4t in der Umgebung installiert sein, um f\u00fcr einen katastrophalen Angriff genutzt zu werden. Es muss nur auf einem Ger\u00e4t installiert sein. Das Protokoll, das hinter den WannaCry- und NotPetya-Angriffen steckt, ist nicht das einzige bekannte, risikoreiche Protokoll, das noch in IT-Umgebungen vorhanden ist.<\/p>\n\n\n\n

Siebzig Prozent der Umgebungen haben immer noch mindestens zehn Ger\u00e4te, auf denen das Link-Local Multicast Name Resolution (LLMNR)-Protokoll l\u00e4uft, das seit 2007 f\u00fcr Spoofing-Angriffe verwendet wird. Mit LLMNR kann ein Angreifer das Protokoll nutzen, um ein Opfer zur Preisgabe von Benutzerdaten zu verleiten, indem er LLMNR einsetzt, um Zugriff auf die Hashes der Benutzerdaten zu erhalten. Diese Benutzeranmeldedaten k\u00f6nnen dann geknackt werden, um die tats\u00e4chlichen Anmeldedaten preiszugeben, insbesondere wenn \u00e4ltere MS-Passworttechniken wie LANMAN nicht deaktiviert sind. Anmeldedaten k\u00f6nnen zu lateralen Bewegungen f\u00fchren und Cyberkriminellen die M\u00f6glichkeit geben, innerhalb eines Netzwerks dorthin zu gelangen, wo sie wollen.<\/p>\n\n\n\n

Noch schockierender ist die Tatsache, dass in 34 Prozent der Umgebungen mindestens zehn Clients mit dem NTLM-Protokoll (New Technology LAN Manager) arbeiten, einer einfachen Authentifizierungsmethode, die leicht kompromittiert werden kann, um innerhalb weniger Stunden Anmeldedaten zu stehlen.<\/p>\n\n\n\n

Im Jahr 2012 wurde nachgewiesen, dass jede m\u00f6gliche Permutation des Acht-Byte-Hashes von NTLM in weniger als sechs Stunden geknackt werden kann. Im Jahr 2019 hat ein Open-Source-Passwortwiederherstellungstool namens HashCat gezeigt, dass es jeden Acht-Byte-Hash in weniger als zweieinhalb Stunden knacken kann.<\/p>\n\n\n\n

Ein geschickter Angreifer kann NTLM-Hashes, die Passw\u00f6rtern entsprechen, leicht abfangen oder NTLMv1-Passw\u00f6rter offline knacken. Ein erfolgreicher Angriff auf die NTLMv1-Authentifizierung kann einen Angreifer in die Lage versetzen, Machine-in-the-Middle-Angriffe (MITM) zu starten oder die vollst\u00e4ndige Kontrolle \u00fcber eine Dom\u00e4ne zu \u00fcbernehmen.<\/p>\n\n\n\n\n\n\n\n

Es ist nicht nur die Verwendung unsicherer Protokolle, die problematisch ist. Es geht auch darum, wie g\u00e4ngige Protokolle in Unternehmensumgebungen regelm\u00e4\u00dfig verwendet – und missbraucht – werden.<\/p>\n\n\n\n

Nehmen wir zum Beispiel das Hypertext Transfer Protocol (HTTP). HTTP ist die Lingua franca des Internets. HTTP ist zwar nicht von Natur aus problematisch, aber seine Verwendung zur \u00dcbertragung sensibler Daten birgt ein hohes Risiko. Wenn Daten \u00fcber HTTP \u00fcbertragen werden, bleiben die Anmeldeinformationen offen, was sie zu einem perfekten Ziel f\u00fcr Hacker macht, um vertrauliche Informationen abzufangen und zu stehlen. Um dem entgegenzuwirken, wurde eine sicherere Version namens HTTPS geschaffen, die es Unternehmen erm\u00f6glicht, Informationen sicher \u00fcber das Internet zu verarbeiten, indem die Kommunikation zwischen Clients und Servern verschl\u00fcsselt wird. Google hat wichtige Schritte unternommen, um das unsichere HTTP-Protokoll auslaufen zu lassen, indem es alle Websites, die nicht \u00fcber HTTPS verf\u00fcgen, als unsicher kennzeichnet. Untersuchungen haben jedoch ergeben, dass 81 von 100 Unternehmen immer noch unsichere HTTP-Zugangsdaten verwenden und damit sich selbst und ihre Mitarbeiter zu leichten Zielscheiben f\u00fcr Angriffe machen.<\/p>\n\n\n\n

Unsichere Protokolle aussortieren<\/strong><\/p>\n\n\n\n

Die Zunahme verteilter Belegschaften und hybrider Umgebungen mit sowohl lokalen als auch Cloud-Komponenten hat die Zahl der M\u00f6glichkeiten, unsichere Protokolle in Netzwerke einzuschleusen, vervielfacht und macht es zudem schwierig, eine genaue Bestandsaufnahme durchzuf\u00fchren.<\/p>\n\n\n\n

Manuelle Audits liefern nur eine Momentaufnahme des Netzwerks zu diesem Zeitpunkt, so dass die \u00dcberwachung des Netzwerkverkehrs zur Identifizierung von Protokollen sowie zur Abwehr von Bedrohungen und Reaktionen unerl\u00e4sslich ist. Durch die \u00dcberwachung und Analyse des Netzwerkverkehrs mit Netzwerkerkennungs- und -reaktionssoftware k\u00f6nnen Unternehmen jedes in einem Netzwerk verwendete Protokoll erkennen und alle Protokolle identifizieren, die f\u00fcr b\u00f6sartige Zwecke verwendet werden k\u00f6nnen. Au\u00dferdem helfen Netzwerkdaten, die mit Hilfe von maschinellem Lernen in der Cloud analysiert werden, dabei, Netzwerke gegen die Kompromittierung durch Dritte zu sch\u00fctzen, indem Profile dar\u00fcber erstellt werden, was als normaler Zugriff gilt. So k\u00f6nnen IT-Teams Listen erstellen und erkennen, auf welche Bedrohungen und Anomalien sie in Zukunft achten m\u00fcssen.<\/p>\n\n\n\n

Zwar werden die Cyber-Bedrohungen immer ausgefeilter, doch eine Reihe von Angriffen wird immer noch \u00fcber jahrealte Exploits und Methoden ausgef\u00fchrt. Unternehmen m\u00fcssen sich auf die Grundlagen der IT-Hygiene konzentrieren, um die Verwendung unsicherer Protokolle zu unterbinden. Indem sie sicherstellen, dass ihre Fenster und T\u00fcren verschlossen sind, k\u00f6nnen ihre Cybersicherheitsteams Zeit damit verbringen, proaktiv statt reaktiv mit ihrer Verteidigungsstrategie umzugehen und Systeme zu nutzen, die es ihnen erm\u00f6glichen, die Vergangenheit, Gegenwart und Zukunft zu \u00fcberwachen, um ihr Unternehmen sicher zu halten.<\/p>\n","protected":false},"excerpt":{"rendered":"

Allein in diesem Jahr gab es einige der bisher gr\u00f6\u00dften und sch\u00e4dlichsten Ransomware-Angriffe. Innerhalb von nur f\u00fcnf Tagen gab es im Mai zwei gro\u00dfe Cyberangriffe, die Regierungen und privatwirtschaftliche Organisationen auf der ganzen Welt ersch\u00fctterten. Der erste Angriff auf Colonial Pipeline f\u00fchrte zu einer einw\u00f6chigen Unterbrechung einer wichtigen Benzinlieferleitung und lie\u00df die Benzinpreise in den USA auf den h\u00f6chsten Stand seit 2014 steigen. Der zweite Angriff auf das irische Gesundheitssystem f\u00fchrte dazu, dass Tausende von Terminen, Krebsbehandlungen und Operationen abgesagt oder verschoben wurden und Patientendaten online weitergegeben wurden.<\/p>\n","protected":false},"author":1,"featured_media":19514,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[11982,4419,13231,15176,13230,3437],"class_list":["post-19485","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-extrahop","tag-http","tag-lanman","tag-llmnr","tag-ntlm","tag-smb"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/19485","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=19485"}],"version-history":[{"count":2,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/19485\/revisions"}],"predecessor-version":[{"id":19515,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/19485\/revisions\/19515"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/19514"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=19485"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=19485"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=19485"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}