IT-Sicherheit
Lehren aus 2020
Fortsetzung des Artikels von Teil 1
Anstieg verketteter Angriffe
Bedrohungsakteure haben neue Wege gefunden, um mehrere Schwachstellen in einem einzigen Angriff auszunutzen, auch als „Daisy-Chaining“ bezeichnet. Am 9. Oktober hatten die US-Sicherheitsbehörde CISA und das FBI einen gemeinsamen Hinweis herausgegeben, dass ein ausländischer Bedrohungsakteur „mehrere ältere Schwachstellen“ in einer Exploit-Kette ausnutzt. Darunter fand sich auch CVE-2020-1472, eine kritische Schwachstelle für die Erhöhung von Berechtigungen in Windows Netlogon, auch als „Zerologon“ bezeichnet. Angreifer können mehrere ältere Schwachstellen mit Zerologon verketten, um ihre Berechtigungen zu erhöhen. Dabei verschaffen sie sich die Möglichkeit, das Kennwort für Domain-Controller im Netzwerk zurückzusetzen und so Zugriff darauf zu erhalten.
Neben Zerologon enthielt die Warnung auch die drei erwähnten SSL-VPN-Schwachstellen sowie mit CVE-2020-5902 eine kritische Directory-Traversal-Schwachstelle in der Traffic-Management-Benutzeroberfläche (TMUI) der Big-IP-Produktlinie von F5, die eine Vielzahl von software- und hardwarebasierten Lösungen für Zugriffskontrolle, Anwendungsverfügbarkeit und Sicherheit umfasst.
Dieser Bedrohungsakteur nutzte zudem drei weitere ältere Schwachstellen aus: CVE-2020-1631, eine Schwachstelle für die Einbindung lokaler Dateien im HTTP/HTTPS-Dienst von Junipers Junos OS; CVE-2020-2021, eine Schwachstelle zur Umgehung der Authentifizierung in der SAML-Authentifizierung (Security Assertion Markup Language) im PAN-OS von Palo Alto Networks; und CVE-2020-15505, eine RCE-Schwachstelle (Remote Code Execution) im Core und Connector von MobileIron.
Dies zeigt, wie wichtig es für Sicherheitsteams ist, das kontextbezogene Risiko jeder Schwachstelle zu berücksichtigen, einschließlich ihres Potenzials, einer vollständigen Systemkompromittierung zu dienen. Der Schweregrad einer bestimmten Schwachstelle ist kein unabhängiges Maß: IT-Teams sollten ihn auf der Grundlage des Kontexts der jeweiligen Umgebung interpretieren. Es besteht das Risiko, dass Exploit-Ketten immer häufiger auftreten. Sicherheitsteams müssen auch darauf achten, lokale Schwachstellen zu priorisieren, die man vielleicht übersehen hat. Diese könnte in Kombination mit einer Schwachstelle für die Codeausführung einem Angreifer das Eindringen in die Umgebung ermöglichen. Es gibt eine Reihe von Beispielen für solche verketteten Angriffe. Typischerweise umfassen sie eine Abfolge von anfänglichen Kompromittierungen und Schwachstellen zur Privilegienerweiterung. Sie können aber auch eine einfachere Kombination von Schwachstellen mit Informationslecks ausnutzen. Verteidiger tappen oft im Dunkeln, was diese potenziellen Angriffsvektoren angeht. Eine alternative Priorisierungsansicht auf Basis von Bedrohungsberichten und Aktivitäten der Gegner ist daher dringend notwendig. 2019 waren in einem FBI Flash Briefing ein Dutzend Schwachstellen aufgelistet, darunter einige mit niedrigem und mittlerem Schweregrad. Dies waren hauptsächlich Schwachstellen zur Offenlegung von Informationen, die ein chinesischer APT-Akteur (Advanced Persistent Threat) mit der Bezeichnung „APT10“ nutzte. Ziel waren Regierungsbehörden und Cloud-Anbieter in den USA und auch weltweit.
Ein vollständiger Einbruch in ein System erfolgt selten durch eine einzelne Schwachstelle. Die Verkettung von Schwachstellen ist nicht nur sehr verbreitet, sondern auch eine wichtige Taktik für Bedrohungsakteure. Deshalb nimmt die Bedeutung von Frameworks wie Mitre Att&ck für die Bewertung des mit Schwachstellen verbundenen Risikos zu. Mitre Att&ck ist zum De-facto-Framework für Verteidiger geworden. Aufgrund des Mangels an detaillierten technischen und ausnutzungsbezogenen Analysen für die meisten Schwachstellen ist dieses Mapping für die Verteidiger jedoch nicht allgemein nutzbar.
- Lehren aus 2020
- Anstieg verketteter Angriffe
- Ransomware dominiert die Schlagzeilen
Lesen Sie mehr zum Thema
