SolarWinds: NSA + Co. mahnen mit Schwachstellenbericht zum Patchen

Die Hackergruppen, die hinter den schweren Cyber-Attacken rund um Schwachstellen beim Softwareanbieter SolarWinds stehen, haben ihre Taktiken, Techniken und Verfahren ausgebaut und verfeinert. Sie nutzen nun etwa auch Sicherheitslücken in Microsofts Serversoftware Exchange, die zunächst mit anderen Angreifern in Verbindung gebracht wurden. Dies geht aus einem neuen Schwachstellenbericht hervor, den die drei US-Behörden FBI, NSA und CISA (Cybersecurity and Infrastructure Security Agency) zusammen mit dem britischen National Cyber Security Centre (NCSC) verfasst haben, das beim Geheimdienst GCHQ angesiedelt ist.
...

SolarWinds, VMware, Exchange-Server bedroht
Die Angreifer sind laut den westlichen Sicherheitsbehörden bestrebt, eine Vielzahl von Exploits zu nutzen, sobald sie veröffentlicht werden. Die Autoren verweisen dabei dezidiert auf elf Sicherheitswarnungen, die sich auf Schwachstellen von CVE-2018-13379 FortiGate über CVE-2019-19781 Citrix bis hin zu CVE-2021-21972 VMWare vSphere beziehen.
In jüngster Zeit hätten die Akteure auch gezielt nach Exchange-Servern gesucht, die für die mit der Hafnium-Gruppe in Verbindung gebrachte Lücke CVE-2021-26855 und damit verbundene weitere Schwachstellen anfällig sind, heißt es weiter. Auf solche Aktivitäten folge in der Regel der Einsatz weiterer Exploits und im Erfolgsfall der Einbau einer Webshell für den Serverzugriff aus der Ferne. Die Angriffe auf Mailserver seien darauf ausgerichtet, sich Passwörter und Administratorrechte und die Möglichkeit zu verschaffen, weitere Netzwerkinformationen und -zugriffe zu erhalten.
...

Rasch aktualisieren – Lücken schließen
Trotz der teils ausgefeilten Art der Attacken betonen die Verfasser, dass die Angreifer sich in Schach halten ließen, wenn Administratoren "grundlegende Cybersicherheitsprinzipien" befolgten. Dazu gehöre das schnelle Einspielen von Sicherheitsupdates, um zumindest bekannte Sicherheitslücken abzudichten. Der Leitfaden empfiehlt zudem, eine Multi-Faktor-Authentifizierung zu nutzen, um Passwortangriffen entgegenzuwirken.

https://www.heise.de/news/SolarWinds-NSA-Co-mahnen-mit-Schwachstellenber ...

Insbesondere mein zu letzt zitierter Absatz sowie der Titel der Überschrift sollten natürlich immer Anwendung finden.

Content-Key: 666552

Url: https://administrator.de/contentid/666552

Ausgedruckt am: 20.06.2021 um 02:06 Uhr

4 Kommentare
Mitglied: papa-luigi
Was da steht, ist ja alles OK.

Wie geht ihr mit MFA mit onPrem AD um - MS liefert dazu ja nix - wie sichert ihr eure Admins mit MFA ab?
Kauft ihr Dritthersteller - wenn ja was?

Gruß
Luigi
Mitglied: em-pie
Also da wir Citrix und den Netscaler haben, ist das nach außen schon mal Safe…
Der zweite Faktor ist in dem Fall ein Token, erzeugt auf einem Schlüsselanhänger

Intern gibt es ja ein paar Ansätze: SmartCard, YUBIKEY, …

Und natürlich ist auch bei der natürlichen Administratoren eine Trennung zwischen Arbeits- und Administrationsaccount zwingend vorzusehen.
Mitglied: papa-luigi
Das ist klar!
Aber wie sicherst du Powershell/ WinRM/ RDP intern mit MFA ab?
Mitglied: em-pie
Na RDP ist ja z.B. so lösbar:
https://docs.microsoft.com/de-de/windows-server/remote/remote-desktop-se ...

Powershell:
Wozu: willst du mit jedem automatischen script nachts um 3 Uhr eine PIN bestätigen?

Also nicht immer ist das alles lösbar, aber starke Passwörter und eine Trennung von Rechten hilft ja schon ungemein.
Heiß diskutierte Beiträge
Windows 10
Austritt Mitarbeiter - Windows- u. M365 Konto
gelöst NixVerstehenVor 1 TagFrageWindows 1011 Kommentare

Moin zusammen, ich habe hier im Kleinunternehmen tatsächlich zum ersten Mal die Situation, das eine Mitarbeiterin aus dem kaufmännischen Bereich ausscheiden wird. Die Kollegin ist ...

Netzwerke
Kassen freezen ohne ersichtlichen Grund
Ronic1Vor 17 StundenFrageNetzwerke12 Kommentare

Hallo Zusammen, ich schreibe heute zum ersten Mal in diesem Forum. Also weißt mich bitte auf etwaige Fehler meinerseits hin. Wie ich in anderen Beiträgen ...

Windows Server
Always-on-VPN mit einer Netzwerkkarte
bluelightVor 1 TagFrageWindows Server11 Kommentare

Hallo zusammen, ich bin tatsächlich einmal auf eure Hilfe angewiesen! Ich habe für unser Unternehmen ein Domänennetzwerk auf einem Rootserver von Netcup erstellt und weitestgehend ...

Microsoft
Wird die durch den DHCP zugewiesene IP-Adresse in der Ereignisanzeige gespeichert?
stephan.csVor 1 TagFrageMicrosoft6 Kommentare

Guten Morgen zusammen, leider bin ich mit meiner Recherche bis jetzt nicht weiter gekommen. Darum die Frage Wir haben folgende Situation: - Windows 10 Clients ...

Installation
Setup mit automatischen Klicks
akadawaVor 1 TagFrageInstallation9 Kommentare

Moin, ich habe eine Installation welche ich gerne über das Softwarecenter vom SCCM installieren lassen möchte. Leider lassen die Parameter der Setup.exe es nicht zu, ...

Windows Netzwerk
PRTG Probe erkennt Lancom Router nicht mehr
gelöst blackarchVor 1 TagFrageWindows Netzwerk6 Kommentare

Hallo zusammen, die o.g. Probe ist auf dem Server eines Standortes installiert und lief bis dato problemlos. Gestern fiel nun der Ping für den Router ...

Windows 10
PDF Datei wird falsch angezeigt
ben1300Vor 1 TagFrageWindows 107 Kommentare

Hallo zusammen, habe hier eine PDF Datei, welche auf einem Macbook (Big Sur) und einem Windows 10 Prof. x64 Client problemlos dargestellt wird. Nun kommt ...

TK-Netze & Geräte
Starface mit NGN verliert Gateway
FabezzVor 17 StundenFrageTK-Netze & Geräte9 Kommentare

Guten Morgen zusammen, ich hoffe dass ich das richtige Thema getroffen habe. In unserer Firma wurde beschlossen dass die in die Tage gekommene Openscape ausgetauscht ...