em-pie
Goto Top

SolarWinds: NSA + Co. mahnen mit Schwachstellenbericht zum Patchen

Die Hackergruppen, die hinter den schweren Cyber-Attacken rund um Schwachstellen beim Softwareanbieter SolarWinds stehen, haben ihre Taktiken, Techniken und Verfahren ausgebaut und verfeinert. Sie nutzen nun etwa auch Sicherheitslücken in Microsofts Serversoftware Exchange, die zunächst mit anderen Angreifern in Verbindung gebracht wurden. Dies geht aus einem neuen Schwachstellenbericht hervor, den die drei US-Behörden FBI, NSA und CISA (Cybersecurity and Infrastructure Security Agency) zusammen mit dem britischen National Cyber Security Centre (NCSC) verfasst haben, das beim Geheimdienst GCHQ angesiedelt ist.
...

SolarWinds, VMware, Exchange-Server bedroht
Die Angreifer sind laut den westlichen Sicherheitsbehörden bestrebt, eine Vielzahl von Exploits zu nutzen, sobald sie veröffentlicht werden. Die Autoren verweisen dabei dezidiert auf elf Sicherheitswarnungen, die sich auf Schwachstellen von CVE-2018-13379 FortiGate über CVE-2019-19781 Citrix bis hin zu CVE-2021-21972 VMWare vSphere beziehen.
In jüngster Zeit hätten die Akteure auch gezielt nach Exchange-Servern gesucht, die für die mit der Hafnium-Gruppe in Verbindung gebrachte Lücke CVE-2021-26855 und damit verbundene weitere Schwachstellen anfällig sind, heißt es weiter. Auf solche Aktivitäten folge in der Regel der Einsatz weiterer Exploits und im Erfolgsfall der Einbau einer Webshell für den Serverzugriff aus der Ferne. Die Angriffe auf Mailserver seien darauf ausgerichtet, sich Passwörter und Administratorrechte und die Möglichkeit zu verschaffen, weitere Netzwerkinformationen und -zugriffe zu erhalten.
...

Rasch aktualisieren – Lücken schließen
Trotz der teils ausgefeilten Art der Attacken betonen die Verfasser, dass die Angreifer sich in Schach halten ließen, wenn Administratoren "grundlegende Cybersicherheitsprinzipien" befolgten. Dazu gehöre das schnelle Einspielen von Sicherheitsupdates, um zumindest bekannte Sicherheitslücken abzudichten. Der Leitfaden empfiehlt zudem, eine Multi-Faktor-Authentifizierung zu nutzen, um Passwortangriffen entgegenzuwirken.

https://www.heise.de/news/SolarWinds-NSA-Co-mahnen-mit-Schwachstellenber ...

Insbesondere mein zu letzt zitierter Absatz sowie der Titel der Überschrift sollten natürlich immer Anwendung finden.

Content-ID: 666552

Url: https://administrator.de/contentid/666552

Ausgedruckt am: 18.12.2024 um 12:12 Uhr

126231
126231 09.05.2021 um 20:45:47 Uhr
Goto Top
Was da steht, ist ja alles OK.

Wie geht ihr mit MFA mit onPrem AD um - MS liefert dazu ja nix - wie sichert ihr eure Admins mit MFA ab?
Kauft ihr Dritthersteller - wenn ja was?

Gruß
Luigi
em-pie
em-pie 09.05.2021 um 20:58:18 Uhr
Goto Top
Also da wir Citrix und den Netscaler haben, ist das nach außen schon mal Safe…
Der zweite Faktor ist in dem Fall ein Token, erzeugt auf einem Schlüsselanhänger

Intern gibt es ja ein paar Ansätze: SmartCard, YUBIKEY, …

Und natürlich ist auch bei der natürlichen Administratoren eine Trennung zwischen Arbeits- und Administrationsaccount zwingend vorzusehen.
126231
126231 09.05.2021 um 21:04:58 Uhr
Goto Top
Das ist klar!
Aber wie sicherst du Powershell/ WinRM/ RDP intern mit MFA ab?
em-pie
em-pie 11.05.2021 um 23:53:12 Uhr
Goto Top
Na RDP ist ja z.B. so lösbar:
https://docs.microsoft.com/de-de/windows-server/remote/remote-desktop-se ...

Powershell:
Wozu: willst du mit jedem automatischen script nachts um 3 Uhr eine PIN bestätigen?

Also nicht immer ist das alles lösbar, aber starke Passwörter und eine Trennung von Rechten hilft ja schon ungemein.