4
SolarWinds: NSA + Co. mahnen mit Schwachstellenbericht zum Patchen
Die Hackergruppen, die hinter den schweren Cyber-Attacken rund um Schwachstellen beim Softwareanbieter SolarWinds stehen, haben ihre Taktiken, Techniken und Verfahren ausgebaut und verfeinert. Sie nutzen nun etwa auch Sicherheitslücken in Microsofts Serversoftware Exchange, die zunächst mit anderen Angreifern in Verbindung gebracht wurden. Dies geht aus einem neuen Schwachstellenbericht hervor, den die drei US-Behörden FBI, NSA und CISA (Cybersecurity and Infrastructure Security Agency) zusammen mit dem britischen National Cyber Security Centre (NCSC) verfasst haben, das beim Geheimdienst GCHQ angesiedelt ist.
...
...
SolarWinds, VMware, Exchange-Server bedroht
Die Angreifer sind laut den westlichen Sicherheitsbehörden bestrebt, eine Vielzahl von Exploits zu nutzen, sobald sie veröffentlicht werden. Die Autoren verweisen dabei dezidiert auf elf Sicherheitswarnungen, die sich auf Schwachstellen von CVE-2018-13379 FortiGate über CVE-2019-19781 Citrix bis hin zu CVE-2021-21972 VMWare vSphere beziehen.
In jüngster Zeit hätten die Akteure auch gezielt nach Exchange-Servern gesucht, die für die mit der Hafnium-Gruppe in Verbindung gebrachte Lücke CVE-2021-26855 und damit verbundene weitere Schwachstellen anfällig sind, heißt es weiter. Auf solche Aktivitäten folge in der Regel der Einsatz weiterer Exploits und im Erfolgsfall der Einbau einer Webshell für den Serverzugriff aus der Ferne. Die Angriffe auf Mailserver seien darauf ausgerichtet, sich Passwörter und Administratorrechte und die Möglichkeit zu verschaffen, weitere Netzwerkinformationen und -zugriffe zu erhalten.
...
Die Angreifer sind laut den westlichen Sicherheitsbehörden bestrebt, eine Vielzahl von Exploits zu nutzen, sobald sie veröffentlicht werden. Die Autoren verweisen dabei dezidiert auf elf Sicherheitswarnungen, die sich auf Schwachstellen von CVE-2018-13379 FortiGate über CVE-2019-19781 Citrix bis hin zu CVE-2021-21972 VMWare vSphere beziehen.
In jüngster Zeit hätten die Akteure auch gezielt nach Exchange-Servern gesucht, die für die mit der Hafnium-Gruppe in Verbindung gebrachte Lücke CVE-2021-26855 und damit verbundene weitere Schwachstellen anfällig sind, heißt es weiter. Auf solche Aktivitäten folge in der Regel der Einsatz weiterer Exploits und im Erfolgsfall der Einbau einer Webshell für den Serverzugriff aus der Ferne. Die Angriffe auf Mailserver seien darauf ausgerichtet, sich Passwörter und Administratorrechte und die Möglichkeit zu verschaffen, weitere Netzwerkinformationen und -zugriffe zu erhalten.
...
Rasch aktualisieren – Lücken schließen
Trotz der teils ausgefeilten Art der Attacken betonen die Verfasser, dass die Angreifer sich in Schach halten ließen, wenn Administratoren "grundlegende Cybersicherheitsprinzipien" befolgten. Dazu gehöre das schnelle Einspielen von Sicherheitsupdates, um zumindest bekannte Sicherheitslücken abzudichten. Der Leitfaden empfiehlt zudem, eine Multi-Faktor-Authentifizierung zu nutzen, um Passwortangriffen entgegenzuwirken.
Trotz der teils ausgefeilten Art der Attacken betonen die Verfasser, dass die Angreifer sich in Schach halten ließen, wenn Administratoren "grundlegende Cybersicherheitsprinzipien" befolgten. Dazu gehöre das schnelle Einspielen von Sicherheitsupdates, um zumindest bekannte Sicherheitslücken abzudichten. Der Leitfaden empfiehlt zudem, eine Multi-Faktor-Authentifizierung zu nutzen, um Passwortangriffen entgegenzuwirken.
https://www.heise.de/news/SolarWinds-NSA-Co-mahnen-mit-Schwachstellenber ...
Insbesondere mein zu letzt zitierter Absatz sowie der Titel der Überschrift sollten natürlich immer Anwendung finden.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 666552
Url: https://administrator.de/contentid/666552
Ausgedruckt am: 17.11.2024 um 07:11 Uhr
4 Kommentare
Neuester Kommentar
Was da steht, ist ja alles OK.
Wie geht ihr mit MFA mit onPrem AD um - MS liefert dazu ja nix - wie sichert ihr eure Admins mit MFA ab?
Kauft ihr Dritthersteller - wenn ja was?
Gruß
Luigi
Wie geht ihr mit MFA mit onPrem AD um - MS liefert dazu ja nix - wie sichert ihr eure Admins mit MFA ab?
Kauft ihr Dritthersteller - wenn ja was?
Gruß
Luigi
Also da wir Citrix und den Netscaler haben, ist das nach außen schon mal Safe…
Der zweite Faktor ist in dem Fall ein Token, erzeugt auf einem Schlüsselanhänger
Intern gibt es ja ein paar Ansätze: SmartCard, YUBIKEY, …
Und natürlich ist auch bei der natürlichen Administratoren eine Trennung zwischen Arbeits- und Administrationsaccount zwingend vorzusehen.
Der zweite Faktor ist in dem Fall ein Token, erzeugt auf einem Schlüsselanhänger
Intern gibt es ja ein paar Ansätze: SmartCard, YUBIKEY, …
Und natürlich ist auch bei der natürlichen Administratoren eine Trennung zwischen Arbeits- und Administrationsaccount zwingend vorzusehen.
Das ist klar!
Aber wie sicherst du Powershell/ WinRM/ RDP intern mit MFA ab?
Aber wie sicherst du Powershell/ WinRM/ RDP intern mit MFA ab?
2
Na RDP ist ja z.B. so lösbar:
https://docs.microsoft.com/de-de/windows-server/remote/remote-desktop-se ...
Powershell:
Wozu: willst du mit jedem automatischen script nachts um 3 Uhr eine PIN bestätigen?
Also nicht immer ist das alles lösbar, aber starke Passwörter und eine Trennung von Rechten hilft ja schon ungemein.
https://docs.microsoft.com/de-de/windows-server/remote/remote-desktop-se ...
Powershell:
Wozu: willst du mit jedem automatischen script nachts um 3 Uhr eine PIN bestätigen?
Also nicht immer ist das alles lösbar, aber starke Passwörter und eine Trennung von Rechten hilft ja schon ungemein.
