16 Aug 2017

Angriffe auf die Unternehmenssicherheit: Dienste von Microsoft als Waffe

Business

Hacker haben mit der Exploitation legitimer Software genau ins Schwarze getroffen. Verschiedene Vorträge auf der Black Hat Konferenz 2017 haben gezeigt, dass Microsofts Unternehmenslösungen durchaus nützlich sein könnten, wenn sie in die Hände eines Hackers geraten.

Unternehmen, die Hybrid Clouds nutzen, müssen andere Sicherheitsbedenken in Erwägung ziehen als diejenigen, die traditionelle Cloudsysteme nutzen. Dennoch werden sie in der Praxis nicht schnell genug aktualisiert was in zahlreichen Sicherheitsschwachstellen resultiert, die von Angreifern ausgenutzt werden können. Genau das wurde im Juli auf der Hackerkonferenz Black Hat 2017 bewiesen. Studien zeigten, wie eine klassische Büroinfrastruktur den Angreifern sogar dabei helfen kann für die Mehrzahl der Sicherheitslösungen unsichtbar zu bleiben.

Several reports at the Black Hat 2017 conference demonstrated that Microsoft enterprise solutions could be quite useful in an attacker's hands.

Sobald finanziell motivierte Hacker in ein Unternehmensnetzwerk eingedrungen sind, ist der heimliche Datenaustausch innerhalb infizierter Geräte ihre größte Schwierigkeit. Im Wesentlichen besteht ihr Ziel darin, infizierten Geräten Befehle zukommen zu lassen und gestohlene Informationen weiterzuleiten ohne dabei die zuständigen Angrifferkennungssysteme (IDS) und Data-Loss-Prevention-Systeme (DLP) zu alarmieren. Microsoft-Dienste arbeiten oftmals nicht unter den Bedingungen der Sicherheitszone und helfen Angreifern, indem die übertragenen Daten dieser Dienste nicht sorgfältig genug gescannt werden.

Eine Studie von Ty Miller und Paul Kalinin über Threat Intelligence zeigt, wie Bots über Active-Directory-Dienste (AD) in einem Unternehmensnetzwerk kommunizieren können. Da alle Kunden – auch mobile – eines Netzwerkes und der Mehrzahl der Server zur Authentifizierung auf den Verzeichnisdienst zugreifen müssen, ist ein AD-Server der „zentrale Kommunikationspunkt“, der für die Verwaltung eines Botnets sehr vorteilhaft ist. Abgesehen davon bestätigen die Forscher, dass die Integration von Azure AD mit einem AD-Server eines Unternehmens direkten Zugriff auf ein Botnet von außerhalb bietet.

Wie kann AD bei der Verwaltung eines Botnets und der Entwendung von Daten helfen? Das Konzept ist relativ simpel. Standardmäßig kann jeder Kunde des Netzwerkes seine Informationen auf dem AD-Server aktutalisieren – zum Beispiel Telefonnummer und E-Mail-Adresse. Die beschreibbaren Felder umfassen auch hochkapazitierte Felder, die bis zu einem Megabyte Daten speichern können. Andere AD-User können all diese Informationen lesen und somit einen Kommunikationskanal erstellen.

The write-enabled fields include high-capacity ones that can store up to a megabyte of data.

Forscher empfehlen die Überwachung von AD-Feldern für periodische und ungewöhnliche Veränderungen sowie die Deaktivierung der User-Fähigkeit eine Vielzahl der Felder zu beschreiben.

Researchers recommend monitoring AD fields for periodic, unusual changes and disabling users' ability to write to most fields.

Eine Studie von Craig Dods von Jupiter Networks wirft Licht auf eine andere Technik mit der heimlich Daten entwendet werden können – Office 365. Eine der bekanntesten dieser Techniken nutzt „OneDrive for Business“, dass rund 80 % der Kunden der Microsoft-Onlinedienste nutzen. Hacker mögen es, weil das IT-Personal der Unternehmen Microsoft-Servern für gewöhnlich vertraut, High-Speed-Verbindungen zulässt und das Entschlüsseln für Uploads überspringt. Das Ergebnis: die Arbeit eines Hackers besteht darin ein OneDrive-Datenträger mit dem Zielcomputer zu verbinden, indem andere Benutzerinformationen genutzt werden. In diesem Fall wird das Kopieren der Daten nach OneDrive nicht als Versuch gewertet, das Perimeter zu verlassen; deshalb gehen Sicherheitssysteme davon aus, dass der verbundene Datenträger zu einem Unternehmen gehört. Er kann im unsichtbaren Modus verbunden werden und so die Chancen verringern entdeckt zu werden. Der Angreifer braucht dafür zwei weitere Tools von Microsoft: Internet Explorer und PowerShell. Als Ergebnis kann ein Bot Freihand Daten auf seinen eigenen Datenträger kopieren und der Angreifer kann sie ganz einfach von OneDrive downloaden.

Dods zufolge müssen User den Zugang auf Office 365 Subdomains, die zum Unternehmen gehören, beschränken, um weiterhin gegen derartige Attacken geschützt zu sein. Es wird ebenfalls empfohlen eine genaue Inspektion des verschlüsselten Verkehrs durchzuführen und das Verhalten von PowerShell-Skripten in einer Sandbox zu analysieren.

Sie sollten berücksichtigen, dass beide dieser Bedrohungen noch rein hypothetisch sind. Um diese Technologien zu nutzen, müssen Cyberkriminelle damit anfangen, die Infrastruktur eines Opfers irgendwie zu infiltrieren. Wenn das erst einmal getan ist, ist ihre Aktivität sowohl für die Mehrzahl der aktualisieren Sicherheitslösungen als auch für den unvorbereiteten Betrachter nicht erkennbar. Deshalb ist es sinnvoll die IT-Infrastruktur regelmäßig auf Schwachstellen zu untersuchen. Wir zum Beispiel verfügen über ein qualifiziertes Dienstleistungsangebot, um zu analysieren, was in Ihrer Infrastruktur aus der Perspektive der Informationssicherheit vorgeht – und wenn nötig, Ihr System auf Eindringlinge zu untersuchen.