Ein altbekanntes Problem: Datenabfluss durch Verwendung von FTP

Ein altbekanntes Problem: Datenabfluss durch Verwendung von FTP

Ein altbekanntes Problem: Datenabfluss durch Verwendung von FTP

Das File Transfer Protocol (FTP) ist in der IT-Welt ein alter Hut. Aber auch heute wird das bereits 1972 veröffentlichte FTP häufig noch für die Übermittlung von Daten genutzt. Der Vorteil: Es ermöglicht eine besonders schnelle und einfache Datenübertragung von oder zu einem FTP-Server. Doch es gibt einen Haken, denn möglich ist diese Datenübertragungsgeschwindigkeit nur, weil die Daten unverschlüsselt übertragen werden. Welche Konsequenzen die Nutzung einer unverschlüsselten Übertragung mit sich bringen kann, ist vielen Nutzern nicht bewusst. Im Rahmen dieses Artikels möchten wir auf die Risiken aufmerksam machen und Tipps für Alternativen geben.

Kürzlich erhielten wir bei einem unserer aufgeschalteten Kunden über unser Netzwerküberwachungssystem die Meldung ‚FTP (File Transfer Protocol) Activity to the Internet‘. Es wurde also ein FTP zum Internet hin verwendet. Das FTP übermittelte die verwendeten Daten, darunter auch sensible Anmeldedaten, im Klartext. Somit hatte ein potenzieller Angreifer die Möglichkeit, Anmeldenamen und Passwörter mitzulesen. Als Folge hätte der Angreifer kompletten Zugriff auf den FTP-Server und somit die Möglichkeit, alle dort vorliegenden Daten abzugreifen.

Unsere Handlungsempfehlung:

Wir empfehlen Ihnen, grundsätzlich auf die Verwendung von FTP zu verzichten, vor allem außerhalb des eigenen Netzwerks. Für die Übertragung von Daten sollte immer eine verschlüsselte Alternative genutzt werden. Die sichere Alternative für FTP ist das 2001 veröffentlichte SFTP, welches die übertragenen Daten verschlüsselt, um die Sicherheit bei der Datenübertragung zu gewährleisten. Allerdings nimmt die Übertragung der Daten aufgrund der Verschlüsselung marginal mehr Zeit in Anspruch. Wir raten jedoch dazu, diesen Kompromiss unter allen Umständen einzugehen.

Microsoft: Kritische Schwachstelle in Druckerspooler

Microsoft: Kritische Schwachstelle in Druckerspooler

Microsoft: Kritische Schwachstelle in Druckerspooler

Am Patchday im Juni hat Microsoft Informationen zur Sicherheitslücke CVE-2021-1675 veröffentlicht. Nun wurde eine weitere Schwachstelle identifiziert, die noch keine CVE-Nummer und damit keine Einstufung des Bedrohungsgrads besitzt. Im folgenden Beitrag haben wir alle wichtigen Informationen dazu für Sie zusammengefasst:

Diese identifizierte Sicherheitslücke betrifft eine Warteschlange, die von Windows-Systemen zur Verarbeitung von Druckaufträgen (Drucker Spooler) verwendet wird. Alle unterstützten Versionen von Microsoft Windows und Microsoft Windows Server sind von dieser Schwachstelle betroffen. Ursprünglich wurde angenommen, dass das Ausnutzen dieser Sicherheitslücke für Angreifer eher aufwendig ist. Fakt ist, dass die Lücke jedoch mit gültigen Anmeldeinformationen aus der Ferne durchaus mit einfachen Mitteln ausgenutzt werden kann. Die Folgen können sich in Codeausführungen oder Privilegienerweiterungen äußern. Dies ermöglicht Angreifern die Installation von Programmen, Einblick in Daten sowie das Anlegen oder Löschen neuer Systembenutzer mit vollen Rechten.

Doch wie kam es zu dieser Sicherheitslücke? - Ein Cybersicherheitsunternehmen hatte versehentlich Exploit-Code für eine Sicherheitslücke veröffentlicht. Später stellte sich heraus, dass der Code für eine neue Sicherheitslücke bestimmt war und nicht für eine, die bereits geschlossen worden war. Der Proof-of-Concept-Code zum Ausnutzen von "PrintNightmare" wurde schließlich wieder entfernt. Jedoch wurden in diesem Zeitraum bereits entsprechende Kopien erstellt.

Der Exploit mit dem Namen „Printnightmare“ bezieht sich auf CVE-2021-1675 und nutzt eine ungepatchte Sicherheitslücke im Spooler-Dienst aus. Microsoft hat im Juni ein Update zur Verfügung gestellt, ein Angriff auf den Spooler-Dienst ist jedoch weiterhin möglich.

Das BSI sowie andere Sicherheitsexperten haben herausgefunden, dass auf Windows Server 2019- und Windows Server 2016-Domänencontrollern, die vollständig mit den neuesten Sicherheitsupdates aktualisiert wurden, die Anmeldedaten eines unprivilegierten Domänenbenutzers verwendet werden können. So wird ein Exploit und somit ein Fernzugriff ermöglicht. Der veröffentlichte Exploit-Code wurde außerdem bereits in ein Angriffstool eingebettet.

Handlungsempfehlungen:

Um die beschriebene Schwachstelle vorläufig zu schließen, empfehlen wir die folgenden Schritte:

Analysieren Sie zunächst, ob der Printer Spooler funktioniert und den Get-Service -Name Spooler als Domänenadministrator ausführt. Wenn der Service läuft oder nicht deaktiviert ist, sollte eine der folgenden Optionen gewählt werden:

 

Option 1: Printer Spooler Service deaktivieren

  • Die folgenden PowerShell-Befehle ausführen:
  • Stop-Service -Name Spooler -Force
  • SetService -Name Spooler -StartupType Disabled

Wichtig: Das Ausführen dieser Befehle hat zur Folge, dass sowohl lokal als auch über Remotezugriff nicht mehr gedruckt werden kann.

 

Option 2: Eingehende Druckbefehle über Remotezugriff mit einer Gruppenrichtlinie verbieten

  • Über die Gruppenrichtlinienverwaltung kann eine neue Gruppenrichtlinie angelegt  werden:
    • Computer Konfiguration / Administrative Vorlagen / Drucker die Option Drucker
    • Deaktivierung von „Spooler erlauben Verbindungen von Clients anzunehmen“
    • Wichtig: Das Abwählen dieser Option hat zur Folge, dass keine Remotezugriffe  mehr zugelassen werden. Dadurch funktioniert das System nicht mehr als Druckerserver. Lokal direkt verbundene Drucker können dennoch angesteuert werden.
  • Prüfen, dass folgender Registry-Key nicht gesetzt ist:
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
    • EnableLUA = 0
    • Sollte der Key gesetzt sein, muss dieser auf den Wert 1 geändert werden
  • Zusätzlich zu den schon genannten Maßnahmen empfiehlt Microsoft, die Treiberinstallation auf den Systemen auf Administratoren einzuschränken (Registry-Key: RestrictDriverInstallationToAdministrators).

 

Ein gefundenes Fressen für Angreifer: Heartbleed Schwachstelle auch nach sieben Jahren noch aktuell

Ein gefundenes Fressen für Angreifer: Heartbleed Schwachstelle auch nach sieben Jahren noch aktuell

Heartbeat wurde im Jahr 2012 in die bekannte OpenSSL-Software eingeführt. 2014 wurde sie als schwerwiegende Schwachstelle identifiziert und behoben. Doch auch heute - sieben Jahre später - existieren noch immer ungepatchte Systeme.

Bei einem unserer Kunden führte eine veraltete OpenSSL Version mit aktivierter Heartbeat-Erweiterung jüngst beinahe dazu, dass Benutzerdaten durch Dritte abgegriffen werden konnten. Kurz nach der Aufschaltung des Kunden wurde uns via Anomalie Machine Learning Erkennung das Event “Malformed HeartBeat Request” gemeldet. Wir informierten unseren Kunden umgehend, sodass die Schwachstelle rasch behoben werden konnte. Dieser Vorfall zeigte jedoch noch einmal deutlich, wie wichtig es ist, Patches zu installieren und Schwachstellen zu beheben.

Gerne möchten wir Ihnen nachfolgend erläutern, was sich tatsächlich hinter Heartbleed verbirgt und wie einfach diese Schwachstelle durch Angreifer ausgenutzt werden kann: Ein TLS-Protokoll (Transport-Layer-Security-Protokoll) verfügt grundsätzlich über eine sogenannte "Heartbeat-Erweiterung". Mit dieser Erweiterung können Sie eine TLS-Verbindung aktiv halten, auch wenn schon lange keine Daten mehr darüber geflossen sind. Außerdem können beliebige Daten von bis zu 16 KByte an die Gegenseite versendet werden. Dies wird als sogenannte "Heartbeat-Anfrage" bezeichnet. Diese Anfrage besteht aus einem sogenannten "Payload" (meist Text) und der Größe dieses Payloads. Der antwortende Rechner sendet diese Payload dann unverändert zurück.

Auch wenn die tatsächliche Schwachstelle im dargestellten Fall vergleichsweise nur einen geringen Umfang hatte, die Auswirkungen wären bei einem erfolgreichen Angriff groß gewesen. Anstatt zu überprüfen, ob die in der Heartbeat-Anfrage gesendete Größe wirklich der tatsächlichen Größe der Payload entsprach, vertraute der antwortende Computer schlicht darauf. Ein Angreifer kann diesen Programmierfehler ausnutzen, indem er die Heartbeat-Anfrage manipuliert. So ist es beispielsweise möglich, eine Heartbeat-Anfrage mit einer 2-Byte-Payload zu senden, dem anderen Computer jedoch mitzuteilen, dass die Größe der Payload lediglich 32 KByte beträgt. Der andere Computer sendet dann die 32 KByte an Daten zurück, die sich gerade in seinem aktiven Speicher befinden. Dies kann eine Reihe nutzloser kryptischer Zahlen sein. Wenn ein Angreifer diese Anfrage z. B. an den Server einer Bank mit Online-Banking-Nutzung sendet, kann es sich jedoch auch um Passwörter oder Zahlungsdaten des Benutzers handeln.

Daher möchten wir Ihnen folgende Handlungsempfehlungen mit auf den Weg geben:

- Das Heartbleed Test Tool kann Abhilfe schaffen. Es dient zur Überprüfung, ob ein bestimmter Webserver oder Mailserver für die Heartbleed-Schwachstelle anfällig ist (CVE-2014-0160).

- Alle Versionen von OpenSSL 1.0.1 vor 1.0.1g mit aktiviertem Heartbeat (standardmäßig aktiviert) sind von diesem Bug betroffen und sollten dringend aktualisiert werden.

- Diese Sicherheitslücke wurde mittlerweile größtenteils behoben. Als Benutzer sollten Sie allerdings Passwörter, die Sie seit 2014 nicht geändert haben, sofort ändern.

-Als Betreiber eines Servers sollten Sie generell darauf achten, stets aktuelle Software zu nutzen und diese regelmäßig zu aktualisieren.

 

SOC als Antwort auf IT-SiG 2.0: Certified Security Operations Center GmbH kooperiert mit IT-Dienstleister x-tention

SOC als Antwort auf IT-SiG 2.0: Certified Security Operations Center GmbH kooperiert mit IT-Dienstleister x-tention

Künftig steht den Kunden der x-tention Unternehmensgruppe das etablierte SOC der Certified Security Operations Center GmbH zur Verfügung.

Bornheim, Juli 2021. Die Certified Security Operations Center GmbH ist das Ergebnis eines Joint Ventures der TÜV TRUST IT GmbH Unternehmensgruppe TÜV AUSTRIA und der dhpg IT-Services GmbH, welches das Ziel verfolgt, Firmenkunden mit ganzheitlichen Lösungen vor Cyberangriffen zu schützen. Hierfür bietet das Unternehmen ein breites Leistungsportfolio an, das individuell an Bedürfnisse und Rahmenbedingungen des Kunden angepasst werden kann.

Kern des Leistungsangebots ist das bereits seit Jahren erfolgreich eingesetzte Security Operations Center as a Service, kurz SOCaaS. Eine Security-Lösung, die eine intelligente Kombination von moderner Sensortechnik mit erfahrenen IT-Experten nutzt und neben einer 24-Stunden-Überwachung auch eine schnelle Risikobewertung und bei Bedarf ein schnelles Einleiten von Gegenmaßnahmen ermöglicht.

Eine Kooperation – drei Gewinner

Mit dem Ziel, den Kundenstamm im Gesundheitsmarkt zu erweitern und künftig noch mehr Unternehmen den Zugang zu ihrem etablierten SOC zu ermöglichen, freut sich die Certified Security Operations Center GmbH, mit der x-tention Unternehmensgruppe einen neuen Kooperationspartner gefunden zu haben. Als einer der größten und bekanntesten IT-Dienstleister in der Gesundheitsbranche betreut die x-tention Unternehmensgruppe eine Vielzahl von Kunden, die dem KRITIS-Sektor angehören und von dem kürzlich beschlossenen IT-Sicherheitsgesetz 2.0 betroffen sind. Dieses schreibt für KRITIS-Unternehmen, zu denen viele Krankenhäuser zählen, die Nutzung von Systemen zur Angriffserkennung vor. Das SOC, das bereits seit Jahren die IT zahlreicher angeschlossener Kunden zuverlässig schützt, stellt hier eine ideale Lösung dar. Michael Punz, Geschäftsbereichsleiter Informationssicherheit & Datenschutz bei x-tention, sieht in der Kooperation mit der Certified Security Operations Center GmbH einen großen Vorteil für die eigenen Kunden der Unternehmensgruppe: „Durch die neuen Anforderungen, die das IT-Sicherheitsgesetz 2.0 mit sich bringt, sind viele unserer Kunden im Zugzwang. Wir freuen uns daher, ihnen künftig mit dem SOCaaS eine erprobte Leistung anzubieten, mit der sie die neuen Regularien vollumfänglich erfüllen. Gleichzeitig unterstreichen wir mit der neuen Partnerschaft unsere Position im Markt für IT-Sicherheit und zeigen, dass sich unsere Kunden – auch bei Einführung neuer Gesetzesvorgaben – immer auf uns verlassen können.“

Für den Anbieter des SOC stellt sich die Kooperation als Chance dar, Zugang zu neuen Kunden im Gesundheitssektor zu erhalten. „Mit der x-tention Unternehmensgruppe haben wir einen starken Partner an unserer Seite, deren Kunden genau das brauchen, was wir anbieten. Für uns ist das ein großer Gewinn, da wir auf diese Weise auf dem Gesundheitsmarkt noch sichtbarer werden und unseren Kundenstamm dahingehend ausweiten können“, erläutert Joerg Lammerich, Geschäftsführer der Certified Security Operations Center GmbH, und resümiert: „Indem wir das Leistungsportfolio unseres Kooperationspartners um unser SOC erweitern, gewinnen wir neue Kunden und Perspektiven.“ Die Zusammenarbeit wird also nicht nur beiden Unternehmen, sondern vor allem den jeweiligen Kunden zugutekommen.

 

Über die Certified Security Operations Center GmbH

Die Certified Security Operations Center GmbH ist ein Joint Venture der TÜV TRUST IT GmbH Unternehmensgruppe TÜV AUSTRIA und der dhpg IT-Services GmbH. Dabei ergänzen sich die TÜV TRUST IT als unabhängige TÜV-Gesellschaft und Berater für Informationssicherheit und die dhpg IT-Services als kompetenter Partner für vertrauliche und schützenswerte Daten optimal und ermöglichen der Certified Security Operations Center GmbH so ein breites Spektrum an Leistungen im Bereich IT- und Cybersecurity, die insbesondere auf die individuellen Bedürfnisse und Anforderungen mittelständischer Unternehmen abgestimmt sind. Das Angebot des Joint Ventures umfasst unterschiedliche Komponenten und Services der Managed Security, die unabhängig voneinander genutzt werden können. Neben dem SOC as a Service gehören unter anderem auch Trainings und Penetrationstests zum Portfolio.

https://www.csoc.de/

Über die x-tention Unternehmensgruppe

Die x-tention Unternehmensgruppe bietet individuelle Software- und Servicelösungen für das Gesundheitswesen und die Industrie. Die einzelnen Firmen verfügen über ein umfassendes Leistungsportfolio aus Beratung, Software, Implementierung und Betrieb. Zur x-tention Unternehmensgruppe gehören die x-tention Informationstechnologie GmbH, die soffico GmbH, die InterComponentWare GmbH, die FAKTOR D consulting GmbH, die it for industries GmbH und die Cloud21 Ltd. An den Standorten in Österreich, Deutschland, Schweiz, Großbritannien und den USA betreuen über 500 qualifizierte Mitarbeiter weltweit mehr als 1.000 Kunden.

https://x-tention.com

 

 

 

Brute-Force via PuTTY: SSH-Server unter Beschuss

Brute-Force via PuTTY: SSH-Server unter Beschuss

Die gewählten Methoden für Brute-Force Angriffe sind vielfältig. Doch eines haben alle gemeinsam: Die meisten werden von Antiviren-Lösungen nicht erkannt. So ist es auch in einem aktuellen Fall in unserem SOC geschehen: Bei einem unserer angeschlossenen Kunden wurden insgesamt 4.325 Angriffsversuche erfasst, ohne von der Antiviren-Software erkannt zu werden. Von diesem Fall möchten wir Ihnen heute berichten:

Es begann damit, dass unser Blue-Team über die Anomalie Machine Learning Erkennung vermehrte Events „SSH (Secure Shell) from the Internet“ feststellten. Eine Analyse im SIEM (Security Information and Event Management) ergab, dass der SSH Server des Kunden durch mehrere Systeme mit unterschiedlichen IP’s unter massiven SSH Login Attacken stand. Nach einer Überprüfung der PCAP-Dateien (Packet Capture) in Wireshark wurde deutlich, dass Angreifer versucht hatten, sich unter Verwendung des Tools “ssh-putty-brute.ps1“ in Verbindung mit „PuTTY“ unerlaubten Zugriff zu den Kundensystemen zu verschaffen. Und zwar indem permanent versucht wurde, unter Verwendung von Passwort-Listen automatisiert eine Verbindung aufzubauen. Dieses Tool kann den bekannten „SSH Client PuTTY“ (putty.exe oder plink.exe) in ein „SSH-Login Brute-Force Tool“ umwandeln, welches von Antiviren-Software und Endpunktschutz-Lösungen unerkannt bleibt.

Die beschriebene Brute-Force-Attacke ist eine Angriffsmethode, die zur Ermittlung von Passwörtern und Entschlüsseln von Daten verwendet wird. Hierbei testet der Angreifer automatisch verschiedene Zeichenketten nach dem Zufallsprinzip aus. Je mehr Kombinationen angewendet werden, desto größer ist die Chance auf Erfolg. In diesem Fall war davon auszugehen, dass der SSH-Server des Kunden nicht lange gegen den Angriffsversuch standhält. Unser Kunde wurde aus diesem Grund unverzüglich informiert. Im Anschluss wurde das Geoblocking in der Firewall des Kunden aktiviert und lediglich einzelnen Niederlassungen Zugang gewährt, die für den laufenden Betrieb notwendig waren. Damit konnte der Brute-Force Angriff rechtzeitig abgewehrt werden.

Unsere Handlungsempfehlungen:

- Die Passwortabfrage, die in SSH standardmäßig aktiviert ist, ist nur eine der vielen Möglichkeiten der Authentifizierung. In PuTTY können Sie das Werkzeug PuTTY Key Generator verwenden, um ein sicheres RSA- oder DSA-Schlüsselpaar zu erzeugen. Klicken Sie hierfür einfach auf die Schaltfläche "Erzeugen". Wenn Sie einen DSA- oder SSH1-RSA-Schlüssel benötigen, markieren Sie bitte den entsprechenden Typ unten im Dialog.

- Untersagen Sie dem Root-Benutzer, sich über SSH anzumelden.

- Erstellen Sie eine Netzwerkschnittstelle für SSH (z. B. eth1), die sich von der Schnittstelle unterscheidet, von der Sie Anfragen bedienen (z. B. eth0).

- Verwenden Sie keine gängigen Benutzernamen.

- Verwenden Sie eine Berechtigungsmatrix und lassen Sie nur Benutzer zu, die einen SSH-Zugriff benötigen.

- Suchen Sie nach einer Möglichkeit, um eine Verbindung ohne Internetzugriff herstellen zu können. Auf diese Weise können Sie den gesamten Internetverkehr für SSH verhindern (Mit AWS können Sie via Direct Connect eine direkte Verbindung erhalten, die das Internet umgeht).

- Wenn Sie einen Internetzugriff benötigen, beschränken Sie den  Zugriff auf einen endlichen Satz von IP‘s. Eine statische IP ist ideal, aber das Sperren auf xx0.0/16 ist besser als 0.0.0.0/0.

- Stellen Sie sicher, dass das Betriebssystem immer auf dem neuesten Stand ist und insbesondere Sicherheits- und SSH-Pakete eingespielt worden sind.

Weitere Informationen unter:

https://www.infosecmatter.com/ssh-brute-force-attack-tool-using-putty-plink-ssh-putty-brute-ps1/