Net-exe ermöglicht Angreifern Verbindung zu Windows-Administratorfreigaben

Net-exe ermöglicht Angreifern Verbindung zu Windows-Administratorfreigaben

Net-exe ermöglicht Angreifern Verbindung zu Windows-Administratorfreigaben

Bei einem neu aufgeschalteten Kunden erreichte unsere Leitstelle die Meldung ’Mounted Windows Admin Shares with net.exe‘. Doch was verbirgt sich dahinter?  - Windows-Systeme verfügen über versteckte Netzwerkfreigaben, auf die nur Administratoren zugreifen können. Sie bieten die Möglichkeit, Dateien aus der Ferne zu kopieren und andere Verwaltungsfunktionen auszuführen. Beispiele für Netzwerkfreigaben sind C$, ADMIN$ und IPC$. Diese Netzwerkfreigaben bergen jedoch große Gefahren, die wir in diesem Beitrag gerne erläutern möchten:

Welche Gefahren drohen?

Angreifer können diese Technik in Verbindung mit gültigen Konten auf Administratorebene verwenden, um über Server Message Block (SMB) aus der Ferne auf ein vernetztes System zuzugreifen und mithilfe von Remote Procedure Calls (RPCs) mit anderen Systemen zu interagieren, Dateien zu übertragen und übertragene Binärdateien über Remote Execution auszuführen. Beispiele für Ausführungsmethoden, die sich auf authentifizierte Sitzungen über SMB/RPC stützen, sind geplante Tasks, die Ausführung von Diensten und die Windows-Verwaltungsinstrumentierung.

Darüber hinaus können Angreifer NTLM-Hashes (NT LAN Manager) verwenden, um auf Administratorfreigaben auf Systemen mit Pass the Hash und bestimmten Konfigurations-Patch-Levels zuzugreifen.

Mögliche Folgen eines Angriffs

Das Dienstprogramm Net wurde im Falle unseres Kunden verwendet, um eine Verbindung zu Windows-Administratorfreigaben auf Remote-Systemen herzustellen, indem net usecommands mit gültigen Anmeldeinformationen verwendet wurden. An dieser Stelle konnten wir den Angriffsversuch stoppen. Doch was wäre die Folge eines erfolgreichen Angriffs werden?

Der Angreifer hätte sich im nächsten Schritt eine Shell im Netzwerk verschaffen können, die Anmeldeinformationen aufzählt und auswertet. Im Anschluss hätte er sich seitlich im Netzwerk bewegen können, um zwischen den Rechnern zu wechseln und weitere Informationen in der Umgebung zu finden. Hier käme ein Tool zum Einsatz, eine von Windows signierte Binärdatei namens PsExec.exe, die aus der Microsoft Sysinternal Suite stammt und es dem Benutzer ermöglicht, die PowerShell (oder cmd) auf entfernten Hosts an Port 445 (SMB) über benannte Leitungen auszuführen. Es stellt zunächst eine Verbindung zur ADMIN$-Freigabe auf dem Ziel über SMB her, lädt PSEXESVC.EXE hoch und verwendet den Service Control Manager, um die .exe zu starten, die eine benannte Pipe auf dem Remote-System erstellt und schließlich diese Pipe für I\O (Input und Output) verwendet.

Unsere Handlungsempfehlungen:

- Um zu verhindern, dass Windows 10 administrative Freigaben veröffentlicht werden, müssen Sie den Registrierungseditor (exe) öffnen, zum Registrierungsschlüssel HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters wechseln und einen Dword-Parameter namens AutoShareWks hinzufügen(für Desktop-Versionen von Windows ) oder AutoShareServer (für Windows Server) und den Wert auf 0 setzen.

- Administratorfreigaben sollten entfernt werden. Hierfür müssen Sie mit der rechten Maustaste auf den Freigabenamen im Computerverwaltungs-Snap-In klicken und Freigabebeenden auswählen (oder den net share Admin$ /delete-Befehl verwenden). Nach dem Neustart von Windows wird die Admin$-Freigabe jedoch automatisch neu erstellt.

-Einige Telemetriemuster, die zur Erkennung von Administratorfreigaben beitragen können, umfassen die Verwendung von cmd.exe mit den Namen von Freigaben wie localhost\ADMIN$ oder 127.0.0.1\ADMIN$.

Hackergruppe Hafnium auf dem Vormarsch

Hackergruppe Hafnium auf dem Vormarsch

Kürzlich haben wir bei einem unserer Kunden einen neuartigen Angriff von der aus China operierenden Hackergruppe Hafnium detektiertdie kritische Schwachstellen in bereits gepatchten Exchange-Servern ausnutzt. In diesem Artikel gehen wir näher auf diesen Vorfall, ein und erklären, warum erhöhte Vorsicht bei der Nutzung von Exchange-Servern geboten ist.

BSI-Lagebericht

Der beschriebene Angriff ist vermutlich auf die Ausnutzung der Schwachstelle CVE-2021-26858 zurückzuführen. Auch im aktualisierten  BSI-Lagebericht wird diese Art von Angriff aufgegriffen. Bereits im März 2021  wurde auf 98 % aller geprüften Systeme eine gravierende Schwachstelle in Microsoft-Exchange Produkten festgestellt. Aufgrund der hohen Verbreitung angreifbarer Server und der leichten Ausnutzbarkeit mittels Exploit-Kits wurde die Lage als extrem kritisch eingestuft.

Unsere Analyse

Unsere tiefgreifende Analyse sämtlicher ausgelösten CSOC-Regeln und der Syslog-Daten hat im beschriebenen Fall gezeigt, dass sich ein Angreifer über den Web-Service des Microsoft Exchange-Servers unerlaubten Zugriff zum Host verschafft und den Exchange-Server durch verschiedene Ausführungen von Code erfolgreich angegriffen bzw. kompromittiert hatte. Der Angreifer verschaffte sich möglicherweise durch Modifizierung der Firewalls einen Remote-Desktop Zugang. Die ausgenutzten Schwachstellen ermöglichten die beliebige Ausführung von Skripten unter dem Benutzer „NT-AUTORITÄT\\SYSTEM“. Dieser Benutzer besitzt die höchste Berechtigungsstufe unter Microsoft Windows. Dadurch ist eine systemweite Kompromittierung möglich. Da sich der Angreifer möglicherweise einen Account in der lokalen Gruppe verschafft hatte, konnte dieser damit vermehrte Rechte erlangen. Durch einen Dump hatte der Angreifer möglicherweise Zugang zu Passwörtern wie z. B. Administrationspasswörtern. Zuletzt wurde ein Exchange Skript verwendet, um alle Kontakte aus dem Exchange-Server auszulesen. Ab hier wurde der Server frühzeitig vom Netzwerk getrennt, sodass eine Ausbreitung im Kundennetzwerk verhindert werden konnte.

Unsere Handlungsempfehlungen:

-Die IT-Infrastruktur sollte aktiv gemonitort werden, da gepatchte Systeme dennoch weitere bisher unentdeckte Schwachstellen aufweisen können.

-Nutzen Sie die von Microsoft bereitgestellten zusätzlichen Updates für ältere Versionsstände.

-Nutzen Sie die von Microsoft bereitgestellten Skripte zur Mitigation und Prüfung auf evtl. bereits erfolgte Kompromittierungen.

Im Falle einer Kompromittierung:

-Wir empfehlen den Exchange-Server vom Netzwerk zu trennen und neu zu installieren.

-Es sollte ein vollständiger Virenschutz-Scan durchgeführt werden.

-Es sollten alle Passwörter erneuert werden, mindestens die der Administratoren, da die Angreifer bei dieser Angriffsart einen Speicherauszug des LSASS-Prozesses anfertigen.

CSOC-Inside 28.10.2021 – Ein Rückblick

CSOC-Inside am 28.10.2021 – Austausch, Weiterentwicklung und Fortsetzung

CSOC-Inside am 28.10.2021 – Austausch, Weiterentwicklung und Fortsetzung

Vergangenen Donnerstag fand erstmalig die Veranstaltung „CSOC-Inside“ in unseren Räumlichkeiten in Bornheim statt, bei der alle Kunden und Interessierten eingeladen waren, das SOCaaS „hautnah“ zu erleben, sich auszutauschen und Neuigkeiten rund um das SOC zu erfahren.

Nach einleitenden Worten gaben die beiden Geschäftsführer Joerg Lammerich und Stefan Möller einen kurzen Überblick über das vergangene Jahr und die neusten Entwicklungen. Sie erläuterten zudem noch einmal die Gründung der Certified Security Operations Center GmbH als Joint-Venture der TÜV TRUST IT GmbH Unternehmensgruppe TÜV AUSTRIA und der dhpg IT-Services.

Im Anschluss teilten sich die Teilnehmer in zwei Workshops auf, um aktiv an der Weiterentwicklung unseres SOCaaS mitzuarbeiten. Schwerpunktthemen waren „24/7 Leitstelle Service Erwartung“ und „OT-Security“. Im intensiven Austausch wurden hier viele interessante Ideen und Ansätze herausgearbeitet, wie das SOC in Zukunft noch besser die Anforderungen unserer Kunden erfüllen kann.

Nach den Workshops folgte das Highlight des Tages: Die Führung durch unsere Leitstelle. In Kleingruppen konnten sich die Teilnehmer ein Bild von unserer Leitstelle machen, sich Ihre Event-Daten live anschauen und sich mit unseren Security Analysten dazu austauschen.

Zum Abschluss der Veranstaltung ließen die Teilnehmer den Tag mit einem Grillbuffet ausklingen. Es blieb Zeit, um weitere Fragen zu stellen, sich mit anderen Teilnehmern auszutauschen und ein Feedback zur Veranstaltung zu geben. Das gesamte Team freute sich sehr über viele positive Rückmeldungen. Darunter auch das Interesse an einer Wiederholung der Veranstaltung. – Gerne erfüllen wir diesen Wunsch und planen das „CSOC-Inside“ nun regelmäßig als Vor-Ort Veranstaltung in Bornheim.

Über den nächsten Termin informieren wir Sie rechtzeitig hier auf unserer Website und auf unseren Social Media Kanälen.

 

 

Webserver häufig via SQL-Injektion kompromittiert

Webserver häufig via SQL-Injektion kompromittiert

Webserver häufig via SQL-Injektion kompromittiert

Regelmäßig erfasst unsere Leitstelle bei unseren Kunden ungewöhnlichen SQL-Verkehr. Oftmals ergibt eine anschließende Analyse im „SIEM“, dass der jeweilige Webserver des Kunden durch Cyberkriminelle unter Anwendung der SQL-Injektion-Technik attackiert wurde.

Doch was genau verbirgt sich hinter einer SQL-Injektion und wie kann man sich davor schützen? SQL-Injektion ist eine Technik, die auf die Zerstörung von Datenbanken abzielt. Es handelt sich um eine der häufigsten Web-Hacking-Techniken, die eine Reihe von SQL-Befehlen verwendet, die in eine URL-Zeichenfolge oder in Datenstrukturen eingefügt werden, um eine gewünschte Antwort von den mit den Webanwendungen verbundenen Datenbanken abzurufen. Diese Art von Angriffen finden im Allgemeinen auf Webseiten statt, die mit PHP oder ASP.NET entwickelt wurden.

In einigen Fällen kann ein Angreifer einen SQL-Injektion-Angriff ausweiten, um den zugrundeliegenden Server oder eine andere Back-End-Infrastruktur zu kompromittieren oder einen Denial-of-Service-Angriff durchzuführen. Datenbanken sollten daher so gut wie nie direkt dem Internet ausgesetzt sein, da sie häufig Ziel von Angreifern sind, um einen ersten Zugang zu Netzwerkressourcen zu erhalten.

Um Ihre Webanwendungen vor SQL-Injektion-Angriffen zu schützen, sollten Sie folgende Punkte beachten:

- Ungeprüfte Benutzereingaben in die Datenbank sollten die Anwendungs-GUI nicht passieren.

- Jede Variable, die in die Anwendung gelangt, sollte bereinigt und validiert werden.

- Die Benutzereingabe, die an die Datenbank übergeben wird, sollte in Anführungszeichen gesetzt werden.

- Der einfachste Weg, um festzustellen, ob eine Webanwendung für eine SQL-Injektion anfällig ist, ist die Verwendung des Zeichens " ‘ " in einer Zeichenkette, um zu prüfen, ob ein Fehler auftritt.