Die Citrix Sicherheitslücke CVE-2019-19781 ist bereits lange bekannt. Dennoch führt sie immer wieder zu Cyberangriffen. Da die erfolgreiche Ausnutzung dieser Lücke ein sehr ernstzunehmendes Risiko für die Datensicherheit darstellt und schnelle Maßnahmen erfordert, möchten wir heute wiederholt darauf eingehen, wie Angreifer vorgehen und wie Sie ihr Netzwerk vor möglichen Angriffen schützen können.
Ganz konkret möchten wir Ihnen heute von einem Vorfall aus unserer Leitstelle berichten: Hier ging die Meldung über ein „CreateMiniDump Hacktool“ ein und das weist darauf hin, dass ein Dump der lsass.exe-Prozessdatei in das temporäre Verzeichnis „C:\Users\username\AppData\Local\Temp\lsass.DMP“ erzeugt wurde.
Ungewöhnliche Aktivitäten
Nach der Dump-Erstellung wurden ungewöhnliche Aktivitäten beobachtet, darunter das Auslesen von Hashes mittels eines Python-Scripts, das mit einer Befehlszeile wie „„C:\programdata\Python38\python.exe“ .\Scripts\wmiexec.py -hashes“ gestartet wurde. Zudem wurden diverse Benutzer in die Active Directory-Domäne hinzugefügt. Ein Benutzer wird in die Active Directory-Domäne hinzugefügt, um ihm Zugang zu bestimmten Ressourcen und Diensten innerhalb des Netzwerks zu gewähren. Active Directory ist eine Verzeichnis- und Authentifizierungsdienst-Technologie, die von Microsoft entwickelt wurde. Es bietet eine zentrale Stelle zur Verwaltung von Benutzer- und Computerkonten, Gruppen, Rechten und Zugriffsberechtigungen. Indem ein Benutzer in die Active Directory-Domäne hinzugefügt wird, kann er beispielsweise auf bestimmte Dateien, Ordner, Anwendungen und Netzwerkdienste innerhalb des Netzwerks zugreifen.
Schutzmaßnahmen:
Wir informierten unseren Kunden umgehend telefonisch und empfahlen sofortige Maßnahmen, wie das Sperren und/oder Ausloggen des Benutzers durch einen Administrator sowie unmittelbare Schließung der Lücke durch Installation von Patches. Seitdem wurden keine weiteren Aktivitäten durch den Angreifer beobachtet.
Unsere Handlungsempfehlungen:
CVE-2019-19781 ermöglicht es Angreifern, auf sensibles Unternehmensdaten zuzugreifen, ohne eine gültige Authentifizierung vorweisen zu müssen. Sobald ein Angreifer erfolgreich in das System eingedrungen ist, kann er sensible Daten stehlen oder das System kompromittieren.
Um sich vor dieser Art von Bedrohungen zu schützen, empfehlen wir Unternehmen, ihre Netzwerke zu überwachen, um mögliche ungewöhnliche Aktivitäten frühzeitig zu erkennen, und sicherzustellen, dass alle Geräte mit den neuesten Sicherheitsupdates und Patches aktualisiert sind. Außerdem sollten starke Passwörter verwendet und regelmäßig Backups erstellt werden. Es ist wichtig, dass Unternehmen, die Citrix-Geräte verwenden und sicherstellen, dass ihre Geräte auf dem neuesten Stand sind. Des Weiteren ist die Installation regelmäßiger Patches und Updates, um ihre Systeme vor Angriffen zu schützen, ebenso wichtig.