Kürzlich wurde ein Sicherheitsvorfall bekannt, bei dem das Wdigest-Protokoll in Windows-basierten Systemen eine Rolle spielte. Der Angreifer nutzte die potenziell gefährliche Funktion „UseLogonCredential“, um unautorisierten Zugriff auf sensible Informationen zu erlangen.
Das Wdigest-Protokoll ist eine veraltete Authentifizierungsmethode, die in älteren Versionen von Windows verwendet wurde. Es speichert Anmeldeinformationen wie Benutzernamen und Passwörter im Speicher des Systems. In einigen Fällen kann das Wdigest-Protokoll aktiviert sein und die Verwendung von „UseLogonCredential“ erlauben, was zu erheblichen Sicherheitsrisiken führt.
Vorgehensweise des Angreifers
In diesem Fall nutzte der Angreifer verschiedene Tools und Techniken, um die Sicherheitslücken im Wdigest-Protokoll und die Aktivierung von UseLogonCredential auszunutzen. Dazu gehörten:
Mimikatz: Mimikatz ist ein bekanntes Tool, das häufig von Angreifern eingesetzt wird, um Anmeldeinformationen aus dem Speicher von Windows-Systemen abzurufen. Es kann verwendet werden, um das Passwort eines angemeldeten Benutzers zu extrahieren und Zugriff auf das betroffene System zu erhalten.
PowerSploit: PowerSploit ist ein PowerShell-Framework, das verschiedene Exploits und Techniken für Penetrationstests und Angriffe bereitstellt. Einige Module in PowerSploit können speziell auf das Ausnutzen von Schwachstellen im Wdigest-Protokoll und der „UseLogonCredential“-Funktion ausgerichtet sein.
Credential-Dumping-Techniken: Der Angreifer könnte auch andere Credential-Dumping-Techniken verwendet haben, um Anmeldeinformationen aus dem System zu extrahieren. Dazu gehören beispielsweise das Auslesen von Passwort-Hashes oder das Extrahieren von gespeicherten Passwörtern aus dem Credential-Store des Betriebssystems.
Indem er das Passwort eines angemeldeten Benutzers extrahierte, konnte der Angreifer Zugriff auf das betroffene System und möglicherweise auf andere Ressourcen im Netzwerk erlangen. Dieses Vorgehen verdeutlicht die Bedeutung der richtigen Konfiguration von Sicherheitseinstellungen in Unternehmensnetzwerken.
Handlungsempfehlungen
Um Sicherheitslücken wie diese frühzeitig zu erkennen oder von vornherein auszuschließen, sollten Unternehmen folgende Maßnahmen ergreifen:
- Überprüfen der Wdigest-Einstellungen: Überprüfen Sie, ob das Wdigest-Protokoll aktiviert und die Funktion „UseLogonCredential“ deaktiviert ist. Dies kann durch das Bearbeiten der Registrierung oder die Verwendung von Gruppenrichtlinien erreicht werden.
- Aktualisierung und Patching: Halten Sie Ihre Systeme auf dem neuesten Stand und installieren Sie regelmäßig Sicherheitspatches und Updates. Denn aktualisierte Systeme bieten einen besseren Schutz gegen bekannte Sicherheitslücken und Schwachstellen.
- Implementierung von Sicherheitsrichtlinien: Implementieren Sie robuste Sicherheitsrichtlinien für die Verwaltung von Anmeldeinformationen. Dazu gehört die Verwendung von starken, regelmäßig geänderten Passwörtern sowie die Implementierung von Mehr-Faktor-Authentifizierung, um die Sicherheit von Konten zu erhöhen.
- Schulung der Mitarbeiter: Sensibilisieren und schulen Sie Ihre Mitarbeiter für die Bedeutung der sicheren Anmeldeinformationen und die Gefahren von unsicheren Authentifizierungsmethoden. Mitarbeiter sollten geschult werden, um verdächtige Aktivitäten zu erkennen und zu melden.
Die Deaktivierung von UseLogonCredential im Wdigest-Protokoll ist ein wichtiger Schritt, um die Sicherheit von Unternehmensnetzwerken zu verbessern. Unternehmen sollten sicherstellen, dass ihre Sicherheitseinstellungen und -richtlinien den aktuellen Best Practices entsprechen, um das Risiko von unautorisiertem Zugriff und Datenverlust zu minimieren.