IT-Sec Jahresrückblick 2021 – Teil 3
„Der übliche Verdächtige“
Auch in 2021 hatte Microsoft, allen Bemühungen zum Trotz, ein paar ordentliche Sicherheitslücken zu bieten. Nachhaltig im Gedächtnis wird mir „Hafnium“ bleiben. Sowohl weil das Zeitfenster zwischen Alarm, Patchverfügbarkeit und Angriff wirklich kurz war, als auch weil einige unserer Kund*innen direkt Post vom Bundesamt für Informationssicherheit bekamen.
Hafnium
Quelle: unlimphotos.com
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte das zweite Mal in seiner Geschichte die Stufe 4 einer IT-Bedrohungslage vergeben(4 = Rot) und warnte aufgrund mehrerer als kritisch eingestufter Schwachstellen in Microsofts Exchange-Server vor einem IT-Security-Fiasko. Angesichts der erhöhten Gefahr wurden zu dem potenziell Betroffene sogar direkt postalisch informiert. Leider waren viele IT-Dienstleiser und betroffene Unternehmen nicht schnell und nicht gründlich genug. Nun, eine Warnung per Briefpost bricht ja auch keine Geschwindigkeitsrekorde. Die Angriffswelle erfolgte prompt. Nach Veröffentlichung der Sicherheitslücke verstärkte sich die Intensität der Angriffe exponentiell. Das erfolgreiche Einspielen der Updates bedeutete dabei nur, dass die Systeme über die Hafnium-Schwachstellen nicht mehr angreifbar waren. Jede Organisation, die einen über das Internet erreichbaren Exchange Server betrieben hatte, musste von einer potentiellen Kompromittierung ausgehen. Der Exchange Server von procado war glücklicherweise nicht betroffen, doch hatten auch wir in der Folge einige Kundensysteme aufzuräumen. Es zeigte sich, dass die bisher gelebten Updatezyklen nicht mehr zeitgemäß sind und auch die Systemüberwachung den Bereich der IT-Sicherheit noch besser abbilden muss.
ProxyLogOn und ProxyShell
ProxyLogon und ProxyShell beziehen sich auf eine Reihe von Fehlern in Microsoft Exchange-Servern, die es einem Angreifer ermöglichen, seine Rechte zu erhöhen. Wodurch er effektiv die Kontrolle über die anfälligen Server übernehmen könnte. Während die ProxyLogon-Schwachstellen im März behoben wurden, wurden die ProxyShell-Fehler in einer Reihe von Updates gepatcht, die im Mai und Juli veröffentlicht wurden. Auch hier zeigt sich der erhöhte Druck auf Administratoren und IT Dienstleister, die von den Herstellern (es betrifft nicht nur Microsoft) bereitgestellten Updates schnell zu installieren. Für eigene Tests bleibt kein Raum mehr. Zwar entstehen dadurch andere Risiken – z.B. durch fehlerhafte Updates – aber hier wird man Kompromisse eingehen müssen.
Quelle:
https://sensorstechforum.com/de/hackers-proxyshell-vulnerabilities-cve-2021-34473/
PrintNightmare
Ende Juni berichteten Sicherheitsforscher über eine Schwachstelle im Druckerspooler (auf Englisch Print Spooler) in Windows, die sie PrintNightmare nannten. Die Schwachstelle sollte durch einen, am folgenden Patch-Day veröffentlichten, Patch geschlossen werden – Das war auch der Fall, allerdings gab es eine zweite Sicherheitslücke, die leider ungeschlossen blieb. Die Ausnutzung der Schwachstellen ermöglicht es Angreifern, die vollständige Kontrolle über die anfälligen Systeme zu erlangen und ist deshalb so brisant, weil der Druckspoolerdienst in allen Windows-Systemen standardmäßig aktiviert ist.
Es wurde empfohlen, den Druckerspooler zu deaktivieren, wenn die Funktion auf dem entsprechenden Computer nicht verwendet wird. Mit der Aussage, dass insbesondere Domänencontroller in der Regel ja nicht zum Drucken verwendet werden. Nun, das mag auf „großen“ Infrastrukturen wohl zutreffen, bei den von procado betreuten Systemen war das nicht immer ganz so einfach.
Quelle:
https://securelist.com/quick-look-at-cve-2021-1675-cve-2021-34527-aka-printnightmare/103123/
https://www.security-insider.de/der-printnightmare-geht-weiter-a-1039816/
https://www.security-insider.de/wichtiges-update-fuer-printnightmare-a-1046918/
