Sicherheitsforscher nutzen Windows-Fernzugriff um sensible Dateien zu modifizieren und Web-Server zu übernehmen

[datensicherheit.de, 16.05.2020] Das Check Point Research Team von Check Point® Software Technologies Ltd. war einer bekannten – und dennoch offenen – Sicherheitslücke in Microsofts Fernzugriff für Windows-Betriebssysteme auf der Spur, als es auf eine wesentlich gefährlichere Schwachstelle stieß: Path-Traversal-Attacks.

Zugriff auf das gesamte System möglich

Den Sicherheitsforschern gelang es, die Anwendung eines Ziel-Servers auszutricksen und sich Zugriff auf das gesamte System zu verschaffen. Sie schickten eine Datei an ein beliebiges Programm, deren Name nicht verifiziert werden konnte. Statt die Datei abzulehnen, weil sie nicht in den Standard-Ordner gespeichert werden kann, gewährte das System den Angreifern nun, ihre Datei über den Explorer in einem Ordner ihrer Wahl zu speichern. So können die Cyber-Kriminellen sämtliche Ordner durchsuchen und äußerst sensible Dateien lesen oder sogar extrahieren, darunter: Informationen über Programme, Datenbanken, Passwörter, oder den Quell-Code einer Anwendung. Am schwersten aber wiegt, dass die Akteure in die Lage versetzt werden, Befehle auf dem Web-Server auszuführen, die im schlimmsten Fall den gesamten Server kompromittieren.

Schwachstelle bereits auf der Black-Hat-Conference 2019 vorgestellt

Die ursprüngliche Sicherheitslücke im RDP stellte Check Point bereits im August 2019 auf der Black-Hat-Conference vor. Microsoft veröffentlichte umgehend einen Patch (CVE-2019-0887). Jedoch fanden die Sicherheitsforscher bereits im Oktober 2019 heraus, dass der Patch selbst einige Lücken aufwies, die es ermöglichten, den installierten Patch zu umgehen und die alte Schwachstelle wieder zu öffnen. Das Ergebnis der Untersuchung war, dass Microsoft zum Schließen dieses Einfallstors die API-Funktion ‚PatchCchCanonicalize‘ nutzt, welche den Sicherheitsforschern zufolge also nicht fehlerfrei sein konnte. Im Februar 2020 schloß Micrsoft, nach dem Hinweis von Check Point, die Lücke im Fernzugriff erneut mit einem Patch (CVE 2020-0655). Damit ist zwar das RDP nun korrekt gesichert, jedoch natürlich nicht all die anderen Programme, die mit der API-Funktion ‚PatchCchCanonicalize‘ ausgestattet sind.

Christine Schönig, Check Point Software, Foto: Check Point Software Technologies

Christine Schönig, Regional Director Security Engineering CER, Office of the CTO bei Check Point Software Technologies, erklärt: „Unsere Entdeckung sollte in zwei Teilen betrachtet werden. Der erste Teil besteht daraus, dass IT-Abteilungen großer Unternehmen, die Windows verwenden, dringend Microsofts ‚Februar-Patch (CVE 2020-0655)‘ installieren müssen. Es gilt sicherzustellen, dass deren RDP-Client vor dem Angriff geschützt ist, den wir auf der BlackHat USA 2019 vorgestellt haben.

Der zweite Teil richtet sich an Software-Entwickler und Sicherheitsforscher weltweit: die Schwachstelle selbst ist in der offiziellen API noch nicht behoben. Daher sind alle Software-Programme, die nach Microsofts ‚Best Practices‘ geschrieben werden, weiterhin für einen Path-Traversal-Angriff anfällig. Software-Entwickler müssen sich dieser Bedrohung bewusst sein und dafür sorgen, dass ihre eigenen Software-Programme manuell gepatcht werden.“

Weitere Informationen zum Thema:

Check Point Research
Reverse RDP – The Path Not Taken

datensicherheit.de, 06.05.2020
Tenable: Diese Schwachstellen bedrohen mobiles Arbeiten derzeit besonders stark

datensicherheit.de, 10.04.2020
SANS Institute: Anstieg bei Angriffen auf das Remote Desktop Protocol

Zuwachs von 30 Prozent festgestellt / Die Ergebnisse deuten auf ein Risiko für Unternehmen hin, die während des COVID-19-Ausbruchs schnell Telearbeit per RDP ermöglicht haben

[datensicherheit.de, 10.04.2020] Das SANS Institute, Anbieter von Cybersicherheitsschulungen und -zertifizierungen, konnte über die eigenen Systeme einen Anstieg von Angriffen auf RDP entdecken. Die Suchmaschine Shodan zeigt gleichzeitig eine Zunahme von exponierten RDP-Servern im Monat März.

Ergebnisse für März besorgniserregend

Die Ergebnisse für März sind besorgniserregend, da sie auch mit der massiven Zunahme von Unternehmen weltweit zusammenfallen, die ihre Mitarbeiter ins Home-Office geschickt haben. Aufgrund der raschen Ausbreitung von COVID-19 mussten sie ihre Büros schließen und ihren Mitarbeitern die Möglichkeit geben, von zu Hause aus zu arbeiten. Nur so konnten sie die Beschränkungen der sozialen Distanzierung einzuhalten. Es ist zu befürchten, dass einige Unternehmen und Behörden RDP eingeführt und damit vertrauliche Systeme dem öffentlichen Internet ausgesetzt haben, ohne diese abzusichern.

Bild: SANS Technology Institute

Dr. Johannes Ullrich, SANS Fellow und Dean of Research beim SANS Technology Institute

Dr. Johannes Ullrich, SANS Fellow und Dean of Research beim SANS Technology Institute, berichtet: „Die Anzahl der Quell-IP-Adressen, die von Angreifern verwendet werden, um das Internet nach RDP zu durchsuchen, stieg im März um etwa 30 Prozent. Das ist eine Erhöhung von durchschnittlich 2.600 angreifenden IP-Adressen auf etwa 3.540 pro Tag in den absoluten Zahlen. RDP ist kein Protokoll, das robust genug ist, um dem Internet ausgesetzt zu werden. Infolgedessen sehen wir jetzt Angreifer, die aktiv mit schwachen Zugangsdaten handeln, die sie für diese RDP-Server identifiziert haben. Ein kompromittierter RDP-Server kann zu einer vollständigen Kompromittierung des exponierten Systems führen und wird wahrscheinlich dazu benutzt werden, weitere Systeme innerhalb des Netzwerks anzugreifen und auszunutzen.“

Das Remote Desktop Protocol (RDP) ist ein von Microsoft entwickeltes Protokoll, welches Benutzern eine grafische Oberfläche bietet, um über eine Netzwerkverbindung eine Verbindung zu einem anderen Computer herzustellen. Es ist eine kostengünstige und einfache Möglichkeit für Unternehmen, Mitarbeitern das Arbeiten aus der Ferne zu ermöglichen. Der Benutzer verwendet zu diesem Zweck RDP-Client-Software, während auf dem anderen Computer RDP-Server-Software ausgeführt werden muss.

Zugriff nach Möglichkeit nur über VPN

Unternehmen, die RDP implementiert haben, rät Ullrich: „Verwenden Sie eindeutige, lange und zufällige Kennwörter, um Ihre RDP-Server zu sichern, und bieten Sie nach Möglichkeit nur Zugriff über ein VPN. Microsoft bietet auch RDP-Gateways an, mit dem sich starke Authentifizierungsrichtlinien implementieren lassen. Sie können versuchen, den Zugriff auf RDP von bestimmten IP-Adressen aus einzuschränken, wenn Sie im Moment nicht in der Lage sind, ein VPN zu implementieren. Dies kann jedoch schwierig sein, wenn Ihre Administratoren derzeit von zu Hause aus mit dynamischen IP-Adressen arbeiten.“

„Eine andere Möglichkeit ist die Verwendung eines Cloud-Servers als Ausgangsbasis“, führt Ullrich aus. „Stellen Sie den Cloud-Server auf eine Whitelist und verwenden Sie sichere Protokolle wie SSH, um sich mit dem Cloud-Server zu verbinden. Diese Technik kann als Schnelllösung funktionieren, wenn Sie keine Ausfallzeiten riskieren wollen, während alle Mitarbeiter aus der Ferne arbeiten. Viele Organisationen sind derzeit nicht bereit, einen Verlust des Zugangs zu geschäftskritischen Systemen zu riskieren. Die Änderung von Fernzugriffs- und Firewall-Regeln kann zu einem Verlust des Zugriffs führen, der in einigen Fällen nur durch Personal vor Ort wiederhergestellt werden kann.“

SANS hat erkannt, dass das Coronavirus Unternehmen und Behörden auf der ganzen Welt dazu veranlasst hat, ihre Belegschaft vom Büro ins Home-Office zu schicken. Allerdings fehlen vielen Organisationen die Richtlinien, Ressourcen oder Schulungen, um ihre Mitarbeiter in die Lage zu versetzen, dies sicher zu tun. Aus diesem Grund bietet die Organisation seit dem 16. März das Deployment Kit „Securely Working from Home“ kostenlos an. Das Kit bietet Unternehmen eine Schritt-für-Schritt-Anleitung, wie sie schnell ein Schulungsprogramm für ihre Mitarbeiter an entfernten Standorten einrichten können. Alle Schulungsmaterialien und -ressourcen, die zur Absicherung einer mehrsprachigen Remote-Belegschaft erforderlich sind, sind in dem Kit enthalten.

Weitere Informationen zum Thema:

datensicherheit.de, 17.03.2020
COVID-19: Pandemie erzwingt Arbeit im Home-Office

datensicherheit.de, 12.02.2020
Corona-Virus: Gefährliche E-Mails virulent

datensicherheit.de, 19.02.2020
SANS Institute: Cloud-Nutzung treibt die Ausgaben für Cybersicherheit

Windows-RDP-Schwachstelle BlueKeep hält IT-Sicherheit in Atem

[datensicherheit.de, 15.06.2019] Check Point Research, die Threat Intelligence-Abteilung von Check Point® Software Technologies Ltd, hat seinen neuesten Global Threat Index für Mai 2019 veröffentlicht. Das Sicherheitsforschungs-Team mahnt Unternehmen, alle Systeme zu überprüfen und zu aktualisieren, die für den Microsoft RDP-Fehler „BlueKeep“ (CVE-2019-0708) unter Windows 7 und Windows Server 2008-Maschinen anfällig sind. Nur so können sie verhindern, dass der Fehler für Ransomware- und Kryptomining-Angriffe missbraucht wird.

BlueKeep-Schwachstelle betrifft fast eine Million Maschinen

Die BlueKeep-Schwachstelle betrifft fast eine Million Maschinen, die am öffentlichen Internet hängen, darunter innerhalb der Netzwerke von Unternehmen. Die Schwachstelle gilt als kritisch, da sie keine Benutzer-Interaktion erfordert, um ausgenutzt zu werden. Das Remote Desktop Protocol (RDP) ist bereits ein etablierter, beliebter Angriffsvektor, der zur Installation von Ransomware wie SamSam und Dharma verwendet wurde. Das Check Point Research-Team sieht derzeit viele Scannings, die aus mehreren Ländern stammen, Systeme auf die offene Lücke überprüfen und die erste Aufklärung vor einem Angriff sein könnten. Um dem entgegen zu wirken, bietet Check Point gegen diesen Angriff sowohl Netzwerk- als auch Endpunkt-Schutz, neben den relevanten Microsoft-Patches.

© Check Point

Maya Horowitz, Threat Intelligence and Research Director bei Check Point

Maya Horowitz, Threat Intelligence and Research Director bei Check Point erklärt: „Die größte Bedrohung, die wir in den letzten Monaten gesehen haben, ist BlueKeep. Obwohl noch keine Angriffe zu beobachten sind, wurden mehrere, öffentliche Proof-of-Concept-Exploits entwickelt. Wir stimmen mit Microsoft und anderen Beobachtern der Branche überein, dass BlueKeep verwendet werden könnte, um Angriffe in ähnlichem Umfang der massiven WannaCry- und NotPetya-Kampagnen aus dem Jahr 2017 zu starten. Ein einzelner Computer mit diesem Fehler kann verwendet werden, um als bösartiger Ausgangspunkt zu dienen, von dem ausgehend ein ganzes Netzwerk infiziert wird. Danach können alle infizierten Computer mit Internetzugang andere anfällige Geräte auf der ganzen Welt über das Internet infizieren – so kann sich der Schädling exponentiell und unaufhaltsam ausbreiten. Daher ist es wichtig, dass Unternehmen sich selbst – und damit auch andere – schützen und den Fehler jetzt reparieren, bevor es zu spät ist.“

Die Ratschläge der Sicherheitsforscher sollten auch angesichts der drei verbreitetsten Schädlinge in Deutschland im Monat Mai befolgt werden. Emotet, der unangefochtene König, dient seit Monaten dazu, als Vorhut in Systeme eingeschleust zu werden, um dann eine Hintertür für andere Schadprogramme zu öffnen. Auf Platz zwei findet sich mit Ramnit als Neuling ein Wurm ein, der ebenfalls als Hintertür fungieren kann und sich über FTP-Server oder Wechseldatenträger verbreitet. Als drittes Programm kehrt Lokibot in die Bestenliste zurück, das auf den Diebstahl von Informationen spezialisiert ist, wie E-Mail-Konten und Passwörter. Für alle drei ist die offenliegende Schwachstelle im RDP-Service ein gefundenes Fressen.

Die Top 3 ‘Most Wanted’ Malware im Mai 2019:

* Die Pfeile beziehen sich auf die Änderung der Platzierung gegenüber dem Vormonat.

• Emotet – Emotet ist ein fortschrittlicher, sich selbst verbreitender und modularer Trojaner. Emotet wurde früher als Banking-Trojaner eingesetzt, aber dient derzeit als Verbreiter anderer Schadprogramme oder ganzer Kampagnen. Er nutzt verschiedene Methoden, um betriebsbereit zu bleiben und kennt Ausweichtechniken, um einer Entdeckung zu entgehen. Zusätzlich kann er durch Phishing-E-Mails verbreitet werden, die schädliche Anhänge oder Links enthalten.
• ↑ Ramnit – Ramnit ist ein Wurm, der hauptsächlich über Wechseldatenträger und infizierte Dateien, die auf öffentliche FTP-Server hochgeladen wurden, verbreitet wird. Die Malware erstellt eine Kopie von sich selbst, um Wechseldatenträger und Festplatten zu infizieren. Ramnit fungiert auch als Hintertür.
• ↑ Lokibot – Lokibot ist ein Info Stealer, der hauptsächlich über Phishing-E-Mails vertrieben wird und Daten wie E-Mail-Konten, Passwörter für CryptoCoin-Wallets und FTP-Server, ausliest.

Die Sicherheitsforscher von Check Point analysierten auch die am häufigsten ausgenutzten Cyber-Schwachstellen. OpenSSL TLS DTLS Heartbeat Information Disclosure Exploits liegt vorne mit einer globalen Auswirkung auf 44 Prozent der Unternehmen. Zum ersten Mal nach 12 Monaten fiel Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) vom ersten Platz ab, betraf aber stattliche 40 Prozent der Unternehmen, gefolgt vom Neuling Apache Struts2 Content-Type Remote Code Execution (CVE-2017-5638) mit einem globalen Einfluss von 38 Prozent der Unternehmen auf der ganzen Welt.

Die Top 3 ‘Most Exploited’ Schwachstellen im Mai 2019:

Im Mai erlebten wir eine Auferstehung der traditionellen Angriffstechniken (wahrscheinlich verursacht durch die sinkende Rentabilität von Kryptominern), wobei SQL Injections-Techniken mit einem globalen Einfluss von 49 Prozent die Liste der Schwachstellen anführen. Web Server Exposed Git Repository Information Disclosure und OpenSSL TLS DTLS Heartbeat Information Disclosure belegten die Plätze zwei und drei. Sie betrafen 44 Prozent und 41 Prozent der Unternehmen auf der Welt.

• ↑  SQL Injection (verschiedene Techniken) – Einfügen einer SQL-Abfrage in die Eingabe vom Client zur Anwendung, während eine Schwachstelle in der Software einer Anwendung ausgenutzt wird.
• ↑ Web Server Exposed Git Repository Information Disclosure – Eine Schwachstelle zur Offenlegung von Kontoinformationen wurde im Web Server Exposed Git Repository gemeldet. Der Verlust sensibler Daten geht mit einer erfolgreichen Ausnutzung der Lücke einher.
• ↓  OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Eine Schwachstelle zur Offenlegung von Informationen, die in OpenSSL aufgrund eines Fehlers beim Umgang mit TLS/DTLS-Heartbeat-Paketen besteht. Ein Angreifer kann diese Schwachstelle nutzen, um Speicherinhalte eines verbundenen Clients oder Servers offenzulegen.

Der Global Threat Impact Index und die ThreatCloud Map von Check Point basieren auf der ThreatCloud Intelligence von Check Point, dem größten gemeinschaftlichen Netzwerk zur Bekämpfung der Cyber-Kriminalität, das Bedrohungsdaten und Angriffstrends aus einem globalen Netzwerk von Bedrohungssensoren liefert. Die ThreatCloud-Datenbank enthält über 250 Millionen für die Bot-Erkennung analysierte Adressen, mehr als 11 Millionen Malware-Signaturen und über 5,5 Millionen infizierte Websites. Außerdem identifiziert es täglich mehrere Millionen von Malware-Typen.

Weitere Informationen zum Thema:

Check Point Blog
May 2019’s Most Wanted Malware: Patch Now to Avoid the BlueKeep Blues

datensicherheit.de, 14.05.2019
Trickbot: Cyber-Kriminelle setzen auf bewährten Banking-Trojaner

datensicherheit.de, 24.04.2019
Ransomware: BSI warnt vor gezielten Angriffen auf Unternehmen

datensicherheit.de, 18.03.2019
PSW GROUP warnt: Trojaner Emotet gefährlicher denn je

datensicherheit.de, 15.01.2019
Checkpoint stellt die ‘Most Wanted‘-Malware des Monats Dezember 2018 vor

datensicherheit.de, 23.09.2018
Top-Malware im August 2018: Anstieg von Angriffen durch Banking-Trojaner

[datensicherheit.de, 15.06.2016] Nach aktuellen Erkenntnissen von KASPERSKY lab exitiert ein internationales Forum, über das Cyber-Kriminelle den Zugriff auf kompromittierte Server für nur sechs US-Dollar kaufen und verkaufen. Der Untergrundmarktplatz „xDedic“ werde mutmaßlich von einer russischsprachigen Gruppe betrieben und umfasse derzeit mehr als 70.000 gehackte Server weltweit mit Remote Desktop Protocol (RDP).

Staatliche Organisationen, Unternehmen und Universitäten im Fokus

Viele der betroffenen Server hosten oder bieten demnach Zugang zu beliebten Webseiten und Diensten. Auf einigen finde sich Software für E-Mail-Versand, Finanzbuchhaltung oder Bezahlvorgänge.
Unter den ahnungslosen rechtmäßigen Inhabern der Server befänden sich auch staatliche Organisationen, Unternehmen und Universitäten. Mit Hilfe von „xDedic“ nutzten Cyber-Kriminelle deren IT-Infrastruktur unbemerkt für eigene Attacken.

Viele neue Dienstleistungen im Bereich Cyber-Kriminalität

Die Plattform „xDedic“ ist laut KASPERSKY lab ein „sehr gutes Beispiel“ für die vielen neuen Dienstleistungen im Bereich Cyber-Kriminalität. Der Marktplatz sei gut organisiert und biete einen schnellen, billigen, einfachen und heimlichen Zugang, der von Anfängern ebenso wie von erfahrenen APT-Gruppen (APT: Advanced Persistent Threat) genutzt werde.
Für nur sechs US-Dollar pro Server biete „xDedic“ den Forumsmitgliedern Zugriff auf alle Serverdaten und ermögliche darüber hinaus die Nutzung für weitere Cyber-Angriffe wie zielgerichtete Attacken, die Verbreitung von Malware, Distributed Denial of Services (DDoS), Phishing, Social Engineering oder Adware-Attacken.

Hinweis eines Internet-Service-Providers

Nach eigenen Angaben wurde KASPERSKY lab von einem europäischen Internet-Service-Provider (ISP) auf „xDedic“ aufmerksam gemacht. Beide Unternehmen hätten dann gemeinsam das ebenso einfache wie gründliche Vorgehen der Plattform unter die Lupe genommen: Nach ihren Erkenntnissen liefern Hacker Server-Zugangsdaten an „xDedic“, die sie oftmals mit Hilfe von Brute-Force-Angriffen erlangen konnten. Die Server würden dann unter anderem in Hinblick auf ihre RDP-Konfiguration, Speicherkapazität, installierte Software und den Browserverlauf geprüft und schließlich in das stetig wachsende Online-Verzeichnis von „xDedic“ aufgenommen. So könnten Kunden vor dem Kauf eines Accounts den für ihre Zwecke passenden Server auswählen.
Die Server würden von Regierungseinrichtungen, Unternehmen oder Universitäten betrieben, hätten Zugriff auf oder hosteten selbst Webseiten und Dienste aus den Bereichen Games, Wetten, Partnersuche, Online-Shopping, Online-Banking, Bezahlsysteme, Mobilfunknetze, ISP und Browser. Ferner besäßen diese vorinstallierte Software für E-Mail-Versand, Finanzbuchhaltung oder Bezahlvorgänge (PoS, Point of Sale), die für cyber-kriminelle Angriffe dienlich sei; zudem würden sie von etlichen Tools für Hacking und Systeminformation unterstützt.

Seit 2014 aktiv

Vermutlich sei die „xDedic“-Plattform bereits im Jahr 2014 am Markt aufgetreten. Seit 2015 erfreue sie sich immer größerer Beliebtheit, so dass dort aktuell (Stand Mai 2016) 416 unbekannte Anbieter den Zugriff auf 70.624 Server aus 173 Ländern anböten. Die Liste der Länder werde angeführt von Brasilien, China, Russland, Indien, Spanien, Italien, Frankreich, Australien, Südafrika und Malaysia.
„xDedic“ sei ein weiterer Beleg dafür, dass „Cybercrime-as-a-Service“-Modelle expandierten, so Costin Raiu, „Director Global Research and Analysis Team“ (GReAT) bei KASPERSKY lab. Damit habe jeder – vom Anfänger über ambitionierte Cyber-Kriminelle bis zu nationalstaatlich unterstützen Angreifern – eine „kostengünstige, schnelle und effektive Möglichkeit, potenziell verheerende Cyberangriffe durchzuführen“. Opfer seien dabei nicht nur die attackierten Einzelpersonen und Organisationen, sondern auch die Betreiber der für die Angriffe genutzten Server, erklärt Raiu. Diese hätten vermutlich keine Ahnung, dass die Server „direkt vor ihrer Nase immer wieder für verschiedene Cyberangriffe missbraucht“ würden.

Empfohlene Sicherheitsvorkehrungen

KASPERSKY lab rät allen Betreibern von Servern, wirksame Sicherheitslösungen zu installieren und so einen umfassenden und mehrschichtigen Schutz der kompletten IT-Infrastruktur zu etablieren. Für die Authentifizierung des Zugriffs auf die Server sollten starke Passwörter genutzt werden. Geraten wird ebenso, einen „permanenten Patch-Management-Prozess“ zu implementieren sowie regelmäßige Sicherheitsüberprüfungen der IT-Infrastruktur durchzuführen. Ferner sollte in ein Frühwarnsystem investiert werden, das drohende Gefahren erkennt und Einblicke in die kriminellen Aktivitäten bietet, um das jeweilige Risiko richtig einschätzen zu können.

Weitere Informationen zum Thema:

SECURELIST, 15.06.2016
xDedic – das dubiose Geschäft mit gehackten Servern