Letzte Woche wurde bekannt, dass ein raffinierter Angreifer in das Netzwerk von FireEye eingedrungen ist und die Red-Team-Bewertungstools des Unternehmens gestohlen hat.Der Angriff steht Berichten zufolge in Verbindung mit einem größerenAngriff auf die Lieferketteder sich gegen Regierungs-, Beratungs-, Technologie- und Telekommunikationsunternehmen in Nordamerika, Europa, Asien und dem Nahen Osten richtete.
Um eine Vorstellung davon zu bekommen, wozu dieses gestohlene Toolset fähig ist, können Sie sich diePrioritätenliste der CVEs, die FireEye Unternehmen zur sofortigen Behebung empfiehlt-im Wesentlichen die Liste der bekannten Schwachstellen, die FireEye (und jetzt jeder Gegner mit seinen Tools) leicht ausnutzen kann. Die Liste zeigt, dass alles von Citrix über Terminaldienste, Microsoft Exchange, Windows-Endpunkte bis hin zu Microsoft Outlook gefährdet ist. Besonders besorgniserregend an der Spitze der Liste ist eine NETLOGON-Schwachstelle, die dazu führt, dass der Angreifer durch eine Eskalation der Privilegien in Microsoft Active Directory Zugriff auf den Domänenadministrator erhält. Sollte ein Angreifer diese spezielle Schwachstelle ausnutzen, könnten die erlangten Privilegien angesichts der Natur von Active Directory den Zugriff auf alles in Ihrem Netzwerk erleichtern.
Berichten zufolge kompromittierte der Angreifer neben anderen Zielen wie dem US-Finanzministerium und dem Handelsministerium auch FireEye mit "trojanisierten"Updates für SolarWinds, einem Technologieanbieter, der die Bundesregierung und Fortune-500-Unternehmen bei der Überwachung des Zustands ihrer IT-Netzwerke unterstützt. Die Updates verbreiteten Malware, die FireEye als SUNBURST bezeichnete. Dieser jüngste Angriff auf die Lieferkette hat die IT-Gemeinschaft aufgeschreckt, und das zu Recht, wenn man bedenkt, dass SolarWinds einen großen Kundenstamm hat.In SEC-Dokumenten, die am 14. Dezember eingereicht wurden,sagte SolarWindsdass 18.000 Kundendas mit Malware verseuchte Update installiert haben.Die Geschichte ist noch nicht abgeschlossen, und das Ausmaß des Schadens ist noch unbekannt.
In einemAl Jazeera-Interviewam selben Morgen verglich Richard Stiennon, Chief Research Analyst bei IT-Harvest, die Supply-Chain-Attacke mit NotPetya, das sich ebenfalls als legitimes Software-Update tarnte.NotPetya ist mit Abstand die bisher zerstörerischste Cyberattacke, die einen Schaden von$10 Milliarden Gesamtschadenim Jahr 2017 verursacht, wie das Weiße Haus mitteilte. Wie viele namhafte Unternehmen, die von NotPetya betroffen sind, hat auch die weltgrößte Reederei Maersk,über eine Woche damit verbrachtsein Active Directory manuell wiederherzustellen.
Active Directory ist im Fadenkreuz der Angreifer
Zunächst einmal ist sich die Branche einig, dass FireEye sehr gut auf den Vorfall reagiert hat, indem es sich äußerst transparent zu den gestohlenenRed Team-Toolsdie benutzerdefinierte Skripte, einige öffentlich verfügbare Hacking-Tools und einige selbst entwickelte Toolsets enthalten.
Laut FireEye gibt es in den Tools keine Zero-Day-Exploits, so dass für jede der genannten CVEs Patches verfügbar sind. Das ist jedoch keine Garantie dafür, dass jedes System, jede Anwendung und jede Plattform, die von der Liste betroffen sind, aktualisiert wurde. Nehmen Sie die Liste zur Kenntnis und stellen Sie sicher, dass Ihre Umgebung auf dem neuesten Stand ist.
Es gibt einige Lektionen, die man aus dieser Geschichte proaktiv lernen kann:
1. Cyberangriffe nutzen zunehmend Schwachstellen in der Lieferkette als effektive Methode zur Verbreitung von Malware, um weitreichende Auswirkungen zu erzielen.
2. Die Bösewichte gehen über die "Spray and Pray"-Kampagnen hinaus und beginnen, sehr gezielt vorzugehen. Sie greifen die Guten an und nutzen jegliches geistige Eigentum (in diesem Fall interne Hacking-Tools), um die Oberhand zu gewinnen.
3. Wenn ein Unternehmen wie FireEye, das sich ausschließlich auf Cybersicherheit spezialisiert hat, nicht völlig sicher vor Angriffen ist, ist es Ihr Unternehmen auch nicht.
4. Hochentwickelte automatisierte Tools können leicht in die Hände eines unerfahrenen Angreifers gelangen und ihn zu einem ebenso gefährlichen Gegner machen wie jemanden mit jahrelanger Red Team-Erfahrung.
5. Windows und Active Directory sind die Hauptziele moderner Cyberangriffe. Die zentralisierte Art des Zugriffs auf Benutzerkonten mit erhöhten Rechten macht Active Directory zum perfekten Ziel für Cyberangriffe. Daher müssen Unternehmen ein wachsames Auge auf Änderungen an Active Directory haben und sogar Maßnahmen ergreifen, um kontinuierlich nach Indikatoren für eine Gefährdung zu suchen, Änderungen zu verhindern, die den Zugriff auf andere Teile Ihrer Umgebung weiter erhöhen würden, und darauf vorbereitet sein, sich von Ransomware und anderen Angriffen auf die Datenintegrität zu erholen.
Der FireEye-Angriff stellt zwar keine neuen Tools oder Exploits dar, aber er zeigt, wie wichtig es ist, Ihre Umgebung gegen bekannte Schwachstellen zu patchen und welche entscheidende Rolle Active Directory bei den heutigen Cyberangriffen spielt.Als Torwächter für wichtige Anwendungen und Daten ist Active Directory zu einem Hauptziel für weit verbreitete Angriffe geworden, die in den letzten Jahren Unternehmen lahmgelegt haben.Wenn Sie verstehen, worauf sich die Bösewichte konzentrieren, sollten Sie Ihre Sicherheitsstrategie so anpassen, dass Sie Ihre Schutzmaßnahmen auf die Teile der Umgebung ausrichten, die für Angreifer wertvoll sind.
Angesichts des Ausmaßes des Supply-Chain-Angriffs auf SolarWinds und der darauf folgenden Angriffe auf Regierungsbehörden und hochrangige Unternehmen werden wir in den kommenden Tagen wahrscheinlich weitere Opfer sehen, die ihre Schwachstellen bekannt geben.Wenn Sie Fragen dazu haben, wie Sie Ihr Active Directory gegen die von FireEye veröffentlichte Liste von Sicherheitslücken oder andere Angriffe in freier Wildbahn schützen können, zögern Sie bitte nicht, sich mitzu kontaktieren.die Mitarbeiter von Semperis.