Werden ungepatchte Schwachstellen zum Administratoren-Alptraum?

ProxyShell, PrintNightmare oder PetitPotam gönnen Systemadministratoren keine Pause. Dabei ist es oft nicht möglich, Schwachstellen sofort zu patchen. Yves Kraft erklärt, warum deshalb Logging und Monitoring in der Cyberabwehr immer wichtiger werden.

Autor Yves Kraft
Datum 23.09.2021
Lesezeit 4 Minuten

Schwachstellen mit abenteuerlich klingenden Bezeichnungen wie Hafnium, ProxyShell, PrintNightmare, HiveNightmare und PetitPotam hielten Systemadministratoren in den letzten Wochen und Monaten auf Trab – und das ausgerechnet während der Ferienzeit im Sommer.

Dies gibt Anlass zur Frage, ob Administratoren überhaupt Ferien machen dürfen? Denn die zeitnahe Installation der Patches erwies sich bei der ein oder anderen Schwachstelle als entscheidend wichtig. Zudem steht die nächste Welle an Ransomware-Attacken und Phishing-Kampagnen vermutlich schon kurz bevor. Heutzutage bleibt kaum Zeit durchzuatmen.

1 ProxyShell

Gleich drei CVE-Nummern gab es für die Probleme, die unter dem Namen «ProxyShell» in die Geschichte eingingen: CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207. Hier lautet die Devise: Möglichst schnell patchen! Die entsprechende Sicherheits-Updates von Microsoft  für den Exchange Server stehen seit April und Mai zur Verfügung.

2 PrintNightmare

Anfang Juli veröffentlichte Microsoft Informationen zu einer Schwachstelle namens PrintNightmare. Aufgrund einer Sicherheitslücke im Printer-Spooler-Service von Windows (Client und Server) konnten authentifizierte Angreifer Computer attackieren und Schadcode mit Systemrechten ausführen.

3 PetitPotam

Ein jüngst bekannt gewordener Angriff trägt die fantasievolle Bezeichnung PetitPotam. Der PetitPotam-Angriff erlaubt die Übernahme einer Windows-Domäne durch eine Schwachstelle in den Microsoft Active Directory Certificate Services (AD-CS) unter Verwendung der NTLM-Authentifizierung. Dabei ist es einem unauthentisierten Angreifer möglich, sich höchste Privilegien im Active Directory zu verschaffen.

4 HiveNightmare

Ebenso existiert mit HiveNightmare in Windows 10 ab der Version 1809 und in Windows 11 eine Schwachstelle, mit der es möglich ist, die Security Accounts Manager-Datenbank (SAM) eines verwundbaren Systems auszulesen.

Oft ist es nicht möglich, derartige Schwachstellen sofort zu patchen. Entweder weil es sich dabei um sogenannte Zero-Day-Schwachstellen handelt, das heisst, der Hersteller steht unter Zugzwang und muss möglichst schnell einen Patch für die bekanntgewordene Lücke bereitstellen, oder die Patch-Zyklen sind so gewählt, dass die Schwachstellen schon lange aktiv von Cyberkriminellen ausgenutzt werden, bevor die Lücke durch einen Patch geschlossen werden kann.

Wie die Beispiele oben zeigen, spielt die Erkennung von potenziellen Angriffen deshalb eine entscheidende Rolle. Stichworte wie Logging und Monitoring sind den Verantwortlichen dennoch oft fremd. Das MITRE ATT&CK Framework hilft Ihnen dabei, gängige Attacken der Cyberkriminellen zu kategorisieren, deren Schweregrad besser einzuschätzen und allfällige präventive Massnahmen umzusetzen.

Gerne empfehle ich Ihnen dazu auch meinen früheren Blogbeitrag: So hilft das MITRE ATT&CK Framework Unternehmen sicherer zu machen

Links & Quellen


Über den Autor

Yves Kraft

Nach seiner Lehre als Informatiker in der öffentlichen Verwaltung arbeitete Yves Kraft als System Engineer für einen IT-Dienstleistungsbetrieb, unter anderem in der Finanzbranche und der Verwaltung. Als Nächstes war er als System Administrator an einer grossen Schweizer Universität tätig und schloss berufsbegleitend sein Informatik-Studium an der Berner Fachhochschule in Biel mit Vertiefung IT-Security ab. Yves Kraft ist seit Februar 2011 bei Oneconsult im Penetration Testing und Security Consulting sowie im Bereich Schulungen tätig und wurde 2013 Team Leader. Er ist BSc FH CS, zertifizierter OSSTMM Professional Security Tester (OPST), OSSTMM Professional Security Analyst (OPSA), OSSTMM Professional Security Expert (OPSE) und OSSTMM Trainer.