Analyse und Incident Response CVE-2019-19781 (#citrixmash #shitrix)

Sowas passiert nur alle paar Jahre mal – eine Sicherheitslücke von solch drastischer Kritikalität. Das BSI hat denn auch die potenziellen Auswirkungen zunächst erheblich unterschätzt und den Fall als weit weniger kritisch bewertet als das US-amerikanische NIST. Inzwischen ist aber klar, dass der Fall es nicht umsonst bis in die Tagesschau geschafft hat.

Was wir wissen

  • Lücke ist seit Mitte Dezember bekannt, Citrix hat offiziell darüber informiert und Workarounds zum Schutz bereitgestellt
  • Für einen bestimmten Build (50.28) von Citrix ADC/Gateway (the artist formerly known as NetScaler) wirken die Workarounds aufgrund eines weiteren Bugs nicht – zusätzliche Maßnahmen oder ein Update auf einen halbwegs aktuellen Build von 12.1 sind erforderlich (siehe Citrix Artikel)
  • Citrix hat Updates zur Fehlerbehebung angekündigt, für die Versionen 11.1 und 12.0 sind diese Stand heute verfügbar, für weitere unterstützte Versionen sollen die Updates spätestens nächste Woche folgen
  • Seit der zweiten Januar-Woche wird die Lücke aktiv ausgenutzt, spätestens ab dieser Zeit konnten intensive Scans durch die ganze Welt beobachtet werden, die verwundbare Systeme identifiziert und vermutlich für spätere Angriffe dokumentiert haben
  • Nachdem die ersten weniger freundlichen Hacker ihren Exploit Code veröffentlicht haben, wurden weitere Skripte von gewissenhaften Security Experten veröffentlicht, da die Katze nun aus dem Sack war, die eigentlich noch zurückgehalten werden sollte
  • Auf einem verwundbaren System sind Spuren der Kompromittierung zu finden, so lange sich der Angreifer nicht sehr gründlich Mühe gibt, diese zu verwischen – und den nötigen Zugriff dafür erlangt hat
  • Falls keine Spuren zu finden sind, ist dies keine 100%-ige Garantie, dass nichts passiert ist
  • Bei den ersten Spuren sind insbesondere Zertifikate (Private Keys) auf den betroffenen Systemen als kompromittiert zu betrachten und sollten zurückgerufen und ausgetauscht werden
  • lokale Benutzer auf betroffenen Systemen sind insofern gefährdet als dass der Angreifer potenziell Hashes der Passwörter in seinen Besitz bringen konnte, die er nun versuchen kann in Ruhe per brute force zu enttarnen – Passwortwechsel sollten umgehend umgesetzt werden
  • Weiterhin sind auf dem betroffenen System konfigurierte Service Accounts für die interne Infrastruktur gefährdet und müssen als kompromittiert angesehen werden
  • Eine Neu-Installation betroffener Systeme sollte sowieso vorgenommen werden
  • Insbesondere falls keine Firewall vor dem betroffenen System ausgehende Verbindungen verhindert, kann der Angreifer sogar eine Remote Shell auf dem System erlangt haben. Von diesem Fuß in der Tür kann er alle darüber hinaus netzwerktechnisch erreichbaren Systeme ins Visier genommen haben – zusammen mit erlangten Informationen zu Service Accounts ein Silbertablett für weiteres Eindringen

Was wir tun

Nach der frühzeitigen Information und Unterstützung unserer Kunden im Dezember arbeiten wir seit einer Woche nunmehr in Eskalationen und Analysen bei zahlreichen Fällen mit. Dabei geht es immer um eine Kadenz von Maßnahmen:

  • Schutzstatus feststellen
  • Schutz ggf. herstellen
  • Kompromittierungsstatus feststellen
  • Isolation und Recovery ggf. einleiten
  • Mögliche Tiefe der Kompromittierung feststellen (was kann der Angreifer unmittelbar erlangt haben)
  • Mögliche Kompromittierungen weiterer Systeme analysieren (was kann der Angreifer ggf. über das direkt verwundbare System hinaus erreicht haben)

Das Ergebnis kann leider fast nie eine sichere Aussage der Art „es ist nichts passiert“ sein. Dieser kann man sich nur anhand von Indizien annähern. Lediglich bei unmittelbar nach Bekanntwerden konsequent und korrekt implementierten Schutzmaßnahmen gehen wir von einer faktischen Unversehrtheit aus. In allen anderen Fällen muss eine Risikobewertung stattfinden, um die Tiefe und Ausführlichkeit zu bestimmen, in der analysiert und bereinigt werden muss.

Aufgrund der Menge an Fällen sind unsere Vorlaufzeiten zur umfassenden Bearbeitung neuer Anfragen aktuell im Bereich von Tagen. Die ersten Schritte in o.g. Kadenz können aber jederzeit im Bereich Same, maximal Next Business Day gegangen werden. Kommen Sie gerne auf uns zu.

Ein neuer Certified Ethical Hacker bei michael wessel

Unser Kollege und Leiter des Teams Datacenter Infrastructure, Daniel Lengies, hat nun seine Zertifizierung zum Certified Ethical Hacker (EC Council) bestanden. Diese beinhalteten umfangreiche Schulungsmaßnahmen mit hohen Praxisanteilen. Darüber hinaus musste er viele Kenntnisse über Sicherheitssystemtechniken beweisen. Darunter auch solcher Techniken, die Gegenmaßnahmen gegen Hackingangriffe enthalten.

„Ein neuer Certified Ethical Hacker bei michael wessel“ weiterlesen

Phished!

Als Berater und technisch äußerst erfahrener Consultant, der SMTP fließend spricht, seine Mails per Konsole bei Mailservern abliefern kann (zumindest solange diese kein TLS erzwingen) und der vor vielen Jahren seine Diplomarbeit über E-Mail-Sicherheit (Verschlüsselung und Signatur) geschrieben hat, halte ich mich für ziemlich solide vorbereitet auf Phishing-Attacken per Mail. Dazu kommt, dass ich so ziemlich alle Wellen der letzten Jahre nie in meinen eigenen Postfächern zu sehen bekommen habe.

Seit einiger Zeit bin ich intensiver Nutzer von und Evangelist für Microsoft Teams. Die moderne Art der Zusammenarbeit ist ein Segen und reduziert unter anderem die Notwendigkeit von E-Mails. So war ich durchaus interessiert daran, die Entwicklung dieser Lösung ein Wenig mit zu beeinflussen, als die Einladung eines von Microsoft beauftragten Marktforschungsunternehmens mich erreichte, an einer Umfrage zu Teams teilzunehmen. Allerdings habe ich chronisch wenig Zeit, war konkret eher gehetzt, aber zuversichtlich, dass ich die Umfrage in weniger als den avisierten 10 Minuten durchklicken könnte, um den Task damit aus meiner Liste zu schaffen.

Zum Glück ist Microsoft Edge mit aktiviertem SmartScreen mein Default Browser: nach dem Klick auf den Umfragelink leuchtete mir eine knallrote Seite entgegen, die mir mitteilte, dass die aufgerufene Adresse als unsicher gemeldet worden sei.

Welche Fehler hatte ich gemacht?

Nun, die Mail war nicht sehr auffällig; perfekter deutscher Text, bekannte Logos, eine akzeptable sichtbare Absenderadresse, kein Anhang. Im leider weit verbreiteten Stress-Modus gehen dann solche Überlegungen unter wie „Moment mal, Microsoft interagiert intensiv über uservoice.com mit den Nutzern, um Teams anhand des Anwender-Feedbacks zu verbessern, wozu brauchen Sie da noch so eine Aktion?“ – und wer kennt schon alle Executive Vice Presidents von Microsoft?

Auch bei einer näheren Betrachtung, die definitiv nicht zum Repertoire „normaler“ Anwender gehört und auch den zeitlichen Rahmen sprengt, den ich so einem Vorgang normalerweise angedeihen lassen könnte, zeigt sich, wie gut die Phishing-Mail gestaltet ist: sie trägt sogar eine valide, wenn auch „relaxed“ DKIM-Signatur, das benannte Marktforschungsunternehmen existiert wie auch die übereinstimmende Absender- und Link-Domain. Auffälligkeiten finden sich erst in den tieferen Schichten:

  • Es gibt keinen SMTP-Received-Path vor der Einlieferung bei unserem Eingangsserver (MX), die direkt von einer IP aus dem Amazon (AWS) Kosmos kam.
  • outlook-mailer.com ist undurchsichtig registriert (WhoisGuard Protected), was ein Marktforschungsunternehmen eher nicht tut.

Nochmal zum Glück war die ganze Aktion keine echte Attacke, sondern eine interne Demonstration der Wirksamkeit von Sophos Phish Threat. In den zugehörigen Anwendertrainings werden entsprechende Sensibilisierungen und Hinweise vermittelt, um auf Bedrohungen dieser Art noch besser reagieren zu können. Die simulierten Angriffe sind vielfältig und basieren auf echten Bedrohungen, die Analysten weltweit beobachten.

Ich musste mir also eingestehen, dass selbst ich nicht vor dieser Art von gezielten Attacken gewappnet bin. Wer könnte das also glaubhaft von sich behaupten?

Remote Desktop Services und vertraute Domains

Nutzt man die Remote Desktop Services von Windows Server 2012/2016/2019 und befindet sich zeitgleich in einer Multi-Domain- oder Multi-Forest-Umgebung, so wird man schnell feststellen, dass sich in den Assistenten zur Autorisierung von Benutzern und Gruppen ein Fehler eingeschlichen hat. Versucht man dort eine Gruppe hinzuzufügen, die sich nicht in derselben Domain befindet wie der Server von dem man die Konfiguration vornimmt, so bekommt man die folgende Fehlermeldung:

An diesem Punkt würde man normalerweise überprüfen, ob die Domain-Konnektivität so wie die Trusts in Ordnung sind, allerdings ist das in diesem Fall (wahrscheinlich) nicht das Problem.

Um diesen Schritt erfolgreich durchführen zu können, muss jede zu autorisierende Domain der DNS Suffix Search List auf einem beliebigen Netzwerk Adapter des aktuellen Verwaltungshosts (auf dem die Konsole ausgeführt wird), hinzugefügt werden.

Diese Konfiguration kann zum Beispiel wie folgt aussehen:

CDC-Folien: Design for Change – Active Directory für das Cloud-Zeitalter

Auf der Cloud & Datacenter Conference Germany 2019 habe ich die Session “Design for Change – Active Directory für das Cloud-Zeitalter” mit fast 100 Leuten im Publikum gehalten. Hat Spaß gemacht, vielen Dank!

Hier sind die Folien zu meinem Vortrag, auch diesmal inklusive der Notizen.

Download “CDC-Folien: AD-Design for Change” CDC-190521-AD-Design-for-Change.pdf – 1006-mal heruntergeladen – 2 MB

Support-Ende für Windows Server 2008 / R2 und Windows 7

Rüstet jetzt um!

Am 14. Januar 2020 erreichen drei bekannte Produkte von Windows das Ende ihrer Unterstützung durch den Hersteller. Darunter fallen die beliebten Versionen Windows 7, Windows Server 2008 sowie Server 2008 R2 und Exchange Server 2010. Mit Ablauf der Frist wird es keine Security-Updates mehr für diese Produkte geben.

Wir raten Unternehmen, die zum jetzigen Zeitpunkt noch Systeme mit diesen Versionen im Einsatz haben, sich frühzeitig mit möglichen Lösungen auseinanderzusetzen. Beratung zum Schutz Ihrer Infrastruktur erhaltet ihr bei uns. Wendet euch an euren Experten bei michael wessel.

Darüber hinaus hat unser Consulting-Leiter zu diesem Thema für das führende IT-Fachmagazin iX einen umfassenden Überblick gegeben.

Mehr dazu erfahrt ihr hier:

https://www.heise.de/

„Digitale Identitäten im Sicherheitsfokus“ auf der Hannover Messe 2019

Teilnehmer der Hannover Messe #HM19 und die, die es noch werden wollen aufgepasst!
Am 02.04. ist unser Consulting-Leiter und Most Valuable Professional Nils Kaczenski als Sprecher vor Ort.

Digital Factory. Industrie 4.0. Integrated Automation.
Seid um 13:00 Uhr dabei und widmet euch zusammen mit unserem Kollegen dem Thema „4P: Digitale Identitäten im Sicherheitsfokus“.
Mehr dazu erfahrt ihr unter:

https://www.hannovermesse.de/veranstaltung/4p-digitale-identitaeten-im-sicherheitsfokus/

#IndustrialPioneers #IndustrialIntelligence