Bedrohungen im IT-Bereich gibt es, seit es die IT an und f\u00fcr sich gibt. Und seit wir uns alle im World Wide Web tummeln, gibt es kaum jemanden, der mit Computern arbeitet und noch nie mit einem Virus, einem Trojaner oder \u00e4hnlichem in Ber\u00fchrung geraten ist. Ebenso gel\u00e4ufig d\u00fcrften mittlerweile die ber\u00fcchtigten Verschl\u00fcsselungstrojaner sein, die gegen Bezahlung mit BitCoins den originalen Zustand wiederherstellen und die Verschl\u00fcsselung aufheben. Oder eben nicht.<\/p>\n
Egal welche Auswirkungen diese Viren und Trojaner auch haben. Sie sind mit ein wenig Kenntnis und etwas Menschenverstand vorauszusehen. Wer unbedacht E-Mails mit Anh\u00e4ngen \u00f6ffnet oder sich auf dubiosen Seiten rumtreibt, fordert es geradezu heraus. Wer hier Sorgfalt walten l\u00e4sst, wird sich kaum einem Bedrohungsszenario aussetzen. Zudem gibt es mittlerweile unter Windows auch schon auf Betriebssystem-Ebene einen ordentlichen und vor allem immer aktuellen Schutzmechanismus, genannt Windows Defender.<\/p>\n
Es w\u00e4re ein Einfaches, k\u00f6nnte man die Bedrohungen auf diese Arten einschr\u00e4nken. Leider gibt es aber noch sehr viel verzwicktere Mechanismen, die gerade in der heutigen komplexen IT-Umgebung gro\u00dfen Schaden anrichten k\u00f6nnen. Und das Schlimme daran ist, dass ein Benutzer und auch der Administrator die Gefahr nicht kommen sieht. Eine Ank\u00fcndigung durch den Angreifer, jetzt ihr Unternehmen zu gef\u00e4hrden und die Kontrolle zu \u00fcbernehmen, kommt nicht.<\/p>\n
Gemeint sind hier Sicherheitsl\u00fccken, die in den Abermillionen an Code-Zeilen in unseren Programmen und Betriebssystemen schlummern. Ja, es stimmt. Viele dieser Sicherheitsl\u00fccken sind zwar gut dokumentiert und oft nach der Erkennung auch geschlossen worden. Au\u00dferdem klappt die Ausnutzung derer oft nur im Labor und ist zumeist an sehr konstruierte Voraussetzungen gekoppelt.<\/p>\n
Es gibt aber auch Sicherheitsl\u00fccken, bei denen es komplett anders verl\u00e4uft. Diese sind gef\u00e4hrlich und auch f\u00fcr erfahrene IT-Sicherheitsexperten nicht so einfach erkennbar. Und auch wenn die Gefahr rechtzeitig erkannt wird, bedarf es doch auch einiges an Arbeit, diese L\u00fccken \u201el\u00fcckenlos\u201c zu schlie\u00dfen.<\/p>\n
Um diese real existierende Gefahr aufzuzeigen, widmen wir uns in diesem Blogartikel der Sicherheitsl\u00fccke Zerologon, was sie bedeutet, wie man sie aufsp\u00fcrt und ihr auch entgegentreten kann.<\/p>\n
Bei Zerologon handelt es ich um eine Sicherheitsl\u00fccke im Microsoft Windows Netlogon Remote Protocol (MS-NRPC). Durch diese Schwachstelle k\u00f6nnen Angreifer aufgrund eines Fehlers im Authentisierungsprotokoll von einem beliebigen Active Directory (AD)-integrierten Rechner das Kennwort eines Windows Servers (vor allem Dom\u00e4nencontroller) \u00e4ndern oder entsprechende Prozesse starten.<\/p>\n
Detaillierter wollen wir an dieser Stelle gar nicht herangehen. Im Internet existieren mehr als genug Informationen mit allen Details zur dieser speziellen Sicherheitsl\u00fccke. Und auch unz\u00e4hlige Anleitungen, wie au\u00dfenstehende Personen Zugriff auf Ihren ungesch\u00fctzten Server bekommen k\u00f6nnen, werden seit Monaten verteilt.<\/p>\n
Wer braucht sich keine gro\u00dfen Sorgen machen?<\/p>\n
Ja, es gibt auch in der IT-Branche so etwas wie \u201eSicherheitsl\u00fccken-Leugner\u201c. G\u00e4ngige Aussagen wie \u201ewir sind viel zu klein und uninteressant f\u00fcr die Gauner\u201c oder \u201ebei uns patched der Chef pers\u00f6nlich, da kann gar nichts schief gehen\u201c h\u00f6rt man auf die eine oder andere Art sicher nicht zum ersten Mal.<\/p>\n
Tats\u00e4chlich ist es so, dass ein kleines Unternehmen, das nur einen Server durch eine kompetente IT-Mannschaft betreibt, relativ sicher ist. Kompetent steht daf\u00fcr, dass sich die Verantwortlichen nicht nur um einen reibungslosen Tagesbetrieb k\u00fcmmern, sondern auch die n\u00f6tigen Updates und Sicherheitspatches auf dem oder den Server(n) installieren. Auch die Kenntnis von Sicherheitsl\u00fccken geh\u00f6rt zur Kernkompetenz einer guten IT-Abteilung. So auch im Falle der Zerologon-Schwachstelle. Seit August steht von Microsoft ein Sicherheitspatch bereit, der die L\u00fccke gr\u00f6\u00dftenteils schlie\u00dft.<\/p>\n
Sehr viel schwieriger wird es f\u00fcr Unternehmen, wenn mehr als nur ein oder zwei Server betrieben werden. Seit Jahren werden viele Serverbetriebssysteme als virtuelle Instanzen genutzt. Domaincontroller, Terminalserver, Exchange (oder andere Mail-Server), SQL-Server mit Datenbanken, Backup-Server. Die Anzahl der eingesetzten Server-Betriebssysteme hat sich in den letzten Jahren geradezu inflation\u00e4r erh\u00f6ht.<\/p>\n
Einen obendrauf setzen dann Unternehmen, die mehr als einen Standort und auch dort eine IT-Landschaft betreiben. Denn obwohl die IT von der zentralen IT-Abteilung gesteuert wird, sitzen an den Standorten oft nur kleinere Unterst\u00fctzungs-Teams, welche nur rudiment\u00e4re Aufgaben wie Backups und Aufrechterhaltung des Tagesbetriebs \u00fcbernehmen k\u00f6nnen. Mit jedem Standort w\u00e4chst in der Regel auch die Anzahl der zu betreuenden Server. Und mit jedem Server w\u00e4chst auch die Gefahr, dass er \u00fcbersehen oder \u201ehintangestellt\u201c wurde. \u201eDer Server ist Bestandteil des produktiven Umfelds und kann nicht einfach runtergefahren werden!\u201c. Die Ausreden oder Erkl\u00e4rungen, warum man noch nicht updaten konnte, sind vielf\u00e4ltig.<\/p>\n
Wie auch immer, in jedem Unternehmen gibt es Verantwortliche. Der eine k\u00fcmmert sich um den Brandschutz, der andere um den Datenschutz. F\u00fcr alle Bereiche tr\u00e4gt jemand eine Verantwortung. Und der IT-Verantwortliche? Der h\u00e4lt den Kopf hin, wenn in Hinterobertupfing ein kleiner Server der Au\u00dfenstelle steht und gro\u00dfz\u00fcgig Gesch\u00e4ftsdaten mit der Au\u00dfenwelt kommuniziert.<\/p>\n
Sp\u00e4testens jetzt lehnen sich alle entspannt zur\u00fcck, die \u00fcber eine umfassend dokumentierte IT-Landschaft verf\u00fcgen. Und ein breites L\u00e4cheln macht sich bei denen bemerkbar, die auf Docusnap vertrauen.<\/p>\n
Wie einfach wir mit Docusnap 11 den aktuellen Patch-Stand all unserer eingesetzten Server \u00fcberpr\u00fcfen und in einem Bericht auswerten lassen k\u00f6nnen, zeigen wir Ihnen hier.<\/p>\n
Mit wenigen Mausklicks erfahren Sie den aktuellen Stand \u00fcber alle Server und setzen einfach einen Filter auf jene Server, die noch nicht mit dem n\u00f6tigen Sicherheits-Patch ausgestattet sind.<\/p>\n
Damit ist eine l\u00fcckenlose Installation leicht zu planen und es kann auch kein System vergessen werden. Somit ist eine der Hauptgefahren bereits geschlossen. Der eigentliche Job beginnt aber erst jetzt.<\/p>\n
Die Sicherheitspatches f\u00fcr die Windows-Server beheben zwar den Fehler, aber eine weitere nicht unkritische L\u00fccke bleibt bestehen. Bis dato k\u00f6nnen sich die Client-Ger\u00e4te noch unverschl\u00fcsselt mit dem Netlogon-Protokoll mit dem Server verbinden. Nat\u00fcrlich kann man dies bereits serverseitig unterbinden und Microsoft selbst hat bereits die Vorkehrungen getroffen, dass voraussichtlich 02\/2021 keine unverschl\u00fcsselten Verbindungen mehr mit den Servern m\u00f6glich sein werden.<\/p>\n
Aber das l\u00f6st das Problem auch nicht, wenn es da drau\u00dfen in unserer Organisation immer noch Maschinen gibt, die es unverschl\u00fcsselt versuchen. Und um diesen Ger\u00e4ten auf die Schliche zu kommen, m\u00fcssen wir regelm\u00e4\u00dfig die Logon-Protokolle der Server nach bestimmten IDs kontrollieren. Eine m\u00fchselige Arbeit, die zu dem recht zeit- und fehleranf\u00e4llig sein kann. Und als tolle Zusatzaufgabe ist diese Kontrolle in regelm\u00e4\u00dfigen Abst\u00e4nden durchzuf\u00fchren.<\/p>\n
Sie ahnen es bereits. Anstatt jetzt f\u00fcr jede Au\u00dfenstelle einen Gl\u00fccklichen zu benennen, der kontinuierlich die Protokoll-Dateien der Server durchforstet, zeigen wir Ihnen, wie vorteilhaft und schnell wir mit Docusnap den Problemger\u00e4ten auf die Spur kommen.<\/p>\n
Auch hier werden von Docusnap wieder alle relevanten Daten zentral gesammelt und als generierter Bericht mit den aktuellen Daten dargestellt. Mit Hilfe dieser Informationen k\u00f6nnen dann gezielt alle unsicheren Verbindungen untersucht und abgestellt werden.<\/p>\n
Abgesehen von der eigentlichen Ausrollung der Sicherheits-Updates und Patches dauert das Auffinden der gef\u00e4hrdeten und unsicheren Systeme mit Docusnap weniger lang, als wir f\u00fcr das Lesen dieses Blogs ben\u00f6tigen.<\/p>\n
Wer bereits Erfahrung mit Docusnap hat, wei\u00df, dass im Hintergrund bereits alle relevanten Daten in einer Datenbank darauf warten, ausgewertet zu werden. Docusnap stellt in seiner aktuellen Version 11 sofort einsetzbare Vorlagen zur Verf\u00fcgung, um diese Sicherheitsl\u00f6cher schonungslos im gesamten Firmennetzwerk aufzuzeigen.<\/p>\n
Nur das Schlie\u00dfen der L\u00fccken, also das Einspielen der Patches und das Herstellen der gesicherten Verbindungen, m\u00fcssen wir selbst durchf\u00fchren oder zumindest in Auftrag geben.
\n
\nSo geht\u2019s in Docusnap:<\/strong>
\n