Mehr als nur ein Versionsupdate: Die ISO/IEC 27001:2022

Im Oktober 2022 wurde die zentrale ISO-Norm zur Informationssicherheit aktualisiert. Die meisten Betroffenen haben sich vermutlich schon davor mit den Neuerungen beschäftigt. Aber nach einem Quartal in der Praxis ist eine erste Zwischenbilanz möglich. Zwei Neuerungen kristallisieren sich als typische Herausforderungen heraus: zum einen die Anforderung, die Bedrohungsentwicklung aktiv zu beobachten (Threat Intelligence), um auf strategischer, taktischer wie operativer Ebene reagieren zu können. Zum anderen bildet die jetzt nachzuweisende Cloud-Strategie für viele ebenfalls eine neue Challenge.

Die wichtigsten Änderungen: https://www.youtube.com/watch?v=53uwJY-mrIg

Cloud-Strategie: https://www.youtube.com/watch?v=nVlppw4EDuc

Keine Gaudi: Fast Super-Cloud-GAU bei Microsoft

Bei Microsoft ist eingetreten, wovor sich viele Cloud-Anbieter insgeheim fürchteten: Getroffen hat es Azure mit seiner Cosmos DB, einer beliebten NoSQL-Datenbank. Das Datenbankmanagement wird dabei ganz im Sinn von PaaS weitgehend von Microsoft übernommen.

Nun haben Sicherheitsforscher eine Schwachstelle in der Funktion Jupyter-Notebook entdeckt. Dieses Feature war erst im Februar diesen Jahres durch Microsoft aktiviert worden. Der Vorgang zeigt, wie wichtig es ist, die Konfiguration in allen genutzten Cloud-Diensten beständig im Blick zu behalten und gerade neue Features sicherheitstechnisch kritisch zu bewerten.

Die Entdecker WIZ Research haben zur Schwachstelle folgendes Video erstellt:

Eine Webseite mit Informationen zur Schwachstelle ist hier zu finden: https://chaosdb.wiz.io/

Laut Microsoft kam es glücklicherweise nicht zu einem aktiven Ausnutzen dieser Schwachstelle, siehe folgende Stellungnahme:

Positiv hervorzuheben ist, dass nur zwei Tage nach Meldung der Sicherheitslücke das betroffene Jupyter-Notebook-Feature durch Microsoft deaktiviert wurde, sowie der offene Umgang mit der Schwachstelle.

Fix Once, Secure Everywhere

Dies zeigt einen weiteren Vorteil der Cloud: Wenn eine Schwachstelle im Zuständigkeitsbereich des Cloud-Anbieters liegt, muss diese in der Regel nur durch den Cloud-Anbieter gefixt werden. Auf der anderen Seite ist dies auch ein Unterscheidungsmerkmal in Bezug auf Anbieterqualität: Nur ein Cloud-Anbieter, der schnell reagiert, bietet den Kundendaten entsprechenden Schutz.

CV? Neee…

Leider gibt es – anders als für Schwachstellen in Anwendungen und Betriebssystemen – keine dedizierte Datenbank für Schwachstellen in Cloud-Diensten. Denn CVE-Nummer werden nur vergeben, wenn die die Software durch den Kunden kontrollier- bzw. installierbar ist (https://cloudsecurityalliance.org/blog/2018/08/13/cve-cloud-services-part-1/).

Blitze-Wolke

HAFNIUM-Schwachstellen: Office 365/Microsoft 365/AD FS indirekt auch bedroht

[GTranslate]

Von Inés Atug, Markus Drenger und Daniel Jedecke.

Nach der Veröffentlichung des Out-of-Band-Patches für die als HAFNIUM bekannt gewordenen Schwachstellen in Exchange Servern haben viele Admins, die zuvor eine Migration nach Office 365 (jetzt Microsoft 365) durchgeführt hatten, aufgeatmet. Denn Microsoft zufolge ist Exchange Online von Hafnium nicht betroffen. Hiermit meint der Hersteller jedoch das Produkt an sich: Exchange Online ist weiterhin nicht direkt angreifbar. Aber Vorsicht: Es kann je nach Aufbau dennoch möglich sein, dass Angreifer auf den Cloud-Dienst durchgreifen können. 

In vielen Fällen ist in Unternehmen ein hybrider Aufbau etabliert, bei dem ein Exchange-Server weiterhin lokal betrieben wird. Sollte dieser Exchange-Server die HAFNIUM-Schwachstellen aufweisen, könnten Angreifer hierüber Zugriff auf das lokale Netzwerk erhalten (siehe Abbildung Schritt (1)) und sich dann über Lateral Movement im Netz weiterbewegen (Schritt (2)). Mittelbares Ziel des Angriffs ist in der Regel der Zugriff auf ein hochwertiges System wie beispielsweise das Active Directory oder die Active Directory Federation Services (AD FS) zu. Bei Zugriff auf letzteren können die Angreifer unter Umständen den geheimen Schlüssel entwenden (Schritt (3)), sich damit als jeder beliebige legitime Nutzer in der Cloud ausgeben (Schritt (4)) und somit Zugriff (lesen, verändern, löschen) auf alle in der Cloud gespeicherten Daten bekommen (Schritt (5)).

Angriff auf die Cloud/ADFS via HAFNIUM/ProxyLogon

Ob und wie leicht dies möglich ist, hängt stark davon ab, wie der lokale Aufbau umgesetzt ist. Wir erleben im Bereich der Forensik und Beratung hier gute wie auch ungünstige Umsetzungen. Prinzipiell sollte das Ziel immer sein, Lateral Movement in der On-Premise-Umgebung wie auch in der Cloud zu minimieren. Hierfür gibt es bewährte Verfahren, welche sich bei geeigneter Konfiguration dazu eignen, die Bewegungen der Angreifer im Netz zu erschweren:

  • Frühzeitiges Patchen von Sicherheitslücken: Die wichtigste Maßnahme, die auch bei Hafnium eine Kompromittierung mit hoher Wahrscheinlichkeit unterbunden hätte, ist das schnelle Patchen der Systeme. Hier herrscht bisweilen noch der Irrglaube, dass kritische Sicherheitslücken innerhalb von 30 Tagen zu patchen seien. Dies wurde und wird teilweise sogar noch von IT-Sicherheitsstandards vorgeschlagen. Sicherheitslücken, die mittels Fernzugriff automatisiert und unauthentifiziert ausgenutzt werden können, so wie dies bei Hafnium der Fall ist, zeigen jedoch deutlich, dass hier möglichst innerhalb von Stunden anstatt Tagen gepatcht werden sollte.
  • Administrative Trennung von Active Directory und Exchange Server: Eine weitere Maßnahme, die lokal umgesetzt werden sollte, ist die administrative Trennung zwischen Active Directory und Exchange. Oft sind die Systeme über Jahre gewachsen und eng miteinander verbunden. So trennt die Angreifer nach erfolgreicher Kompromittierung oft nur ein Powershell Kommando von der AD-Übernahme. Hier ist es wichtig, die 2017 von Microsoft im Rahmen der Konferenzen Blue Hat und Black Hat vorgestellten Probleme zu mitigieren. Hierfür eignet sich Split-Permissions (https://docs.microsoft.com/en-us/exchange/understanding-split-permissions-exchange-2013-help und https://docs.microsoft.com/de-de/exchange/permissions/split-permissions/configure-exchange-for-split-permissions?view=exchserver-2019). Eine weitere Maßnahme ist die Verwendung der Local Administrator Password Solution (LAPS) von Microsoft. Hierbei wird auf jedem Host ein separates Admin-Passwort gesetzt, um so das Springen nach einem erfolgreichen Angriff (beispielsweise mittels Pass-the-Hash-Angriffsarten) zu erschweren.
  • Umsetzen des Konzepts administrativer Zonen: Da AD FS das Sprungbrett in die Cloud Welt ist, sollte dieser Zugang besonders gesichert werden. Hierzu empfiehlt Microsoft seit längeren einen Aufbau, in dem verschiedene administrative Sicherheitszonen (engl. tiers) voneinander getrennt werden sollten. Ein entsprechend gesicherter Exchange Server würde hier in Zone 1 stehen und ein Active Directory in Zone 0. Ein Sprung zwischen diesen Zonen soll mit den umzusetzenden Maßnahmen stark erschwert werden. Für den AD FS empfiehlt Microsoft ebenfalls den Aufbau in der Zone 0 (https://docs.microsoft.com/de-de/windows-server/identity/ad-fs/design/best-practices-for-secure-planning-and-deployment-of-ad-fs).
  • Multifaktorauthentifizierung: Sowohl in der Cloud als auch in der lokalen IT-Umgebung sollten administrative Zugriffe mittels starker Multifaktorauthentifizierung abgesichert werden.
  • Protokollierung und Monitoring: Damit ein unberechtigter Zugriff möglichst schnell bemerkt wird, sollte ein feinmaschiges Monitoring- und Protokollierungskonzept etabliert sein. Insbesondere in der Cloud-Umgebung gehört das Monitoring neben der Zugriffssteuerung zu den wichtigsten Sicherheitsmaßnahmen. 
  • Datenklassifizierung: Sollte es doch zu einem Einbruch gekommen sein und die Angreifer möchten Daten exportieren, dann sollte mittels der Datenklassifizierung Sicherheitsmaßnahmen greifen, die zumindest die als vertraulich oder streng vertraulich klassifizierten Daten außerhalb der Cloud und des Kundennetzwerks unlesbar darstellen. 
  • Datensicherung: Sollte es zu einem Einbruch gekommen sein und es werden die Daten mittels Ransomware verschlüsselt, dann sollte man auf eine unveränderbare extern gespeicherte Datensicherung zurückgreifen können.

Die obigen Ausführungen zeigen, dass ein ganzheitliches und aktuelles Sicherheitskonzept notwendig ist, um möglichen Sicherheitslücken umfassend entgegenzuwirken. Überprüfen Sie daher regelmäßig Ihre Sicherheitsmaßnahmen und passen Sie diese ggfs. an geänderte Anforderungen an. Insbesondere, wenn Sie lokale Dienste von außen erreichbar konfigurieren oder Cloud-Dienste mit der lokalen IT-Umgebung koppeln, sollten das Sicherheitskonzept überprüft und nachgeschärft werden. Sprechen Sie uns gerne dazu an!  

Know Your Cloudnutzer – KYC für Cloud

An seinem letzten Amtstag hat Ex-US-Präsident Trump noch eine letzte Executive Order zur Cybersicherheit unterzeichnet. Nach dieser müssen US-Cloudprovider – gemeint sind vor allem IaaS-Anbieter – zukünftig ihre Kunden identifizieren (KYC – Know Your Customer), wie das im Bereich Banking bereits seit langer Zeit üblich ist. Das würde bedeuten, dass die Cloud-Dienste vielen ihrer Kunden die Accounts schließen müssten, bis diese Identitätsnachweise hochgeladen haben. Die Biden-Administration hat zumindest den Text des Dekrets sofort wieder von der Internetseite des Weißen Hauses getilgt.

https://www.whitehouse.gov/briefings-statements/text-letter-speaker-house-representatives-president-senate-011921/

Oh Autsch! OAuth-Phishing

Multi-Faktor-Authentisierung gehört inzwischen zum Stand der Technik und ist regelrecht ein Standard im stärker exponierten Cloud-Umfeld. Um ihren Erfolg beim Abgriff von Zugangsdaten weiterhin zu sichern, nutzen Angreifer nun Authentisierungstoken für Cloud-Apps, denn: Wurde eine Angreifer-App mit ausreichend Berechtigungen versehen, können darüber weitreichende Schäden in der gesamten IT-Umgebung verursacht werden. Inzwischen warnt Microsoft Unternehmenskunden vor dieser Angriffsmethode. Es gibt also genug Gründe, sich mal mit den methodischen Details auseinanderzusetzen.

Lesetipps August 2020

DEFCON Is Cancelled – Still Hackers Gonna Hack

2020 ist zum ersten Mal in der Geschichte der legendären Hackerkonferenz der Running Gag „DEFCON fällt aus“ beinahe wahr geworden: Unter dem Titel „Safe Mode“ fand auch die DEFCON dieses Jahr nur virtuell statt. Neben Vorträgen zum Hacking von Lichtanlagen im Straßenverkehr und Geldautomaten erfreute sich insbesondere der Vortrag „Hacking the Hybrid Cloud“ von Sean Metcalf großer Beliebtheit. Oder mit den Worten des Vortragenden gesprochen: „How bad can this get?“ – „Don’t want all my eggs in one basket… So now eggs are in all baskets.“

Why, oh, why, PyPI?

Fipptehler treten auf, binsedonsere dort, wo Menschen Dinge über Tostatüren einbegen können. Das Potenzial von Supply-Chain-Angriffen via Benutzerfehleingaben hat der Sicherheitsforscher William Bengtson genauer betrachtet und gezielt knapp falsch benannte Pakete wie „pythonjsonlogger“ erstellt, die irrtümlich statt des korrekten „python-json-logger“ installiert werden sollen. Bösartige Pakete könnten an dieser Stelle Schadcode einschleusen und z. B. Zugangsdaten abgreifen. Details und Geschichten, die er mit seinem Engagement für die Python-Community erlebt hat, finden Sie unter:

https://medium.com/@williambengtson/python-typosquatting-for-fun-not-profit-99869579c35d

Lesetipps Juni 2020

Erhört

Die Cloud hat ihre eigene Sprache. Da hilft ein mehrsprachiges Wörterbuch mit Übersetzung in die On-Prem-Welt:

https://www.managedsentinel.com/on-prem-vs-cloud/


Erfahren

Security-Urgestein Ross Anderson, Professor am berühmten „Computer Laboratory“ in Cambridge, England, arbeitet an der Neuauflage seines bekannten Buches „Security Engineering“. Das hat den Vorteil, dass das Manuskript momentan frei verfügbar ist:

https://www.cl.cam.ac.uk/~rja14/book.html

Der Aufruf seiner spartanischen Website verbraucht übrigens nur 0.07g CO2 verglichen mit 2g für eine typische Business-Website.

https://www.websitecarbon.com

(www.hisolutions.com gehört immerhin zu den besten 25%) 
 


Korrelational

Korrelationen spielen auch in der Security eine Rolle – etwa im Risikomanagement. Wie täuschend diese scheinbaren Zusammenhänge oft sein können, zeigt eindrucksvoll:

https://www.tylervigen.com/spurious-correlations

Die Grenzen der Elastizität: Auch die Cloud skaliert nicht immer

Das Heilsversprechen der Cloud – instantane, unbegrenzte Skalierbarkeit – wurde zuletzt auf eine harte Probe gestellt. Viele große Anbieter gingen aufgrund des Ansturms zeitweise in die Knie oder mussten ihr Angebot einschränken. Dabei ist das Problem bei kleinen Anbietern oder bei DIY nicht geringer: Nicht jede Firma kann plötzliche Nachfrageänderungen um mehrere Größenordnungen so passabel abfedern wie große Cloud-Provider. Häufig fallen den Akteuren ganz profane Probleme auf die Füße: zu wenige Server (z. B. Terminalserver), VPN-untaugliche Fachanwendungen, fehlende VPN-Lizenzen bzw. unterdimensionierte VPN-Gateways, mangelnde Brandbreite vor allem im Upload oder auch schlicht: fehlende Laptops, die nicht immer sofort beschafft werden können.

Azure: https://www.theregister.co.uk/2020/03/24/azure_seems_to_be_full/ 

O365: https://www.zdnet.com/article/microsoft-throttles-some-office-365-services-to-continue-to-meet-demand/ 

GCP: https://www.theregister.co.uk/2020/03/26/google_gsuite_outage/ 

Laptop-Mangel: https://www.telegraph.co.uk/technology/2020/03/12/surge-home-working-threatens-laptop-shortage-warns-computacenter/

C5v2: BSI stellt aktualisierten C5-Katalog vor

Das BSI hat den 2016 veröffentlichten „Cloud Computing Compliance Criteria Catalogue” einer umfassenden Revision unterzogen. Der „C5“ wird von Cloud-Anbietern aller Größen zum Nachweis der Sicherheit von Cloud-Diensten verwendet. Die Aktualisierungen betreffen sowohl Formalia als auch die Kriterien, die an den aktuellen Stand der Technik angepasst wurden. Er enthält außerdem eine neue Domäne zur Produktsicherheit und berücksichtigt damit nun auch die Regelungen und Anforderungen des 2019 in Kraft getretenen EU Cybersecurity Acts. Zudem wurde – insbesondere für kleinere Cloud-Anbieter – der Nachweisweg über die direkte Prüfung eröffnet.

Der C5 legt fest, welche Kriterien das interne Kontrollsystem der Cloud-Anbieter erfüllen muss bzw. auf welche Anforderungen der Cloud-Anbieter mindestens verpflichtet werden sollte. Der Nachweis, dass ein Cloud-Anbieter die Anforderungen einhält und die Aussagen zur Transparenz korrekt sind, wird durch einen Bericht nach dem Wirtschaftsprüferstandard ISAE 3402 bzw. IDW PS 951 erbracht.

https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Cloud-Computing/Kriterienkatalog-C5/kriterienkatalog-c5_node.html

Wolkenphisher: Cloud-Dienste als Angriffsvektoren

Cloud-Dienste entwickeln sich aufgrund ihrer Verbreitung und Vielfalt immer mehr zu möglichen Angriffsvektoren. Der Security-Journalist Brian Krebs berichtet von einem Fall, in dem ein Benutzerkonto eines cloudbasierten CRM nicht mittels Multi-Faktor-Authentifizierung geschützt war und hierdurch eine Phishing-Kampagne angeblich im Namen der Firma durchgeführt werden konnte.

https://krebsonsecurity.com/2019/08/phishers-are-angling-for-your-cloud-providers/