HiSolutions Research

Die Grenzen des guten Geschmacks: Zoom Bombing, WebEx Wardialing, Teams Raiding und Co.

Organisierte Kriminalität und andere Angreifergruppen bis hin zu bösartigen Spaßvögeln haben sich wieder einmal als äußerst anpassungsfähig erwiesen. Altbekannte Techniken wie das Stören oder Sprengen von Zusammenkünften (Trolling) oder das Durchprobieren von Zugangsdaten für (Telefon-)Netze (War Dialing) erfreuen sich nicht nur neuer „Beliebtheit“, sondern laufen auch zu neuen Formen auf. Insbesondere fehlende oder schwache Passwörter bei Online Tools sind ein Problem. Denn die Eindringlinge können nicht nur nerven, sondern sogar strafrechtlich relevante oder im schlimmsten Fall traumatisierende Inhalte einspielen. Daher erfordert die Nutzung solcher Tools ein Sicherheitskonzept, welches insbesondere auch den Zugriffsschutz behandelt.

https://krebsonsecurity.com/2020/04/war-dialing-tool-exposes-zooms-password-problems

HiSolutions Research

Passwort-Audits

Seit vielen Jahren beobachten wir problematische Trends bei der Verwendung von Passwörtern. Ob bei Incident Response Einsätzen oder bei Penetrationstests – zu schwache Passwörter sind in den heutigen IT-Umgebungen noch viel zu häufig der entscheidende Knackpunkt, der zwischen Erfolg und Misserfolg eines Angriffs entscheidet.

Das wissen auch die Angreifer, und so ist wohl jeder über das Internet erreichbare Server ständigen Brute-Force-Angriffen ausgesetzt. Teilweise entwendet Schadsoftware auch nach einem erfolgreichen Angriff weitere Active Directory Passwort-Hashes, um zusätzliche Zugriffsmöglichkeiten in der Zukunft zu sichern, wie Anfang des Jahres bei Trickbot beobachtet wurde.

Leider bilden Passwörter aber noch bei vielen Systemen und Anwendungen den einzigen Schutz vor unbefugten Angreifern. Die im Windows Active Directory eingebauten Komplexitätsregeln bieten nur eine geringe Hilfestellung bei der Wahl eines sicheren Passworts und sind in der Praxis nicht ausreichend.

Auch wo theoretisch die Einführung von 2-Faktor-Authentifizierung möglich wäre, gestaltet sich die praktische Umsetzung oft schwieriger als erhofft und wird daher verschoben.

Um Kunden einen Überblick über die Passwort-Qualität der von den eigenen Mitarbeitern verwendeten Passwörter zu geben, führt HiSolutions deswegen praktische Prüfungen der Passwortqualität durch. Dafür verfügen wir über ein Labor mit Spezialhardware für das Durchführen von hochparallelisierten Angriffen zur Ermittlung von Kennwörtern. Das System wurde in einer Vielzahl von Penetrationstests und Passwort-Prüfungen erfolgreich eingesetzt. Der Angriffsprozess wird dabei stetig weiterentwickelt und an neueste technische und organisatorische Erkenntnisse angepasst. Das System ermöglicht es, mehrere hundert Milliarden Password-Kandidaten pro Sekunde auszuprobieren.

Bei einer praktischen Prüfung der Passwortqualität werden die Passwort-Hashes von den Domänen-Controllern extrahiert und auf das Spezialsystem bei HiSolutions übertragen. Dort wird dann versucht, in vorgegebener Zeitspanne so viele Passwörter wie möglich zu ermitteln. Bei Bedarf, z.B. wenn die Daten das Netzwerk unter keinen Umständen verlassen dürfen, kann das Spezialsystem der HiSolutions auch in die Räumlichkeiten des Auftraggebers transportiert und dort angeschlossen werden.

Dazu werden unter anderem eine Vielzahl an Wörterbüchern, öffentlichen Passwort-Listen, speziellen Passwort-Regeln und -Masken und eine Kombination verschiedener Angriffsmethoden verwendet. Die verwendeten Regelwerke und Angriffsmethoden werden in Abhängigkeit von den erzielten Ergebnissen kontinuierlich manuell nachjustiert. Zudem werden auftraggeberspezifische Informationen wie beispielsweise spezielle Wörterbücher und bereits ermittelte Passwörter in die weiteren Angriffe einbezogen.

Die Ergebnisse der Prüfung werden im Anschluss ausgewertet und bewertet. Die daraus getroffenen Einschätzungen und Ergebnisse werden mit geeigneten Handlungsempfehlungen zur Verbesserung der organisatorischen und technischen Vorgaben für den Passworteinsatz in einem Prüfbericht dokumentiert. Der Auftraggeber erhält zusätzlich die Liste der Accounts mit gebrochenen Passwörtern, damit diese im Anschluss geändert werden können. Die gewonnenen Klartext-Passwörter werden aus Datenschutzgründen und gegebenenfalls enthaltenen sensiblen Daten grundsätzlich nicht offengelegt. Alle Passwort-Hashes und Klartext-Passwörter werden nach Abschluss des Projekts von den Systemen der HiSolutions sicher gelöscht.

HiSolutions Research

Mühsam stirbt das Eichhörnchen: Microsoft-Baselines ohne erzwungenen Passwortwechsel

Das Sterben des regelmäßigen Passwortwechselns schreitet langsam, aber unaufhaltsam voran. Über Jahre hinweg haben Sicherheitsstandards von den Anwendern verlangt, dass sie ihre Passwörter regelmäßig wechseln. Diese Anforderung wurde immer wieder kontrovers diskutiert. Mittlerweile sind sich die Sicherheitsfachleute weitgehend einig, dass ein regelmäßig erzwungener Passwortwechsel für die Sicherheit eher nachteilig ist.
Nun hat Microsoft ihn aus den Entwürfen für die neuen Security Baselines – technischen Empfehlungen für MS-Produkte, welche in Konfigurationen (GPOs) gegossen sind – für die aktuellen Windows-Produkte (Windows 10 v1903 und Windows Server 2019 v1903) entfernt. Darüber gibt es auch noch einen interessant argumentierenden Vorschlag, das zwanghafte Deaktivieren der built-in Admin- und Guest-Accounts zukünftig wegzulassen.
https://blogs.technet.microsoft.com/secguide/2019/04/24/security-baseline-draft-for-windows-10-v1903-and-windows-server-v1903/