Wir setzen auf unserer Webseite Cookies und andere Technologien ein, um Ihnen den vollen Funktionsumfang unseres Angebotes anzubieten. Sie können auch zu Analysezwecken gesetzt werden. Durch die weitere Nutzung unserer Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden. Weitere Informationen, auch zur Deaktivierung der Cookies, finden Sie in unserer Datenschutzerklärung.
Geleakte Login-Daten eines ehemaligen Mitarbeiters ermöglichen Angriff auf US-State Government
Über das Administratorkonto eines ehemaligen Mitarbeiters wurde kürzlich das Netzwerk einer Behörde eines US-Bundesstaats kompromittiert. Die Behörde selbst wurde nicht genannt, aber wir wissen, dass sich der Angreifer mit den Anmeldedaten eines ehemaligen Mitarbeiters erfolgreich bei einem VPN (Virtual Private Network)-Zugangspunkt authentifiziert hat. Von dort aus konnten sie auf eine virtuelle Maschine zugreifen und sich unter den legitimen Datenverkehr mischen, um unerkannt zu bleiben, bis sie schließlich Zugriff auf ein zweites Administratorkonto und vertrauliche Daten erlangten.
Dieser Vorfall verdeutlicht wieder, dass sämtliche Benutzerkonten, auch die von ehemaligen Mitarbeitern, die nicht ordnungsgemäß aus dem Active Directory (AD) entfernt wurden, ein Risiko darstellen. Die regelmäßige Kontrolle und Bereinigung überflüssiger Konten, Software und Dienste ist von entscheidender Bedeutung, um potenzielle Angriffsvektoren zu minimieren.
Der Angriff in kurz:
Wer wurde angegriffen: U.S. State Government Department (noch nicht benannt)
Art des Angriffs: Übernahme von Benutzerkonten
Angriffstechnik: Verwendung gestohlener Anmeldeinformationen für den Zugriff auf eine virtuelle Maschine über VPN
Auswirkungen: Sowohl Host- als auch Benutzerdaten wurden ins Dark Web gestellt
Wer war verantwortlich: Unbekannt
Wie kam es zu dem Angriff?
Der Cyberangriff begann damit, dass sich ein Angreifer die Anmeldedaten eines ehemaligen Mitarbeiters beschaffte, die im Internet veröffentlicht worden waren. Mit diesem Konto authentifizierte sich der Angreifer erfolgreich bei einem internen VPN-Accesspoint. Nach der Anmeldung beim VPN konnte der Angreifer auf eine virtuelle Maschine innerhalb des Netzwerks zugreifen. Von dort aus gelang es dem Eindringling, sich unter den legitimen Datenverkehr zu mischen und einer Entdeckung zu entgehen.
Die kompromittierte VM ermöglichte dem Angreifer den Zugriff auf einen weiteren Satz von Anmeldeinformationen, die in einem virtualisierten SharePoint-Server gespeichert waren. Diese Zugangsdaten hatten administrative Rechte sowohl für das lokale Netzwerk als auch für das Azure Active Directory (jetzt Entra ID genannt). Mit diesen zusätzlichen Anmeldeinformationen konnte der Täter die on-premise IT-Umgebung erkunden und LDAP-Abfragen (Lightweight Directory Access Protocol) auf einem Domain Controller ausführen. Keines der kompromittierten Konten verfügte über eine aktivierte Multi-Faktor-Authentifizierung (MFA).
Letztlich verschafften sich die Angreifer Zugang zu Host- und Benutzerdaten, die sie dann zum Verkauf ins Dark Web stellten. Die betroffene Behörde leitete als Reaktion auf den Vorfall mehrere Maßnahmen ein, um den Schaden zu mindern. So wurden die Passwörter aller Benutzer zurückgesetzt, das kompromittierte Administratorkonto deaktiviert und die erweiterten Rechte für das zweite Konto aufgehoben.
Darren James, Specops Senior Product Manager, erklärt: ” Ein weiteres bedauerliches Beispiel dafür, dass selbst Administratoren nicht davor gefeit sind, die grundlegendsten Fehler zu machen. Wie unsere jüngsten Untersuchungen zu kompromittierten Passwörtern gezeigt haben, verwenden viele Administratoren immer noch Standardpasswörter, verwenden Passwörter über mehrere Systeme hinweg wieder und aktivieren keine MFA. Das häufigste Administrator-Passwort auf unseren kompromittierten Listen war “admin”.
In diesem Beispiel scheint es für die Eindringlinge einfach gewesen zu sein, das interne Active Directory sowie Entra ID zu nutzen, sobald der VPN Zugang kompromittiert war. Wir können nur hoffen, dass das erzwungene Zurücksetzen aller Passwörter (eine zwangsläufige Maßnahme, wenn ein Login für den Domänenadministrator kompromittiert wurde) nur der erste Schritt zu einer besseren Absicherung ihrer Umgebung ist und dass sie in Zukunft strengere Passwortrichtlinien und MFA für alle Benutzer einführen und kontinuierlich nach kompromittierten Passwörtern scannen.“
Was lässt sich aus dem Angriff lernen?
- Kooperation wird immer wichtiger: Der Angriff wurde von der U.S. Cybersecurity and Infrastructure Security Agency (CISA) in Zusammenarbeit mit dem Multi-State Information Sharing and Analysis Center (MS-ISAC) entdeckt und gemeldet. Dies verdeutlicht, wie wichtig der Austausch von Informationen und die Zusammenarbeit bei der Aufdeckung und Bewältigung von Vorfällen ist.
- Nur ein Fuß in der Tür genügt: Das kompromittierte Administratorkonto hatte Zugriff auf einen virtuellen SharePoint-Server, was es den Angreifern ermöglichte, auf einen weiteren Satz von Anmeldeinformationen mit administrativen Rechten sowohl für das lokale Netzwerk als auch für Azure Active Directory zuzugreifen. Dies zeigt, dass Angreifer in der Lage sind, vernetzte Systeme auszunutzen und sich einen breiteren Zugang zur Infrastruktur eines Unternehmens zu verschaffen.
- Cyberkriminalität bleibt lukrativ: Die Angreifer haben die erbeuteten Informationen im Dark Web veröffentlicht, um daraus finanziellen Gewinn zu ziehen. Dies verdeutlicht die gängigste Motiv für Cyberangriffe.
- Ein Notfallplan muss vorhanden sein: Als Reaktion auf die Sicherheitslücke hat die Behörde sofort Maßnahmen ergriffen, um Passwörter zurückzusetzen, kompromittierte Konten zu deaktivieren und erhöhte Berechtigungen zu entfernen. Obwohl mehr hätte getan werden können, um den Vorfall von vornherein zu verhindern, zeigt dieser Ansatz, wie wichtig eine entsprechende Reaktion bei der Minimierung des Schadens ist.
- MFA implementieren: Der Vorfall betont die Notwendigkeit von MFA für alle Konten, nicht nur für privilegierte Konten. Obwohl in diesem Fall nicht einmal das privilegierte Konto mit MFA geschützt war.
- Schützen Sie Ihr Active Directory: Dieser Vorfall dient als Mahnung für Unternehmen, unnötige Konten, Software und Dienste regelmäßig zu überprüfen und aus ihren Netzwerken zu entfernen. Diese Hygienemaßnahmen tragen dazu bei, potenzielle Angriffsvektoren zu reduzieren.
Säubern Sie Ihre Angriffsfläche von kompromittierten Zugängen und Passwörtern
Können Sie sicher sein, dass sich in Ihrer Angriffsfläche keine veralteten, kompromittierten oder inaktiven Konten verstecken? Ein kostenloses Audit Ihres Active Directory mit dem Specops Password Auditor ist ein idealer Ausgangspunkt, da es eine Momentaufnahme Ihrer Benutzerkonten und passwortrelevanten Schwachstellen liefert. Zusammen mit einer kostenlosen Analyse Ihrer Externen Services mit Sweepatic EASM erhalten Sie so einen ersten Überblick über eine Vielzahl potenzieller Angriffsvektoren.
Einmalige Analysen bieten aber keinen dauerhaften Schutz! Angriffe wie dieser verdeutlichen, wie wichtig es ist, Ihr Active Directory kontinuierlich nach Konten mit kompromittierten Passwörtern zu durchsuchen. Specops Password Policy mit Breached Password Protection überprüft täglich Ihr Active Directory und gleicht es mit unserer Liste von über 4 Milliarden kompromittierten Passwörtern ab. So schützen Sie die Passwörter in Ihrem Active Directory vor Passwörtern aus bekannten Leaks, Honeypots für Brute-Force-Angriffe, sowie vor von Malware gestohlenen Daten dank unseres Threat Intelligence-Teams. Gerne beraten unsere Experten Sie zu den passenden Lösungen für Ihre Sicherheitslage und Cyber-Security-Strategie!
(Zuletzt aktualisiert am 22/02/2024)