Barracuda full logo

Wie groß ist Ihre Microsoft-Angriffsfläche?

Themen:
16. Jan.. 2024
|
Christine Barry

Wie groß ist Ihre Microsoft-Angriffsfläche? Wissen Sie, wie viel Microsoft Sie verteidigen?

Microsoft-Betriebssysteme und -Anwendungen sind in Geschäftsumgebungen nahezu unvermeidlich. Ich sage nicht, dass wir sie vermeiden sollten. Windows und Microsoft 365 sind meine bevorzugten Systeme, und das ist auch gut so. Aber wir können die Tatsache nicht ignorieren, dass Microsoft-Produkte ein beliebtes Ziel für Bedrohungsakteure aus aller Welt sind. Active Directory, SQL, Microsoft 365, Outlook und viele andere Microsoft-Produkte weisen Schwachstellen auf, die ausgenutzt werden können. Dieses Risiko wird durch Fehlkonfigurationen und schlechte Security-Praktiken weiter erhöht. Für fast jeden Bedrohungsvektor gibt es ein Microsoft-Produkt.

Wie viel Microsoft gibt es da draußen?

Betrachtet man nur die Windows-Desktop-Betriebssysteme, so dominiert Microsoft mit einem Marktanteil von rund 70 % im Juli 2023. Dieser Wert sinkt um fast 6 %, wenn man Tablets und Konsolen hinzufügt. Der gesamte Marktanteil von Microsoft Exchange Online für gehostete E-Mails liegt bei knapp über 39 %, aber es ist schwieriger, den gesamten E-Mail-Marktanteil von lokalen und gehosteten Exchange-Produkten zu ermitteln. Innerhalb der Familie liegt die Dominanz von Exchange Online gegenüber lokalen Bereitstellungen etwa bei 3 zu 1.  Das ist für die meisten Unternehmen eine gute Sache, da Exchange Online viel einfacher zu warten und zu verwalten ist als eine lokale Bereitstellung. Es gibt Unternehmen, die Exchange immer noch vor Ort einsetzen müssen oder wollen, und sie haben möglicherweise noch einiges zu tun, um die Sicherheit zu gewährleisten. Die nächste Version von Microsoft Exchange ist für die erste Hälfte des Jahres 2025 geplant. Also vier Jahre nach dem ursprünglich geplanten Veröffentlichungsdatum, da sich die Entwicklungsbemühungen auf den Schutz bestehender Server vor Angriffen durch Nationalstaaten konzentrierten.  

Microsoft SQL Server (MSSQL) ist ein Datenbankserver, der häufig in lokalen Bereitstellungen verwendet wird. Eine gehostete Version von SQL Server steht auf Microsoft Azure zur Verfügung. Pläne für die nächste Version wurden noch nicht bekannt gegeben. Die Nutzerzahlen der Produktivitätssuite Microsoft 365 explodierten, als die Pandemie alle aus dem Büro nach Hause schickte, und im Dezember 2023 gab es 345 Millionen zahlende Kunden, die die Software nutzten.

Dann gibt es noch Microsoft Active Directory (AD), eine Reihe von Prozessen, die auf einem Windows Server-Betriebssystem laufen. Das AD speichert Informationen über Objekte im Netzwerk und dient als zentraler Punkt für die Verwaltung von Benutzern, Geräten, Berechtigungen, Gruppen usw.

Diese Gruppe von Produkten deckt nicht alles ab, aber sie gibt Ihnen eine Vorstellung davon..

Altes erweist sich als Goldmine.

Alte Systeme und ungepatchte Schwachstellen sind eine ideale Gelegenheit für Bedrohungsakteure. Es gibt keine Möglichkeit, genau zu sagen, wie viele Schwachstellen und Bedrohungsmöglichkeiten zu einem bestimmten Zeitpunkt „in freier Wildbahn“ sind. Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) dokumentiert bekannte Schwachstellen und Anfälligkeiten (Common Vulnerabilities and Exposures, CVEs) in ihrem Known Exploited Vulnerabilities (KEV)-Katalog. Die CISA rät allen Organisationen, den KEV-Katalog als „Input für die Priorisierung ihres Schwachstellenmanagements“ zu verwenden. Der KEV-Katalog listet 276 Microsoft-CVEs auf und der Microsoft Security Update Guide enthält über 170 Microsoft-CVEs. Wir können nicht sicher sein, wie viele Microsoft-CVEs noch ungepatcht sind, aber wir wissen, dass diese ungepatchten Systeme in den Vereinigten Staaten (USA) und anderen Ländern eine ernstzunehmende Bedrohung darstellen. Hier sind einige Beispiele:

EternalBlue (CVE-2017-0144): Der berüchtigte NSA-Exploit der Windows-SMB-Sicherheitslücke ermöglichte 2017 einen massiven globalen Cyberangriff. Microsoft hat die Schwachstelle bereits vor Jahren gepatcht, aber Hunderttausende Systeme sind nach wie vor anfällig.

BlueKeep (CVE-2023-29357): Bedrohungsakteure senden bösartige Pakete an anfällige Versionen des Remote Desktop Protocol (RDP). Der Angriff ermöglicht es Eindringlingen, „Konten mit vollen Benutzerrechten hinzuzufügen, Daten anzusehen, zu ändern oder zu löschen oder Programme zu installieren“. Microsoft hat im Mai 2019 ein Security-Patch für diese Schwachstelle veröffentlicht. Das Shodan-Dashboard für die USA zeigt, dass immer noch Tausende mit dem Internet verbundene Computer für diesen Angriff anfällig sind.

Ausgediente Exchange-Server (mehrere CVEs): Lokale Exchange-Server befinden sich häufig auf demselben Rechner wie Dateispeicher, Druckserver und möglicherweise Active Directory. Diese Rechner können als Exchange-Server fungieren oder es kann sich um ehemalige Exchange-Server handeln, die nicht ordnungsgemäß außer Betrieb genommen wurden. Dies könnte bei älteren Small Business Servern der Fall sein, die nur noch für die lokale Speicherung verwendet werden. Die Sicherheitsforscher von Barracuda haben diese veralteten Exchange-Server kürzlich als kritische Bedrohung mit mehreren Schwachstellen eingestuft.

Sicherheitsanfälligkeit für Rechteerweiterung im SharePoint Server (CVE-2023-29357): Microsoft hat diese Schwachstelle im Juni 2023 gepatcht. Es ist nicht bekannt, wie viele Systeme noch anfällig sind, aber am 10. Januar 2024 veröffentlichte die CISA einen Hinweis auf eine aktive Ausnutzung, und US-Behörden müssen die Schwachstelle bis zum 31. Januar 2024 beheben. NIST hat hier technische Details veröffentlicht und die Dokumentation für Forscher finden Sie hier.

Log4Shell / Log4J (CVE-2021-44228): Log4J ist eine Protokollbibliothek, die nicht Microsoft gehört, aber in vielen Anwendungen von Drittanbietern verwendet wird, die möglicherweise auf Microsoft-Systemen ausgeführt werden. Diese Schwachstelle ermöglicht es einem Angreifer, unautorisierten Zugriff auf Systeme zu erlangen und Remote-Befehle auszuführen. Mit diesem Update von April 2022 hat Microsoft die Verwendung von log4j2 in SQL Server 2019 Integration Services (SSIS) beseitigt und das Problem in Java-Editionen von Anwendungen wie Microsoft Minecraft entschärft. Microsoft Defender kann verwendet werden, um Log4J-Schwachstellen auf Ihren Geräten zu erkennen und zu beheben.

sAMAccountName-Sicherheitsumgehung (CVE-2021-42278): Dieser Angriff auf Microsoft Active Directory verwendet eine Funktion, mit der Nicht-Administratoren Computer zur Domain hinzufügen können. Diese Funktion vereinfachte den Betrieb in Umgebungen, in denen Netzwerkbenutzer in der Lage sein sollten, PCs zum Netzwerk hinzuzufügen und grundlegende Konfigurationsaufgaben durchzuführen. Microsoft hat im November 2021 einen Patch und Anweisungen zur Schadensbegrenzung herausgegeben.

Dies sind nur einige wenige alte Schwachstellen, die immer noch ausgenutzt werden. Davon gibt es viele, und viele Altsysteme können einfach nicht ohne Betriebsunterbrechungen aktualisiert oder ersetzt werden.

Auch in neuen Minen findet man Gold.

Nicht nur ältere Systeme und Schwachstellen sind angreifbar. Microsoft SQL Server sind derzeit Ziel eines Angriffs, der das xp_cmdshell-Verfahren verwendet, um Malware- und Ransomware-Payloads herunterzuladen und sich seitlich durch das Netzwerk zu bewegen, um auf Domain Controller und andere Systeme zuzugreifen. Xp_cmdshell ist eine legitime Funktion, mit der Windows Shell-Befehle aus der SQL Server-Umgebung ausgeführt werden können. Diese Funktion ist standardmäßig deaktiviert und sollte nur für bestimmte Zwecke aktiviert werden. Dieser Angriff basiert auf einer Fehlkonfiguration und zeigt, wie wichtig es ist, eine Komponente zu verstehen, bevor man ihren Standardzustand ändert. Ausführliche Informationen zu diesem MSSQL-Angriff finden Sie hier.

Dieser Angriff auf den NT Lan Manager (NTLM) zur erzwungenen Authentifizierung missbraucht eine legitime Funktion in Microsoft Access. Wie die oben genannten Bedrohungen für SQL Server und Active Directory kann auch dieser Angriff nicht vollständig durch einen Patch verhindert werden. Das Prinzip der geringsten Privilegien, Zero-Trust-Sicherheit, proaktive Abwehrmaßnahmen (Threat Hunting) und andere bewährte Verfahren müssen in Ihren Security-Plan integriert werden.

Wenn sich ein Cyberangreifer Zugang zu Ihren Systemen verschafft, kann er nach der Infektion Strategien anwenden, um alles, was er im Netzwerk findet, auszunutzen. Hier ist eine sehr grundlegende Sicherheitsübersicht:

  1. Stellen Sie sicher, dass der Angreifer nicht eindringen kann.
  2. Stellen Sie sicher, dass der Angreifer bemerkt wird, sobald er eindringt.
  3. Holen Sie den Angreifer so schnell wie möglich da raus.
  4. Räumen Sie sein Chaos auf.
  5. Sorgen Sie dafür, dass er nicht erneut auf diese Weise hineinkommt.

Das ist natürlich nicht umfassend, aber es veranschaulicht den entscheidenden Punkt, nämlich dass man sich nach dem zweiten Schritt in der Phase nach der Infektion befindet. Hier können Netzwerksegmentierung, geringstmögliche Zugriffsrechte und sichere Konfigurationen die Auswirkungen verringern. Wenn Sie über XDR und SOC-as-a-Service verfügen, verbessert sich Ihre Situation nach der Infektion erheblich.

Was nun?

Abschließend kehren wir zum Anfang zurück. Wie groß ist Ihre Microsoft-Angriffsfläche? Wie viel Microsoft verteidigen Sie?

Wenn Sie etwas sichern wollen, müssen Sie zunächst einmal wissen, dass es da ist. Sie müssen Ihre Inventare auf den neuesten Stand bringen, Ihre Computer- und Cybersecurity-Standards durchsetzen und Schatten- und Schurken-IT eliminieren. Einige Projekte werden länger dauern als andere. Das Aktualisieren von Alt-Systemen ist keine schnelle und einfache Aufgabe. Selbst etwas so Einfaches wie die Reduzierung von Berechtigungen auf die geringsten Privilegien kann zu einem Projekt werden, das die Zustimmung aller Beteiligten erfordert.

Wahrscheinlich haben Sie bereits ein Patch-Management-System eingerichtet. Es muss nicht aufwändig sein, sondern nur sicherstellen, dass alles zum richtigen Zeitpunkt aktualisiert wird. Microsoft veröffentlicht regelmäßig Updates und Informationen zur Schadensbegrenzung. Bleiben Sie also stets auf dem Laufenden.

Eine der klügsten Maßnahmen ist die Bereitstellung einer Lösung wie Barracuda Managed XDR. Dies ist eine der einfachsten und kostengünstigsten Möglichkeiten, proaktive Sicherheit für jeden Bedrohungsvektor bereitzustellen. Barracudas globales Security Operations Center (SOC) bietet das ganze Jahr lang rund um die Uhr Abdeckung durch Sicherheitsanalysten mit den aktuellsten Bedrohungsinformationen. Dies sind die Leute, die ständig nach Anomalien und bedrohlichen Verhaltensweisen in Ihren Systemen suchen.

Besuchen Sie unsere Website, um mehr über Barracuda Managed XDR zu erfahren, und lesen Sie in diesem Blog, wie das Barracuda SOC die ersten 24 Stunden nach dem ersten Log4J-Alarm verbracht hat. 

 

 

Christine Barry

Christine Barry ist Senior Chief Blogger und Social Media Manager bei Barracuda.  Bevor sie zu Barracuda kam, war Christine über 15 Jahre lang als Außendiensttechnikerin und Projektmanagerin für K12- und KMU-Kunden tätig.  Sie hat mehrere Zugangsdaten für Technologie und Projektmanagement, einen Bachelor of Arts und einen Master of Business Administration. Sie ist Absolventin der University of Michigan.

Vernetzen Sie sich hier auf LinkedIn mit Christine.

Verwandte Beiträge:
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
 The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Cyber crooks getting younger — and more dangerous
Cyber crooks getting younger — and more dangerous
Lazarus Group: A criminal syndicate with a flag
Lazarus Group: A criminal syndicate with a flag
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.