profile

Michael Mayer

Die 7 Credential-Todsünden

Published about 1 month ago • 3 min read

Cyberkriminelle finden Ransomware cool, aber "allein" ist sie nicht sehr effektiv. Erst mit den passenden Credentials, also Anmeldeinformationen wie Kennwörter und Schlüssel, können sie sich im ganzen Netzwerk ausbreiten und für massiven Schaden sorgen.

Das kann man sich so vorstellen wie bei einem Einbrecher, der nur ein Büro knackt, aber der Hausmeister hat einen Schlüsselbund für den ganzen Bürokomplex. Leider findet man Credentials an allen Ecken und Enden.

Warum Credentials beliebt sind

Angreifer müssen gezwungenermaßen nach den Regeln ihrer Opfer spielen. Sie haben also auch ein gewisses Maß an Zielgruppenverständnis und Kundenorientierung. 😬

Sie verschaffen sich zum Beispiel über eine Phishing-Mail Zugriff auf deinen Rechner. Damit der Schadcode nicht gleich vom Anti-Virus entdeckt wird, bleibt er im Arbeitsspeicher und wird nicht auf die Festplatte geschrieben. Oft nutzt Malware sogar Funktionen des Betriebssystems, die nicht ausreichend gesichert wurden. Diese Programme werden auch "Living off the Land Binaries" genannt. Eine Sammlung davon findest du im LOLBAS Project hier: https://lolbas-project.github.io/

Das Problem dabei ist, dass wenn du den Rechner abdrehst, der Zugriff auch automatisch weg ist. Er müsste wieder von Neuem kompromittiert werden. Wenn Angreifer aber Credentials auf deinem Rechner finden, dann können sie diese verwenden, um auch die anderen Systeme im Netzwerk zu kompromittieren. Server und OT-Geräte sind da sehr beliebt, denn die laufen im Normalfall rund um die Uhr.

Die 7 Credential-Todsünden

Nicht nur in der Bibel gibt es 7 Todsünden, sondern auch bei Credentials in Netzwerken. Cybersecurity ist mir auf alle Fälle heiliger als das alte Buch. 😈

1. Abbild

Nein, damit meine ich nicht die Eitelkeit auf Instagram, sondern Golden Master Images von Clients und Servern. Ein perfektioniertes Abbild, über das alle anderen Endgeräte ausgerollt werden. Wenn ein Angreifer ein Gerät hackt, kann er die Standard-Passwörter auslesen und auf allen anderen Geräten, die gleich sind, wiederverwenden.

2. Wiederholung

Nicht nur du hast dein Lieblingskennwort. Viele IT-Abteilungen haben auch ihre Standard-Passwörter, auf die sie seit Jahrzehnten zurückgreifen. Egal, ob es um das Kennwort des BIOS, die Deinstallation des Antivirus oder den Notfall-Admin geht. Oft sind es die lokalen Accounts, die nicht zentral verwaltet werden. Deshalb bleiben die Kennwörter meistens lange gültig.

3. Verzögerung

Das ist ein echter Klassiker, wenn es um besonders kritische Service-Accounts geht, die eine garantierte Downtime verursachen. Oft sind Kennwörter an unzähligen verschiedenen Stellen in alten Anwendungen hinterlegt, oder müssen auf mehreren Servern gleichzeitig geändert werden. Man sollte sie zumindest jährlich ändern, aber meistens wird es dann doch erst auf den Sankt-Nimmerleins-Tag verschoben. Bei Service-Accounts ist es verdammt schwer, eine Kompromittierung festzustellen. Wenn du das Kennwort aber änderst, sperrst du die Angreifer automatisch aus.

4. Schlampigkeit

Jede Credential-Kette ist nur so stark wie ihr schwächstes Glied. Viele Admins arbeiten mit äußerst sensiblen Credentials direkt von ihrem normalen Rechner. Über den werden E-Mails empfangen, im Internet gesurft und dort sind auch die Standard-Kennwörter gültig. Die gleichen Todsünden gelten natürlich auch für Admins – das Schadensausmaß ist aber umso größer.

5. Geschenk Gottes

Multi-Faktor-Authentisierung (MFA) ist in aller Munde, hilft aber nur vor der Anmeldung, nicht danach. Nachdem du dich per Fingerprint, Push-Nachricht, Face ID etc. authentifiziert hast, bekommst du einen Session-Token und darfst ins System rein. Wenn Angreifer das Endgerät kompromittiert haben, über das du dich anmeldest, warten sie, bis du mit deiner Anmeldungs-Zeremonie fertig bist, und stehlen den Token danach.

6. Hygiene

Es ist nicht nur wichtig, sich regelmäßig die Hände zu waschen, sondern auch, sich um die Hygiene seiner Credentials zu kümmern: Nicht geänderte Standard-Kennwörter vom Hersteller, hardcoded Credentials in Konfigurationsdateien und Scripts, verwaiste Zugänge in Dokumentationen und vieles mehr.

7. Überfluss

Oft haben Service-Accounts mehr Berechtigungen, als sie eigentlich brauchen. Wenn die Anwendung kompromittiert wird, erbt der Angreifer auch dessen Rechte. Oft läuft die Anwendung mit höchsten Privilegien. Wenn sie gehackt wird, ist auch der ganze Server kompromittiert. Wenn es sich sogar um eine zentrale Anwendung handelt, die auf allen Servern läuft, sind unter Umständen alle Server kompromittiert. Bei den IT-Admins ist das ähnlich, wenn sie Admin-Rechte auf allen Servern haben. Wenn ein Server gehackt wird und sich ein Admin darauf anmeldet, sind auch alle anderen Server kompromittiert.

Fazit

Ransomware, Malware & Co sind cool, aber ohne Credentials ist der Wirkungsraum begrenzt. Klar, wenn ein Mitarbeiter Zugriff auf das Abteilungslaufwerk hat, wären dort die Dateien auch verschlüsselt.

Finden Hacker auf den Rechnern aber sonst noch interessante Credentials, wie Service-Accounts, Admin-Accounts und Standard-Kennwörter, dann kann sich die Ransomware schnell wie ein Lauffeuer verbreiten. 👿

Michael Mayer, Modecenterstraße 22, Wien, 1030
Abbestellen · Einstellungen

Michael Mayer

Ein Security-Nerd schreibt Klartext

MACH dir deine Security selbst. Jeden Samstagmorgen, teile ich anwendbare Strategien und Anekdoten aus der Welt der Cyber Security. Ganz ohne Fachchinesisch!

Read more from Michael Mayer

Der Handwerker fährt vor, öffnet seinen Transporter und zeigt eine fest installierte und perfekt aufgeräumte Fahrzeugeinrichtung. Jeder Koffer ist beschriftet, jedes Ersatzteil ist in seinem Container und die Ladung ist gesichert. Er weiß genau, was er braucht. Die IT in vielen Firmen ist genau das Gegenteil. Wie ein Schüttkasten voller Ramsch, Dreck und viel zu vieler Werkzeuge. Den 10er Gabelschlüssel haben sie in 8-facher Ausführung, aber nie griffbereit. Das Werkzeug-Arsenal Fast jedes...

1 day ago • 5 min read

Die meisten Firmen haben inzwischen eine Cyberversicherung. Für Versicherungsmakler ist es schließlich super, wenn ein komplett neues Produkt auf den Markt kommt, das sie dann vertreiben können. Die Geschäftsführung liest sich die Deckungssummen durch und unterschreibt. Endlich wieder ruhig schlafen! Aber war's das damit? Die Theorie Wenn du schon mal mit Versicherungen und Schadensmeldungen zu tun hast, dann weißt du, dass nur der Vertragsabschluss reibungslos ist. Das erinnert mich gerade...

9 days ago • 3 min read

Halloween ist zwar erst nächste Woche, aber es wäre langweilig, am 1. November noch einen Grusel-Newsletter zu lesen. Daher gibt es ihn schon diese Woche! 🧟🎃 Was ist schlimmer als Stillstand? Auf einem Zombie-Pferd zu reiten! Damit meine ich keine schlecht selektierten Tools, sondern falsche Schlussfolgerungen. Die Logik, dass das Netzwerk sicher ist, weil bisher noch nichts passiert ist, ist genauso schwachsinnig wie die Vorstellung, unsterblich zu sein, nur weil man noch nicht gestorben...

16 days ago • 2 min read