Kein Unternehmen kann auf umfassende Maßnahmen zum Schutz seiner IT-Infrastrukturen und damit auf Schwachstellenscans verzichten. Die Systeme und Prozesse werden immer komplexer, und in vielen Bereichen sind die Gefahren in der eigenen Organisation zu finden. Wir unterstützen Sie dabei, die Schwachstellen und Sicherheitslücken zu identifizieren und zu analysieren.
Aufgrund der veröffentlichten Sicherheitslücke Log4Shell hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die höchste Warnstufe ausgesprochen. Die Sicherheitslücke in Log4j, einer beliebten Protokollierungsbibliothek für Java-Anwendungen, macht große Teile der digitalen Infrastruktur verwundbar. Angreifer, die diese Lücke ausnutzen, können möglicherweise Schadsoftware auf fremden Systemen ausführen lassen und diese so kompromittieren oder sogar komplett übernehmen.
Wenn Sie wissen wollen, ob Ihr Unternehmen möglicherweise von dieser Sicherheitslücke betroffen ist, sprechen Sie uns an. Wir bieten unseren Kunden einen kostenlosen Check aus dem Internet an, ob Schwachstellen durch Log4Shell vorhanden sind und ob es Hinweise darauf gibt, dass diese möglicherweise bereits ausgenutzt wurden. Wichtig ist aus unserer Sicht, dass Sie auch in den nächsten Monaten permanent ihre Systeme auf Schwachstellen prüfen und mögliche Lücken zeitnah patchen.
Unsere Spezialisten untersuchen die Lücken, die trotz vieler Sicherheitsmaßnahmen immer wieder unbeachtet bleiben. Oftmals reicht selbst ein fundiertes Patch Management nicht aus. Erfahrungsgemäß existieren an vielen Stellen noch immer schwache oder sogar Standard-Passwörter. Auch in der fehlerhaften Konfiguration von Servern, Peripheriegeräten und Anwendungen lauern große Gefahren. Das Angebot von mod IT Services bietet die Möglichkeit, die sicherheitsrelevanten Lücken per Schwachstellenanalyse in Ihrer IT besonders tiefgreifend und umfassend kennenzulernen.
Sie erhalten Klarheit über das bisherige Sicherheitsniveau der IT-Infrastruktur Ihres Unternehmens. Gleichzeit zeigen Ihnen die Security-Spezialisten von mod IT Services auf, wo Handlungsbedarf besteht, um Ihre IT-Umgebung wirkungsvoll und nachhaltig abzusichern.
Gemeinsam mit Ihnen definieren wir die Ziele der Untersuchung und stimmen die Schwerpunkte der Überprüfung ab.
Wir scannen die internen Systeme (LAN) auf Schwachstellen und beziehen je nach Anforderung auch externe Systeme (Internet, DMZ) ein.
Wir untersuchen die Ergebnisse der Security-Scans und erarbeiten Empfehlungen für konkrete Lösungen.
Die Erkenntnisse der Untersuchung werden in einer Management-Präsentation vorgestellt und/oder im Rahmen eines Workshops für IT-Administratoren durch weitere Handlungsempfehlungen zum Thema Networkscanner ergänzt.
Sebastian Brabetz, IT-Security Engineer bei mod IT Services, im Gespräch mit dem modus über die Untersuchungen bei zahlreichen Kunden.
Aus den zahlreichen Schwachstellenscans haben die Sicherheitsspezialisten von mod IT Services interessante Erkenntnisse gewonnen. Die Auswertung der Ergebnisse offenbart viele Lücken. Die fünf gefährlichsten Schwachstellen beschreiben wir hier.
Das Patchen der Microsoft-Umgebung ist in allen Firmen mit Windows Servern mittlerweile ein selbstverständlicher Prozess. Microsoft bringt jeden Monat am Patch Day mindestens einen kritischen Patch heraus, der zeitnah eingespielt werden sollte. Doch was passiert mit den hochkritischen Systemen in der Produktion oder in den Forschungs- und Entwicklungsabteilungen? Hier wird aufgrund von fehlenden Hersteller-Supports oder aus Angst vor Unterbrechungen nicht automatisiert gepatcht.
Ein Klassiker ist auch der Fall, bei dem zwar alle Windows Updates installiert werden, aber die aktualisierten Dateien auf der Festplatte (oft DLLs) nach dem Patchen nicht die Versionsnummer aufweisen, die Microsoft verteilen wollte. So bestehen im System weiterhin teils kritische Sicherheitslücken, obwohl der Update-Dialog von Windows einen grünen Haken und „Windows ist auf dem aktuellsten Stand“ anzeigt. Außerdem gibt es immer wieder den Server oder Client, der vor Jahren aufgesetzt wurde und seither unbeaufsichtigt und ohne Pflege läuft. Ein Angreifer kann hier unter Umständen an administrative Benutzer und Domänen-Accounts gelangen.
Im Gegensatz zu Windows Updates und dem Windows Server Update Service (WSUS) von Microsoft ist es nicht in jedem Unternehmen selbstverständlich, eine zentrale Patch-Infrastruktur für Third-Party-Applikationen vorzuhalten. So sind der Acrobat Reader, Flash, Java, Firefox und Chrome eigentlich immer auf einigen Systemen mit veralteten Versionen vertreten. Genau diese Applikationen zählen heute allerdings zu den Haupt-Einfallstoren in Unternehmen. Für einen Angreifer ist es meist relativ einfach, die eingesetzten Versionen von Anwendungen aus der Ferne zu identifizieren. So präsentieren Browser und Applikationen wie der Acrobat Reader einem Webserver im Internet einen sogenannten „User Agent String“, der in vielen Fällen sogar die genaue Versionsnummer bis auf die Nachkommastelle preisgibt.
Ein Angreifer könnte beispielsweise einen Link oder ein legitimes PDF-Dokument mit dem Verweis auf einen Webserver versenden, der von ihm kontrolliert wird. Anschließend genügt die Auswertung des Webserver Log, um eine genaue Auflistung von vermeintlich verwundbaren Client-Applikationen zu bekommen. Eine einfache und schnell erledigte Möglichkeit ist es, das eigene Proxyserver Log auf die entsprechende „User Agent“ Spalte zu filtern und diese zu gruppieren. Mit genauen Versionsnummern kann ein Angreifer dann sogenannte Client-Side-Angriffe durchführen, bei denen Schwachstellen in den Applikationen der Anwender gezielt ausgenutzt werden, um das System völlig unbemerkt vom Anwender mit Malware zu infizieren. Einmal infiltriert, dient dieser Rechner im schlimmsten Fall als Sprungpunkt für Angreifer in das interne Firmennetzwerk.
Kaum ein Drucker wird heute noch direkt via USB mit einem Computer auf dem Schreibtisch des Anwenders verbunden. Üblicherweise stehen einer großen Benutzergruppe leistungsstarke Multifunktionsgeräte mit zusätzlicher Scan- und Faxfunktion zur Verfügung. Gedruckt, gemailt und gefaxt wird hier über das Netzwerk, in dem der Drucker oft uneingeschränkt ansprechbar ist. Nicht alle Unternehmen sind sich hierbei bewusst, dass diese Drucker regelmäßig Schwachstellen enthalten, die es ermöglichen, an Informationen auf dem Drucker zu gelangen. Ein gefährliches Szenario wäre hier zum Beispiel der ungeschützte Netzwerkdrucker auf der Chefetage, der es ermöglicht, alle gedruckten oder eingescannten Dokumente abzufangen. Eine Stufe gefährlicher wird es, wenn die administrativen Interfaces der Drucker nicht mit Passwörtern geschützt oder noch mit den Auslieferungs-Passwörtern versehen sind. Für versierte Angreifer wäre es möglich, eine manipulierte Firmware einzuspielen, die jedes gescannte oder gedruckte Dokument unbemerkt an eine externe E-Mail-Adresse versendet.
„calvin“, „PASSW0RD“, „admin“ oder „changeme“ lauten die Standard-Passwörter, mit denen eine Vielzahl von Servern mit sogenannten „Out of Band Management Prozessoren“ (z.B. iLO, iDrac oder ähnliche) ausgeliefert werden.
Ein ungesicherter Fernwartungszugang ermöglicht nicht nur das harte Ausschalten eines kritischen Servers, sondern auch seine Administration. Tastatur, Bildschirm und Maus (KVM) können über das Netzwerk gesteuert werden. Auch das Einlegen von CD- oder USB-Stick-Abbildern ist auf diesem Wege möglich. Angreifer sind damit in der Lage, einen Server beispielsweise von einer CD zu booten und die Daten auf der Festplatte zu dem System auszulesen. Auch lokale Passwörter wie die des Administratorenkontos sind damit abrufbar.
Neben den Standardpasswörtern nach einer Auslieferung oder Installation sind eine Gefahrenquelle die weitverbreiteten schwachen Passwörter. Gerade Kennwörter wie „admin“, „12345“ oder „qwert“ sind mit sehr wenig Zeitaufwand durchprobiert und ermöglichen einem Angreifer den Zugang zu kritischen Systemen besonders einfach und schnell.
Unsichere Konfigurationen können in allen möglichen Formen auftreten. Ob Dateifreigabe mit SSH-Private-Keys, Klartext-Passwortdokumente oder komplette Laufwerke, die versehentlich anstelle eines einzelnen Ordners freigegeben wurden: oftmals machen unbedarfte Konfigurationen und Flüchtigkeitsfehler das gesamte Firmennetzwerk angreifbar. Gerade wenn bestimmte Konstellationen von Schwachstellen auftreten, wird der unerlaubte Zugriff noch einfacher. Dies verdeutlicht das Beispiel: Eine veraltete Apache-Tomcat-Installation mit dem administrativen Kennwort „tomcat“ ermöglicht es, Java Code im Kontext des Webserver-Dienst-Benutzers auszuführen. Läuft dieser aufgrund manueller Eingriffe auf höchster Benutzerebene eines Windows-Systems, so kann ein Angreifer auf diesem Wege das Passwort des lokalen Administrator-Accounts auslesen. Wenn dieses Passwort zusätzlich auf allen Clients oder Servern identisch ist, hat ein Angreifer innerhalb kurzer Zeit nahezu das gesamte Firmennetzwerk übernommen.
ITIL ist ein flexibles Regelwerk, welches dazu dient, die Rollen und ProzDie hier gezeigten Schwachstellen sind nur einige Beispiele aus den angeführten Kategorien. Die Untersuchungen von mod IT Services haben viele Lücken gefunden, die oftmals einfach unentdeckt bleiben. Die Angriffsflächen sind in vielen Unternehmen mittlerweile so komplex, dass nur systematische Prozesse auf Dauer zu einer messbaren Steigerung der IT-Sicherheit führen können. Hier hilft das Angebot zum Schwachstellenscan, die Sicherheitslücken zu identifizieren, um anschließend die entsprechenden Maßnahmen für den Schutz zu ergreifen.esse für den Betrieb von IT Services betriebswirtschaftlich sinnvoll zu bestimmen. ESM überträgt im Grunde genommen die Logik von ITIL auf alle unterstützenden Geschäftsprozesse. Somit arbeiten dann auch Fachabteilungen wie HR oder Finance effizient mit Service-Request-Tickets, wie es in der IT durch ITIL längst Standard ist. Im Endeffekt arbeitet das gesamte Unternehmen deutlich effizienter.
Grimsehlstraße 23
37574 Einbeck
T +49 5561 922-0
Hans-Böckler-Allee 20
30173 Hannover
T +49 511 902 850
Miramstraße 87, Geb. B
34123 Kassel
T +49 5561 922-0
Grimsehlstraße 23
37574 Einbeck
T +49 5561 922-0
Hans-Böckler-Allee 20
30173 Hannover
T +49 511 902 850
Miramstraße 87, Geb. B
34123 Kassel
T +49 5561 922-0