Authentifizierung: Lektionen aus den Microsoft Exchange- und F5 BIG-IP-Hacks

Der letzte Monat war eine sehr dynamische Zeit in der Welt der Sicherheit – sowohl für Hacker als auch für Bedrohungsforscher. Doch für CSOs, die für den Schutz ihrer Unternehmensnetzwerke verantwortlich sind, war dieser Monat ein regelrechter Albtraum. 

Zunächst einmal wurden vor Ort installierte Microsoft Exchange-Server in Scharen angegriffen, nachdem eine Reihe von Zero-Day-Schwachstellen entdeckt wurden. Das führte zur breiten Infiltration Hunderttausender von Unternehmen. Diese Schwachstellen ermöglichen es Cyberkriminellen, Maschinen fernzusteuern, E-Mails zu lesen und Zugriff auf interne Unternehmensressourcen zu erhalten. Um zu verdeutlichen, wie weit dieser Angriff verbreitet war: Akamai beobachtete in den beiden Tagen nach der Offenlegung über 290.000 eindeutige Versuche, diese Schwachstellen auf unserer globalen Plattform zu scannen und/oder auszunutzen. Microsoft hat schnell Patches für die Schwachstelle veröffentlicht, aber Umfang und Skalierung der Sicherheitsverletzungen werden noch einige Zeit unbekannt bleiben, da einige Unternehmen aufgrund des Exploits mit Advanced Persistent Threats konfrontiert sind.

Und als ob das noch nicht schlimm genug wäre, waren die Kunden des IT-Sicherheitsunternehmens F5, das fast alle Fortune-50-Unternehmen der Welt bedient, von einer weiteren Reihe äußerst schwerwiegender Anwendungsschwachstellenbetroffen – dieses Mal in der F5 BIG-IP-Familie von Lastausgleichs- und Sicherheitsprodukten. Diese Sicherheitslücken ermöglichen die Remoteausführung von Systembefehlen, was potenziell die vollständige Kontrolle über den Server, das Abfangen und die Umleitung des Webtraffics, die Entschlüsselung des für Webserver bestimmten Datenverkehrs und die Infiltration als Jumphost erlaubt, um andere Bereiche des Netzwerks zu erreichen. Die National Vulnerability Database stufte diese Schwachstellen als kritisch ein, einige mit der CVSS-Bewertung 9,9 von 10.

Diese beiden Schwachstellen, die von Angreifern in der Praxis aktiv ausgenutzt werden, betreffen leistungsstarke, stark genutzte Systeme, in denen eigentlich eine Authentifizierung integriert ist. Wie konnte das also passieren?

Anwendungsauthentifizierung

Sowohl in Microsoft Exchange als auch in F5 BIG-IP ist eine Authentifizierung erforderlich, bevor Aktivitäten ausgeführt werden können, die Berechtigungen erfordern. Obwohl dies ein wichtiger und erforderlicher Aspekt der Sicherheit ist, gehen viele Personen fälschlicherweise davon aus, dass diese Authentifizierung, die auf Anwendungsebene angewendet wird, ausreichenden Schutz bietet.

Das ist jedoch ein Irrtum. Wenn ein Endnutzer eine Anwendung so erreichen kann, dass sie ihn zur Eingabe von Anmeldeinformationen auffordert, hat er bereits dafür gesorgt, dass Code ausgeführt wird. Dies gilt unabhängig von der Authentifizierungsmethode oder der Eingabeaufforderung. Es spielt keine Rolle, ob die Anwendung einen Endnutzer an einen IdP umleitet oder direkt nach einem Nutzernamen und einem Passwort fragt. Die Tatsache, dass Anmeldedaten abgefragt werden, bedeutet, dass die Anwendung über das Netzwerk kontaktiert wurde, dass Code ausgeführt wurde und dass dem Endnutzer eine Antwort bereitgestellt wurde.

Und hier liegt das Problem. Anwendungen werden von Menschen geschrieben – und Menschen machen Fehler. Das ist auch die Ursache der Schwachstellen in Microsoft Exchange und F5 BIG-IP. In beiden Fällen kam es zu falschen Prüfungen der Authentifizierung, die es Payloads ermöglichten, gültige Anmeldungen zu umgehen und den Exploit auszuführen. Mit anderen Worten: Die Tatsache, dass die Systeme erreichbar sind, reicht aus, um sie auszunutzen.

Was können Sie tun, wenn Sie nicht darauf vertrauen können, dass die Anwendung perfekt implementiert ist?

Netzwerkauthentifizierung

Die richtige Antwort auf dieses Problem ist schon seit einiger Zeit bekannt: Verknüpfen Sie die Authentifizierung nicht nur mit der Anwendung, sondern auch mit dem Netzwerk. Zero-Trust-Netzwerkzugriff ist eine solche Methode. In einer Zero-Trust-Umgebung befindet sich ein Proxy zwischen den internen Netzwerkressourcen eines Unternehmens und den Nutzern, die darauf zugreifen möchten. Die grundlegende Netzwerkkommunikation kann erst hergestellt werden, wenn die Identität des Endnutzers festgelegt wurde.

Die Authenticators, die in einer Zero-Trust-Umgebung verwendet werden können, sind in der Regel weitaus umfangreicher als ein VPN, einschließlich Nutzeridentität, Gruppen, Gerätestatus, Multi-Faktor-Authentifizierung (MFA), Tageszeit, Standort, User and Entity Behavior Analytics (UEBA), Reputation des Kunden und vieles mehr. Erst wenn der Proxy die Authentifizierung validiert und festgestellt hat, dass der Nutzer für den Zugriff berechtigt ist, können Pakete die Anwendung tatsächlich erreichen, wo dann zusätzliche Authentifizierungs- und Autorisierungsprüfungen durchgeführt werden können.

Das hat erhebliche Auswirkungen auf die Reduzierung der Angriffsfläche. Im Falle von Microsoft Exchange und F5 BIG-IP bedeutet dies, dass die Schwachstellen nur von Insidern und nicht von jedem auf der Welt ausgenutzt werden können, der den Computer erreichen kann. Das ist eine deutliche Verbesserung.

Aber gibt es noch etwas, das wir tun können?

Es geht um das Wer und Was

Die Reduzierung der Angriffsfläche von der ganzen Welt auf Insider ist wohl der wirkungsvollste Schritt, den ein Unternehmen ergreifen kann, um sich vor den oben genannten Schwachstellen zu schützen. Hierdurch wird die Bedrohung jedoch nicht vollständig beseitigt, sondern einfach nur eingeschränkt, wer sie nutzen kann.

Das Problem besteht darin, dass auch Insider schädliche Aktionen ausführen können, entweder direkt oder – viel häufiger – indirekt durch Malware, die auf ihrem Computer installiert ist, oder durch Diebstahl von Anmeldedaten und gefälschte Identitäten, die von Cyberkriminellen ausgenutzt werden. Um sich weiter zu schützen, kann eine Web Application Firewall (WAF) helfen, das Risiko hinsichtlich der Frage zu beseitigen, was gesendet wird. Sobald die Signaturen des Angriffs bekannt werden, hindert eine WAF selbst böswillige Insider daran, Exploit-Payloads bereitzustellen, was die Sicherheitslage des Unternehmens weiter stärkt.

Sie fragen sich vielleicht, warum man eine WAF braucht, wenn doch letztendlich Patches die Schwachstelle vollständig beseitigen. Die Antwort liegt im Wort „letztendlich“. Unternehmen sind bei der Anwendung kritischer Patches oft sehr langsam, da sie bereits erlebt haben, wie schlecht geschriebene Patches zu Ausfällen geführt haben. In anderen Umgebungen verfügt ein Unternehmen möglicherweise nicht einmal über eine vollständige Übersicht aller Assets, die einen Patch erfordern.

In diesen Fällen kann durch Bereitstellung einer WAF der für das Patching verfügbare Zeitraum sicher verlängert werden. Administratoren können den Patch testen, eine Staging-Umgebung erstellen und in einem Zeitrahmen bereitstellen, der den Geschäftsanforderungen entspricht. So können sie sicherstellen, dass sie vor der Ausnutzung der Schwachstelle geschützt sind, da die WAF die gesamte Kommunikation der anfälligen Services filtert.

Zeit, zu handeln

Glücklicherweise bietet Akamai eine umfassende Suite von Produkten, Services und Funktionen, mit denen Ihr Unternehmen die Sicherheit steigern kann.

Zum Beispiel unser Produkt Akamai Enterprise Application Access , eine vollständige Zero-Trust-Zugriffslösung, die das Schließen aller eingehenden Firewallports und das Entfernen von DMZ-Anwendungen ermöglicht.  Durch unsere Proxys und umfassenden Authentifizierungs- und Autorisierungsprimitive haben autorisierte Nutzer und Geräte uneingeschränkten Zugriff, jedoch nur auf die internen Anwendungen, die sie benötigen – ohne zusätzlichen Zugriff auf andere Ressourcen im Netzwerk.

Für Mitarbeiter bedeuten diese erhöhten Sicherheitsprüfungen keine zusätzlichen Schritte oder Unannehmlichkeiten beim Zugriff auf die benötigten IT-Ressourcen. Tatsächlich wird alles einfacher und sicherer.  Dank der nativen Integration von Active Directory, Azure AD, SAML, OIDC, OAuth kann Ihr Unternehmen die genannten Sicherheitsvorteile nutzen, ohne dass Änderungen an Ihren bestehenden Abläufen für die Anwendungsauthentifizierung vorgenommen werden müssen.

Darüber hinaus können Sie mit unserem Produkt Akamai MFA die genannten Schutzmechanismen erweitern – durch Verwendung von zum Patent angemeldeter, Phishing-sicherer Multi-Faktor-Authentifizierung. Mit dieser Lösung können Endnutzer ihre Smartphones verwenden, um die hochmoderne FIDO2-Authentifizierung zu nutzen, die derzeit stärkste standardbasierte Methode. Bei anderen Lösungen ist dafür immer noch die Verwendung physischer Sicherheitsschlüssel erforderlich, die nicht nur kostspielig sind, sondern außerdem von Mitarbeitern in der Regel als unpraktisch wahrgenommen werden und daher nicht sehr beliebt sind.

Und schließlich können Sie Kona WAF von Akamai verwenden, um nicht nur die gesamte Palette von Standardangriffen auf Webanwendungen zu blockieren, sondern auch die spezifischen Angriffe auf nicht gepatchte Exchange-Instanzen, die zuvor beschrieben wurden. Weitere Informationen finden Sie unter So kann Akamai Sie im Kampf gegen die neuesten Exploits für Microsoft Exchange unterstützen.

Akamai kann Ihnen dabei helfen, Ihre Reise zu Zero-Trust-Sicherheit zu starten und zu einem Zugriffsmodell der geringstmöglichen Berechtigungen zu wechseln. Kontaktieren Sie uns, um zu erfahren, wie wir Ihnen helfen können, ähnliche Sicherheitsvorfälle zu vermeiden.