Haftungsausschluss: Dieser Beitrag dient ausschließlich Bildungs- und Informationszwecken. Die hier gezeigten Informationen und Angriffe dürfen niemals für illegale Zwecke oder auf Systemen, für die keine explizite Erlaubnis eingeräumt wurde, verwendet werden. Solche Handlungen können gegen geltende Gesetze verstoßen und schwerwiegende rechtliche Konsequenzen nach sich ziehen.

Zusammenfassung

Dieser Eintrag fasst einige Security-Hardening Maßnahmen zusammen, die für Client-Workstations relevant sind. Dieses SecCore Essential ist implementiert, wenn die folgenden Punkte zutreffen:

  • Alle Endgeräte sind mittels Full-Disk-Encryption (FDE) verschlüsselt. Beispiele:
    • Microsoft Windows: BitLocker1
    • GNU/Linux: LUKS Encryption2
    • macOS: FileVault3
  • Standardbenutzer haben normalerweise keine administrativen Berechtigungen auf den Systemen
  • Automatische Security-Updates und -Patches werden regelmäßig eingespielt
  • Eine automatische Bildschirmsperre nach spätestens 15 Minuten ist aktiv
  • Alle Endgeräte sind mit moderner Antiviren-Software ausgestattet

Zusätzlich müssen die folgenden Einstellungen auf Microsoft Windows Systemen umgesetzt sein:

  • Schutz gegen das Auslesen von Zugangsdaten
    • LSA Protection4
    • Credential Guard5 (benötigt Windows Enterprise!)
  • Virtualization-Based Security6
  • PowerShell kann nicht in der Version 2 gestartet werden
    • Dies kann mit einem PowerShell-Befehl erledigt werden: Disable-WindowsOptionalFeature -Online -FeatureName MicrosoftWindowsPowershellV2 -Remove
  • Die Ausführung von Microsoft Office Makros ist deaktiviert

Einleitung

Client-Workstations sind in Unternehmensumgebungen in der Regel einer der wichtigsten Endpunkte. Diese werden für die tägliche Arbeit mit E-Mails und Dokumenten sowie für die Interaktion mit internen und externen Anwendungen verwendet. Daher ist es besonders wichtig, für diese Systeme ein sinnvolles Security-Konzept zu erarbeiten, das mit der Nutzung der Systeme abgestimmt ist.

Häufige Angriffsvektoren

Die folgenden Abschnitte beschreiben verschiedene Angriffsvektoren auf Client-Systeme.

Phishing & Malware

Die meisten Cyber-Security Vorfälle beginnen damit, dass Zugangsdaten von Mitarbeitenden über Phishing oder Schadsoftware im Unternehmen gestohlen werden. Eine aktuelle Antivirenlösung (AV), idealerweise in Kombination mit Endpoint Detection and Response (EDR), trägt dazu bei, das Risiko einer erfolgreichen Malware-Infektion zu minimieren.

Microsoft-Office-Dokumente mit Makros werden auch heute noch häufig zur Infektion mit Schadsoftware verwendet. Die Wahrscheinlichkeit, dass solche Dokumente geöffnet werden, ist vor allem in Abteilungen mit hohem Dokumentdurchsatz sehr hoch. Dazu zählen zum Beispiel Einkauf, Verkauf und HR (Bewerbungen). Wenn Makros generell deaktiviert werden, wird das Risiko für eine solche Infektion stark eingeschränkt.

Credential Theft & Lateral Movement

Ohne Absicherung und Hardening Maßnahmen ist es einfach möglich, zwischengespeicherte Zugangsdaten aus dem Arbeitsspeicher oder der Festplatte auszulesen. Diese Zugangsdaten können dann verwendet werden, um eine Verbindung zu anderen, möglicherweise sensibleren Systemen herzustellen.

Credential Theft

Auch wenn AV und EDR Lösungen zur Erkennung und Abwehr solcher Angriffe beitragen können, ist es in der Regel besser, die Anmeldedaten proaktiv abzusichern, in dem LSA Protection4 oder Credential Guard5 aktiviert wird.

Nicht gepatchte Schwachstellen

Da Client Systeme meistens für das Surfen im Internet, Öffnen von E-Mails und zur Verwendung von Programmen genutzt werden, müssen diese stets die aktuellen Sicherheitsupdates erhalten. Regelmäßige Updates sollten nicht nur für das Basisbetriebssystem, sondern auch für die installierten Softwarepakete durchgeführt werden. Vor allem veraltete Browser und E-Mail-Programme bergen ein hohes Risiko, da sie mit vielen unbekannten Quellen in Berührung kommen.

Eine gute Patch-Management-Lösung sollte auch Systeme mit veralteter und potenziell anfälliger Software melden, damit bei Bedarf manuelle Maßnahmen ergriffen werden können.

Physischer Zutritt

Mobile Geräte wie Laptops sind ein häufiges Ziel von Diebstählen. Das liegt daran, dass Business-Geräte teuer sind und sensible Informationen enthalten, die ausgelesen werden können, wenn der Computer nicht verschlüsselt oder gesperrt ist.

Die wichtigste Maßnahme gegen physischen Datendiebstahl ist Full-Disk-Encryption. Dabei wird der gesamte ruhende Speicher eines Geräts verschlüsselt und kann im ausgeschalteten Zustand nicht ausgelesen werden. Alle modernen Betriebssysteme unterstützen eine Form von FDE, BitLocker1 für Microsoft Windows, FileVault3 für Apple macOS and LUKS2 für GNU/Linux basierte Systeme.

FDE ist jedoch unwirksam, wenn ein Gerät unbeaufsichtigt und nicht gesperrt wurde. In diesem Zustand kann einfach direkt Schadsoftware installiert oder das Gerät gestohlen werden. Daher wird empfohlen, für alle Geräte einen automatischen Sperr-Timer zu implementieren.

Angriffsszenario

Dieser Abschnitt zeigt, wie physischer Zugriff zu einem System ausgenutzt werden kann um dieses zu kompromittieren. Dieses Szenario ist wie folgt aufgebaut:

  • Zugriff zu einem Laptop, jedoch ohne Zugangsdaten, wurde erlangt
  • Es ist keine Verschlüsselung wie BitLocker aktiv
  • Es wurde keine Rücksicht auf OPSEC genommen, der direkteste Ansatz wurde gewählt

Da keine gültigen Anmeldedaten für den gestohlenen Laptop zur Verfügung stehen, muss ein alternativer Zugriff auf das System stattfinden. Dies kann beispielsweise bewerkstelligt werden, indem die Festplatte des Geräts ausgebaut und an ein anderes System angeschlossen wird. Dies zeigt, dass das System unverschlüsselt ist, und die Daten darauf einfach ausgelesen werden können: Unencrypted Files Werden die hier markierten Dateien kopiert, können Passwort-Hashes von lokalen Accounts wiederhergestellt werden. Mit speziellen Tools können diese Passwörter auch geändert werden, sodass im nächsten Schritt eine Anmeldung erfolgreich wäre. Mit Tools wie mimikatz7 können des Weiteren Local Security Authority (LSA)-Secrets aus der Festplatte ausgelesen werden:

mimikatz# lsadump::secrets /system:c:\temp\system /security:c:\temp\security

Dieser Befehl zeigt das Klartextpasswort des t2bob@lab.local Accounts: LSA Secrets

Die LSA kann verschiedene Arten von Zugangsdaten speichern, zum Beispiel Internet Explorer Passwörter, RDP-Anmeldedaten oder wie in diesem Fall Passwörter von Service-Accounts. Mit diesen Zugangsdaten ist es nun möglich, sich am System und der Active Directory Domäne anzumelden und diese zu enumerieren.

Gegenmaßnahmen

Durch die Aktivierung von FDE kann selbst bei Diebstahl des Geräts nicht einfach auf dessen Daten zugegriffen werden, da diese verschlüsselt sind und zum Entsperren ein Passwort oder Schlüssel benötigt wird. FDE Protection