Warnung (AAA-283A)

Warnung (AAA-283A) – APT-Akteure, die Schwachstellen gegen SLTT, kritische Infrastruktur und Wahlorganisationen verketten

Zusammenfassung

Hinweis: Die Analyse in dieser gemeinsamen Cybersicherheitsberatung ist noch in Arbeit und die bereitgestellten Informationen sollten nicht als vollständig betrachtet werden. Die Agentur für Computer- und Infrastruktursicherheit (Cybersecurity and Infrastructure Security Agency, CISA) wird diese Beratung aktualisieren, sobald neue Informationen verfügbar sind.

Diese gemeinsame Cybersicherheitsberatung wurde von der CISA mit Beiträgen des Federal Bureau of Investigation (FBI) verfasst.

Die CISA hat vor kurzem beobachtet, das Akteure der Advanced Persistent Threat (APT) mehrere Altlasten in Kombinationen mit einer neuerer Privilegien-Eskalations-Schwachstelle – CVE-2020-1472 – in Windows Netlogon ausnutzen. Die häufig verwendete Taktik, die als Vulnerability Chaining bekannt ist, nutzt mehrere Schwachstellen im Verlauf eines einzigen Eindringens aus, um ein Netzwerk oder eine Anwendung zu kompromittieren.

Diese jüngsten böswilligen Aktivitäten richteten sich häufig, aber nicht ausschließlich, gegen Netzwerke von Bundes- und Landesregierungen sowie lokalen Stammes- und Territorialregierungen (SLTT). Auch wenn es nicht den Anschein hat, dass diese Ziele aufgrund ihrer Nähe zu Wahlinformationen ausgewählt werden, besteht doch ein gewisses Risiko für Wahlinformationen, die sich in Regierungsnetzwerken befinden.

Die CISA ist sich einiger Fälle bewusst, in denen diese Aktivität zu unbefugtem Zugriff auf Wahlunterstützungssysteme führte; die CISA hat jedoch bisher keine Beweise dafür, dass die Integrität der Wahldaten beeinträchtigt wurden. Es gibt Schritte, die Wahlhelfer, die sie unterstützenden IT-Mitarbeitern der SLTT und Anbieter unternehmen können, um sich gegen diese böswillige Cyber-Aktivität zu schützen.

Zu den üblichen Taktiken, Techniken und Verfahren (TTPs), die von APT-Akteuren eingesetzt werden, gehört die Ausnutzung von Schwachstellen beim Zugang zu Legacy-Netzwerken und virtuellen privaten Netzwerken (VPNs) in Verbindung mit der jüngsten kritischen Netlogon-Schwachstelle CVE-2020-1472. Dem CISA sind mehrere Fälle bekannt, in denen die Fortinent FortiOS Secure Socket Layer (SSL)- VPN Schwachstelle CVE-2018-13379 ausgenutzt wurde, um Zugang zu Netzwerken zu erhalten. In geringerem Maße hat die CISA auch Bedrohungsakteure beobachtet, die die MobileIron-Schwachstelle CVE-2020-15505 ausnutzen. Auch wenn diese Andeutungen erst kürzlich beobachtet wurden, sind diese Aktivitäten noch nicht abgeschlossen und werden weiter ausgebaut.

Nach dem Erstzugriff nutzen die Akteure CVE-2020-1472 aus, um alle Identitätsdienste des Active Directory (AD) zu kompromittieren. Anschließend wurden Akteure beobachtet, die legitime Fernzugriffstools, wie VPN und Remote Desktop Protokoll (RDP) verwenden, um mit den kompromittierten Zugangsdaten auf die Umgebung zuzugreifen. Die beobachtete Aktivität zielt auf mehrere Sektoren ab und ist nicht aus SLTT-Einheiten beschränkt.

Die CISA empfiehlt Netzwerkmitarbeitern und Administratoren, die internetseitige Infrastruktur auf diese und ähnliche Schwachstellen zu überprüfen, die eine ähnliche Wirkung haben oder ausgenutzt werden könnten, einschließlich Juniper CVE-2020-1631, Pulse Secure CVE-2019-11510, Citrix NetScaler CVE-2019-19781 und Palo Alto Networks CVE-2020-2021 (diese Liste gilt nicht als vollständig).

Du hast einen Sicherheitsvorfall?
Vertraue bei Auffälligkeiten unseren zertifizierten IT Forensikern.
Jetzt kontaktieren

Technische Details

Die Akteure der APT-Bedrohung nutzen aktiv alte Schwachstellen in der Internet-orientierten Infrastruktur ((Exploit Public-Facing Application (T1190), External Remote Services (T1133), um ersten Zugang zu Systemen zu erhalten. Die APT-Akteure scheinen den Erstzugang überwiegend über die Fortinent FortiOS VPN-Schwachstelle CVE-2018-13379 erhalten zu haben.

Obwohl sie in dieser Kampagne nicht beobachtet wurden, könnten andere, unten aufgeführte Schwachstellen genutzt werden, um Zugang zum Netzwerk zu erhalten (da die Analyse noch nicht abgeschlossen ist, sollten diese aufgelisteten Schwachstellen nicht als umfassend betrachtet werden). Als bewährte Praxis ist es entscheidend, alle bekannten Schwachstellen innerhalb der mit dem Internet verbundenen Infrastruktur zu beheben.

Fortinet FortiOS SSL VPN CVE-2018-13379

CVE-2018-13379  ist eine Path-Traversal-Schwachstelle im FortiOS SSL-VPN-Webportal. Ein nicht authentifizierter Angreifer könnte diese Schwachstelle ausnutzen, um FortiOS-Systemdateien über speziell gestaltete HTTP-Ressourcenanforderungen herunterzuladen.

MobileIron Core & Connector Vulnerability CVE-2020-15505

CVE-2020-15505  ist eine Remote Code Sicherheitslücke in MobileIron Core & Connector Versionen 10.3 und früher. Diese Sicherheitslücke ermöglicht es, einem externen Angreifer ohne Privilegien, Code seiner Wahl auf dem anfälligen System auszuführen. Da MDM-Systeme (Mobile Device Management) für das Konfigurationsmanagement externer Geräte von entscheidender Bedeutung sind, sind sie in der Regel in hohem Maße privilegiert und stellen ein wertvolles Ziel für Bedrohungsakteure dar.

Privileg-Eskalation

Nach dem Erstzugang verwenden die APT-Akteure mehrere Techniken, um Zugang zur Umwelt zu erweitern. Die Akteure setzen CVE-2020-1472 in Windows Netlogon ein, um die Privilegien zu erweitern und Zugang zu Windows AD-Servern zu erhalten. Die Akteure nutzten auch die Open-Source Tools wie Mimikatz und das CrackMapExec- Tool, um von AD-Servern gültige Zugangsdaten zu erhalten  (Valid Accounts [T1078]).

Microsoft Netlogon Remote-Protokoll-Schwachstelle CVE-2020-1472

Bei  CVE-2020-1472 handelt es sich um eine Sicherheitslücke im Microsoft Windows Netlogon Remote Protokoll (MS-NRPC), einer zentralen Authentifizierungskomponente von Active Directory (3). Diese Sicherheitslücke könnte es einem nicht authentifizierten Angreifer mit Netzwerkzugriff auf einen Domänencontroller ermöglichen, alle AD-Identitätsdienste vollständig zu kompromittieren (Gültige Konten: Domänenkonten [T1078.002]). Böswillige Akteure können diese Sicherheitsanfälligkeit ausnutzen, um andere Geräte im Netzwerk zu kompromittieren (Leteral Movement [TA0008]).

Persistenz

Sobald der Systemzugang erreicht ist, nutzen die APT-Akteure den Missbrauch legitimer Zugangsdaten (Gültige Konten [T1078]), um sich über VPN oder Fernzugriffsdienste (Externe Ferndienste[T1133]) einzuloggen, um die Persistenz aufrechtzuerhalten.

Abhilfemaßnahmen

Organisationen mit nach außen gerichteten Infrastrukturvorrichtungen, die in dieser gemeinsamen Cybersicherheitsberatung aufgeführten Schwachstellen oder andere Schwachstellen aufweisen, sollten mit einer ” Mutmaßungsbruch”-Mentalität voranschreiten. Da die anfängliche Ausbeutung und Weiterverbreitung möglicherweise die einzige feststellbare Ausbeutungsaktivität ist, werden sich die meisten Abhilfemaßnahmen auf traditionellere Aktivitäten der Systemsicherheit und des Benutzermanagements konzentrieren müssen

Systeme auf dem neusten Stand halten

Patching-Systeme und -Ausrüstung werden unverzüglich und sorgfältig installiert. Die Einrichtung und konsequente Aufrechterhaltung eines gründlichen Patch-Zyklus ist nach wie vor die beste Verteidigung gegen gegnerische TTPs. Siehe Tabelle 1 für Patching-Informationen zu dem in diesem Bericht erwähnten CVEs.

Tabelle 1: Patch information for CVEs

VulnerabilityVulnerable ProductsPatch Information
CVE-2018-13379
  • FortiOS 6.0: 6.0.0 to 6.0.4
  • FortiOS 5.6: 5.6.3 to 5.6.7
  • FortiOS 5.4: 5.4.6 to 5.4.12
CVE-2019-19781
  • Citrix Application Delivery Controller
  • Citrix Gateway
  • Citrix SDWAN WANOP
CVE-2020-5902
  • Big-IP devices (LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO, CGNAT)
CVE-2019-11510
  • Pulse Connect Secure 9.0R1 – 9.0R3.3, 8.3R1 – 8.3R7, 8.2R1 – 8.2R12, 8.1R1 – 8.1R15
  • Pulse Policy Secure 9.0R1 – 9.0R3.1, 5.4R1 – 5.4R7, 5.3R1 – 5.3R12, 5.2R1 – 5.2R12, 5.1R1 – 5.1R15
CVE-2020-15505
  • MobileIron Core & Connector versions 10.3.0.3 and earlier, 10.4.0.0, 10.4.0.1, 10.4.0.2, 10.4.0.3, 10.5.1.0, 10.5.2.0 and 10.6.0.0
  • Sentry versions 9.7.2 and earlier, and 9.8.0;
  • Monitor and Reporting Database (RDB) version 2.0.0.1 and earlier
CVE-2020-1631
  • Junos OS 12.3, 12.3X48, 14.1X53, 15.1, 15.1X49, 15.1X53, 17.2, 17.3, 17.4, 18.1, 18.2, 18.3, 18.4, 19.1, 19.2, 19.3, 19.4, 20.1
CVE-2020-2021
  • PAN-OS 9.1 versions earlier than PAN-OS 9.1.3; PAN-OS 9.0 versions earlier than PAN-OS 9.0.9; PAN-OS 8.1 versions earlier than PAN-OS 8.1.15, and all versions of PAN-OS 8.0 (EOL)
CVE-2020-1472
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2019 (Server Core installation)
  • Windows Server, version 1903  (Server Core installation)
  • Windows Server, version 1909  (Server Core installation)
  • Windows Server, version 2004   (Server Core installation)

Umfassende Konto-Rückstellungen

Wenn eine Beobachtung von CVE-2020-1472 Netlogon- Aktivitäten oder andere Anzeichen für einen gültigen Missbrauch von Berechtigungsnachweisen festgestellt werden, sollte davon ausgegangen werden, dass die APT-Akteure die AD-Verwaltungskonten kompromittiert haben, dass dem AD-Forest nicht voll vertraut werden kann und daher ein neuer Forest eingesetzt werden sollte. Bestehende Hosts aus der alten gefährdeten Gesamtstruktur können nicht migriert werden, ohne neu erstellt und in die neue Domäne aufgenommen zu werden. Die Migration kann jedoch durch „kreative Zerstörung“ erfolgen. Wenn Endpunkte in der alten Gesamtstruktur außer Betrieb genommen werden, können neue in der neuen Domäne erstellt werden. Dies muss sowohl vor Ort als auch in von Azure gehosteten AD-Instanzen durchgeführt werden.

Beachten Sie, dass die vollständige Wiederherstellung eines AD-Forest schwierig und komplex ist; sie wird am besten mit der Unterstützung von Personal durchgeführt, welches die Aufgabe zuvor erfolgreich abgeschlossen hat.

Es ist von entscheidender Bedeutung, ein vollständiges Zurücksetzen des Passwortes für alle Benutzer- und Computerkonten in dem AD-Forest durchzuführen. Die folgenden Schritte dienen als Leitfaden.

  1. Erstellen Sie ein temporäres Administratorkonto, und verwenden Sie dieses Konto nur für alle administrativen Aktionen.
  2. Zurücksetzen des Passworts für das Kerberos Ticket Granting Ticket (krbtgt) [4]; dies muss vor allen weiteren Aktionen abgeschlossen werden (ein zweites Zurücksetzen findet in Schritt 5 statt)
  3. Warten Sie, bis sich das krbtgt-Reset an alle Domänencontroller verbreitet hat (die Zeit kann variieren)
  4. Alle Kontopasswörter zurücksetzen (Passwörter sollten mindestens 15 Zeichen lang sein und nach dem Zufallsprinzip vergeben werden):
    1. Benutzerkonten (erzwungene Rücksetzung ohne Wiederverwendung von Altpasswörtern)
    2. Lokale Konten auf Hosts (einschließlich lokaler Konten, die nicht von der Local Administrator Password Solution [LAPS] abgedeckt werden)
    3. Dienstliche Konten
    4. Konto im Wiederherstellungsmodus für Verzeichnisdienste (DSRM)
    5. Domain Controller-Rechnerkonto
  5. Anwendungs-PasswörterSetzen Sie das krbtgt-Passwort erneut zurück
  6. Warten Sie, bis sich das krbtgt-Reset an alle Domänencontroller verbreitet hat (die Zeit kann variieren)
  7. Neustart von Domänencontrollern
  8. Alle Endpunkte neu starten

 

Die folgenden Konten sollten zurückgesetzt werden:

  • AD Kerberos-Authentifizierungs-Master (2x)
  • Alle Active Directory-Konten
  • Alle Active Directory-Administratorkonten
  • Alle Active Directory Service-Konten
  • Alle Active Directory-Benutzerkonten
  • DSRM-Konto auf Domain-Controllern
  • Nicht-AD-Privilegierte Anwendungskonten
  • Nicht-AD-Konten für unprivilegierte Anwendungen
  • Nicht-Windows-Privilegierte Konten
  • Nicht-Windows-Benutzerkonten
  • Windows-Computer-Konten
  • Lokale Windows-Verwaltung

CVE-2020-1472

So sichern Sie die Netlogon-Channel-Verbindungen Ihrer Organisation:

  • Aktualisieren Sie alle Domänencontroller und schreibgeschützten Domänencontroller. Am 11. August 2020 veröffentlichte Microsoft Software-Updates zur Abmilderung von CVE-2020-1472. Die Anwendung dieses Updates auf Domänencontroller ist derzeit die einzige Minderung dieser Sicherheitsanfälligkeit (abgesehen vom Entfernen der betroffenen Domänencontroller aus dem Netzwerk).
  • Überwachen Sie auf neue Ereignisse, und sprechen Sie nicht konforme Geräte an, die anfällige sichere Netlogon-Kanalverbindungen verwenden.
  • Blockieren Sie den öffentlichen Zugang zu potenziell anfälligen Ports, wie z.B. 445 (Server Message Block [SMB]) und 135 (Remote Procedure Call [RPC]).

Um Ihre Organisation vor diesem CVE zu schützen, befolgen Sie die Ratschläge von Microsoft, einschließlich:

  • Aktualisieren Sie Ihre Domänencontroller mit einem Update, das am 11. August 2020 oder später veröffentlicht wird.
  • Finden Sie heraus, welche Geräte anfällige Verbindungen herstellen, indem Sie Ereignisprotokolle überwachen.
  • Adressieren Sie nicht konforme Geräte, die anfällige Verbindungen herstellen.
  • Aktivieren Sie den Durchsetzungsmodus, um CVE-2020-1472  in Ihrer Umgebung anzusprechen.

VPN Schwachstellen

Setzen Sie die folgenden Empfehlungen zur Sicherung der VPN Ihrer Organisation um:

  • Aktualisieren Sie VPNs, Netzwerkinfrastrukturgeräte und Geräte, die für den Fernzugriff auf Arbeitsumgebungen verwendet werden, mit den neuesten  Software-Patches und Sicherheitskonfigurationen. Siehe CISA-Tipps zum Verständnis von Patches und Software-Updates und zur Sicherung von Netzwerkinfrastrukturgeräten. Aktivieren Sie, wo immer möglich, automatische Updates. Siehe Tabelle 1 für Patch-Informationen zu den in diesem Bericht erwähnten VPN-bezogenen CVEs.
  • Implementieren Sie eine Multi-Faktor-Authentifizierung (MFA) auf allen VPN-Verbindungen, um die Sicherheit zu erhöhen. Physische Sicherheitstoken sind die sicherste Form der MFA, gefolgt von der applikationsbasierten MFA mit Authentifikator. SMS- und E-Mail-basierte MFA sollte nur verwendet werden, wenn keine anderen Formen zur Verfügung stehen. Wenn die MFA nicht implementiert ist, verlangen Sie von Telearbeitern die Verwendung starker Passwörter. Weitere Informationen finden Sie unter CISA-Tipps Auswahl und Schutz von Passwörtern und Ergänzung von Passwörtern.

Stellen Sie unbenutzte VPN-Server ein. Reduzieren Sie die Angriffsfläche Ihrer Organisation, indem Sie unbenutzte VPN-Server, die als Einstiegspunkt für Angreifer dienen können, einstellen. Schützen Sie Ihre Organisation vor VPN-Schwachstellen:

  • Audit-Konfigurations- und Patch-Verwaltungsprogramme
  • Überwachen Sie den Netzwerkverkehr auf unerwartete und nicht genehmigte Protokolle, insbesondere auf ausgehende Protokolle ins Internet (z.B. Secure Shell [SSH], SMB, RDP)
  • Implementierung von MFA, insbesondere für privilegierte Konten
  • Verwenden Sie separate Verwaltungskonten auf separaten Verwaltungs-Workstations
  • Halten Sie die Software auf dem neuesten Stand. Aktivieren Sie automatische Updates, falls verfügbar

Wie man böswillige Aktivitäten aufdeckt und eindämmt

  • Sammeln und zur weiteren Analyse entfernen:
  • Relevante Artefakte, Protokolle und Daten.
  • Implementieren Sie Maßnahmen zur Schadensbegrenzung, die verhindern, dass der Gegner einen Hinweis darauf erhält, dass seine Anwesenheit im Netzwerk entdeckt wurde.
  • Ziehen Sie in Betracht, die Unterstützung bei der Reaktion auf Vorfälle von einer dritten IT-Sicherheitsorganisation anzufordern:
    • Bereitstellung von Fachwissen und technischer Unterstützung für die Reaktion auf Vorfälle.
    • Sicherstellen, dass der Akteur aus dem Netzwerk eliminiert wird
    • Vermeiden Sie Restprobleme, die zu Folgekompromissen führen könnten, sobald der Vorfall abgeschlossen ist.

Ressourcen

Nimm unser IT-Security Consulting-Angebot in Anspruch
Wir beraten Dich gerne
Jetzt kontaktieren
ANDERE BEITRÄGE

Inhaltsverzeichnis

Wir verwenden Cookies, um Ihnen die bestmögliche Erfahrung zu bieten. Wenn Sie unsere Website weiterhin besuchen, stimmen Sie der Verwendung von Cookies zu, wie in unserer Datenschutzerklärung beschrieben.