Registrieren Sie sich jetzt für Ihren kostenlosen virtuellen Pass für den Low-Code / No-Code Summit am 9. November. Hören Sie von Führungskräften von Service Now, Credit Karma, Stitch Fix, Appian und anderen. Mehr erfahren.


In den letzten Jahren war Microsoft mit einer Reihe von Problemen konfrontiert negative Nachrichten über eine Reihe von Schwachstellen und Hacks. Kein Wunder also, dass Schwachstellen in Microsoft-Produkten ein attraktiver Angriffsvektor sind. Laut einem Bericht der Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) wurden bei Microsoft-Systemen seit Anfang 2022 238 Cybersicherheitsmängel gemeldet, was 30 % aller bisher in diesem Jahr entdeckten Schwachstellen entspricht.

Im Jahr 2021 haben große Behörden wie die National Security Agency (NSA), das FBI, die CISA und die CIA dies detailliert beschrieben 15 am häufigsten Schwachstellen und Gefährdungen (CVEs), die von Hackern ausgenutzt werden. Davon waren 60 % (neun) auf Mängel in den von Microsoft entworfenen, betriebenen und eigenen Systemen zurückzuführen, einschließlich sieben CVEs innerhalb von Microsofts Exchange Server.

Dies ist noch alarmierender, wenn man bedenkt, dass Microsoft einen dominanten Anteil hält (85%) von Arbeitsplatzbeschaffungs- und IT-Systemen der US-Regierung, wodurch im Wesentlichen die gesamte Regierung einem Hackerrisiko ausgesetzt wird.

Microsoft gemacht Schlagzeilen wieder Ende 2021, als es Kunden warnte, dass die Azure-Cloud-Plattform Konfigurationsfehler in einer Komponente aufwies, die, standardmäßig aktiviert, in den letzten zwei Jahren Daten offengelegt hatte. Infolgedessen waren Tausende von Kunden, die sich auf Azure Cosmos DB verlassen – einschließlich bekannter Namen wie Exxon und Coca-Cola – der Möglichkeit ausgesetzt, dass ein Angreifer Daten ohne Autorisierung lesen, schreiben oder löschen könnte.

Vorfall

Low-Code-/No-Code-Gipfel

Schließen Sie sich am 9. November virtuell den führenden Führungskräften von heute beim Low-Code / No-Code Summit an. Melden Sie sich noch heute für Ihren kostenlosen Pass an.

Hier registrieren

Bedrohungsakteure nutzten mehrere noch nicht bekannt gegebene Microsoft-Fehler und Zero-Day-Bugs aus, wodurch Angriffe aus der Ferne ausgeführt werden konnten, so die Behauptungen von Sicherheitsforschern des vietnamesischen Cybersicherheitsunternehmens AGBder als erster entdeckte und berichtete, dass Angreifer das Zero-Day-Paar verketteten, um chinesische Chopper-Web-Shells auf kompromittierten Servern für Persistenz und Datendiebstahl bereitzustellen.

Aufgrund der ständigen Hacks und Schwachstellen, die im Produkt-Ökosystem von Microsoft entdeckt werden, überholen nun angeblich andere Zeitgenossen wie Google den Sicherheitsinnovationsraum. Kürzlich kündigte Google auf seiner Cloud Next ’22-Veranstaltung a Schneller Schwachstellenerkennungsdienst. Das Tool ist ein konfigurationsfreier Dienst in Security Command Center Premium, der Schwachstellen wie exponierte Verwaltungsschnittstellen, schwache Anmeldeinformationen und unvollständige Softwareinstallationen erkennt.

Wo fehlen Microsofts Cybersicherheitspraktiken als bekannter Name und Technologieriese? Und wie sieht die Zukunft solcher Bedrohungen aus?

Der große Verwundbarkeitshai

In den letzten 15 Jahren hat Microsoft Fortschritte bei der Härtung des Windows-Kernels gemacht, dem Kern des Betriebssystems (OS), den Hacker effektiv verwalten müssen, um eine Maschine zu kontrollieren. Die Einführung strenger neuer Beschränkungen für das Laden von Systemtreibern, die im Kernelmodus betrieben werden können, war ein Eckpfeiler dieser Entwicklung.

Im Februar 2019 wurde das Softwareunternehmen SolarWinds von mutmaßlichen nationalstaatlichen Hackern namens Nobelium angegriffen. Die Gruppe verschaffte sich Zugang zu den Netzwerken, Systemen und Daten Tausender von SolarWinds-Kunden, was zum größten jemals verzeichneten Hack führte. Außerdem folgt a Reuters-exklusiv Am 17. Dezember 2020 wurde deutlich, dass bestimmte Microsoft-spezifische Schwachstellen den Schaden bei der SolarWinds-Attacke verschärften.

Andrew Grotto, ehemaliger Direktor für Cyberpolitik im Weißen Haus, sagt, dass ein Teil solcher Angriffe auf einem Problem mit der alten Codebasis beruht.

“Microsoft-Produkte erfordern viel Aufwand, um sie richtig zu konfigurieren, und aufgrund solcher Konfigurationsprobleme sind die Produkte anfällig für Ausbeutung”, sagte er.

„Bei Microsoft-Systemen, die Kunden von SolarWinds verwendeten, gruben sich die Angreifer immer tiefer in die Netzwerke des Opfers ein und nutzten Konfigurationsprobleme in Microsoft-Produkten aus“, sagte Grotto gegenüber VentureBeat.

Dies war erst der Anfang, als im März 2021 eine Gruppe von Hackern, die gemeinsam als bekannt sind Hafnium waren in der Lage, Schwachstellen in der Exchange-Software von Microsoft auszunutzen, wodurch Hafnium die Kontrolle über Server übernehmen und Zugriff auf vertrauliche Informationen von Unternehmen und Regierungsorganisationen erhalten konnte.

Das FBI musste sich in Hunderte von Computerservern von US-Unternehmen hacken, um die Hafnium-Malware zu entfernen. Microsoft veröffentlicht etwas verbessern 114 kritische Schwachstellen im April 2021 zu beheben.

In ähnlicher Weise gab Microsoft im März 2022 bekannt, dass es von der kriminellen Hackergruppe Lapsus $ verletzt wurde, und erklärte, dass die Gruppe eines ihrer Konten kompromittiert habe, wodurch die Gruppe „eingeschränkten Zugriff“ auf Unternehmensdaten erhielt. Das Unternehmen bestritt jedoch, dass der Konzern Daten von Microsoft-Kunden erhalten habe.

Das Unternehmen gab später zu, dass die Gruppe Teile des Quellcodes gestohlen hatte, der mit einigen Produkten von Microsoft verbunden war. Lapsus $ behauptete, Quellcode für die Suchmaschine Bing und den Sprachassistenten Cortana erhalten zu haben. (Microsoft behauptete jedoch, dass es sich nicht auf die Geheimhaltung seines Quellcodes als Sicherheitsmaßnahme verlassen habe.)

Dan Schiappa, Chief Product Officer bei arktischer Wolf und Ex-Microsoft-Sicherheitsmanager, erklärte, dass der Code von Microsoft oft eine Mischung aus Alt und Neu sei, was es für sie noch schwieriger mache, sicherzustellen, dass es keine Schwachstellen gibt.

„Ich denke, es wird das Cybersicherheits-Ökosystem brauchen, um dazu beizutragen, die riesige Technologiebasis von Microsoft zu schützen. Microsoft wird weiterhin schrittweise Änderungen vornehmen, um seine Sicherheitslage zu verbessern, aber ich glaube nicht, dass sie irgendetwas tun werden, das das Risiko erheblich verringert“, sagte er. „Folglich ist das Vorhandensein des richtigen Sicherheitsportfolios oder -services der beste Weg, um sicherzustellen, dass die Microsoft-Sicherheit abgedeckt ist.“

Engpass im Produkt-Ökosystem von Microsoft

Als marktbeherrschender Unternehmensanbieter haben Bedrohungsakteure rund um die Uhr daran gearbeitet, Produkte im Microsoft-Ökosystem anzugreifen und auszunutzen. Hier sind ein paar Beispiele:

Threat-Intelligence-Unternehmen Cluster25, vor kurzem gemeldet dass APT28 (alias Fancy Bear), eine russische GRU-Bedrohungsorganisation (Hauptnachrichtendirektion des russischen Generalstabs), erst am 9. September eine neue Strategie zum Einsatz der Graphite-Malware verwendete.

Der Bedrohungsakteur lockt Ziele mit einer PowerPoint-Datei (.PPT), die angeblich mit der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) verknüpft ist, einer zwischenstaatlichen Einrichtung, die sich für die Förderung des weltweiten wirtschaftlichen Fortschritts und Handels einsetzt. In der PPT-Datei befinden sich zwei Folien mit Anweisungen in englischer und französischer Sprache zur Verwendung der Dolmetscheroption in der Zoom-Videokonferenz-App.

Wenn das Opfer das Dokument im Präsentationsmodus öffnet und die Maus über den Hyperlink bewegt, wird ein bösartiges PowerShell-Skript gestartet, das eine JPEG-Datei von einem Microsoft OneDrive-Konto herunterlädt. Das Dokument enthält auch einen Hyperlink, der die Ausführung eines schädlichen PowerShell-Skripts über das Tool SyncAppvPublishingServer auslöst. Infolgedessen ist die Malware in der Lage, die Microsoft Graph-API und OneDrive auf dem Computer des Opfers für die weitere Command-and-Control-Kommunikation zu verwenden.

Darüber hinaus werden auch verwundbare Microsoft SQL-Server Ziel einer neuen Angriffswelle FARGO-Ransomware. MS-SQL-Server sind Datenbankverwaltungssysteme, die Daten für Internetdienste und Apps enthalten, auf die Angreifer in erster Linie abzielen, da ihre Unterbrechung schwerwiegende geschäftliche Probleme verursachen kann. FARGO ist neben GlobeImposter einer der bekanntesten Ransomware-Stämme, der sich auf MS-SQL-Server konzentriert.

Der Ransomware-Stamm FARGO schließt bestimmte Software und Ordner von der Verschlüsselung aus, um zu verhindern, dass das infizierte System völlig unbrauchbar wird. Opfer werden auch mit der Drohung erpresst, das gestohlene Material öffentlich zu veröffentlichen, wenn die Opfer das Lösegeld nicht zahlen.

Später wurde festgestellt, dass die Schwachstellen auf die Verwendung schwacher Anmeldeinformationen und das Fehlen aktualisierter Sicherheitspatches auf Seiten der betroffenen Server zurückzuführen waren, was die früheren Probleme mit der schwierigen Konfiguration von Microsoft widerspiegelt.

Das Windows-Betriebssystem von Microsoft ist in Sachen Engpässe nicht weit dahinter. Entsprechend Forschung von Lansweeper, nur 2,6 % der Benutzer haben ein Jahr nach der ersten öffentlichen Veröffentlichung auf Windows 11 aktualisiert. Und 42 % der PCs sind aufgrund der strengen Systemanforderungen von Microsoft nicht einmal für ein automatisches Upgrade geeignet. Daher haben IT-Manager von Unternehmen Schwierigkeiten, Millionen von Computern vor 2025 zu aktualisieren oder zu ersetzen. Dann hat Microsoft angekündigt, Windows 10 nicht mehr zu unterstützen.

Wie CISOs und Sicherheitsverantwortliche Risiken mindern können

Laut Steve Benton, Vizepräsident für Bedrohungsforschung bei Abnormalist das Ausnutzen bekannt gewordener Schwachstellen nur Mittel zum Zweck, Teil einer Angriffskette mit mehreren Komponenten, die erfolgreich sein müssen.

„Die harte Wahrheit ist, dass wir alle die Idee annehmen sollten, dass Sie sich nicht darauf verlassen sollten, dass ein Produkt zu 100 % sicher ist“, sagte Benton gegenüber VentureBeat. „Man muss eine Strategie entwickeln und umsetzen, die eine sich überschneidende und vielschichtige Reihe von Sicherheitskontrollen einführt. [The strategy should be] konzentrierte sich auf die breiteren Angriffsketten, die aus TTP bestehen [tactics, techniques and procedures] Angetrieben von einem Angreifer mit Motivation und Zielen, die Sie durch relevante, umsetzbare Intelligenz verstanden haben.

Benton empfiehlt daher einen dreifachen Ansatz:

  • Stellen Sie sicher, dass Sie Ihre Angriffsfläche und Ihre kritischen Assets verstehen und einen überlappenden und vielschichtigen Satz von Sicherheitskontrollen bereitgestellt haben. Stellen Sie außerdem sicher, dass diese Komponenten vollständig im Umfang bereitgestellt, voll funktionsfähig und überwacht werden.
  • Stellen Sie sicher, dass Sie Richtlinien und Standards für alle diese Komponenten definiert haben, sodass sie keine ausnutzbaren Aspekte offenlegen (dh sich nicht billig an einen Angreifer verraten).
  • Analysieren Sie, welche Arten von Akteuren Sie wahrscheinlich angreifen werden. Denken Sie über ihre Motivation oder ihr Endziel nach und wie sie dabei vorgehen könnten. Diese kritischen Informationen ermöglichen es Ihnen, Ihre Ressourcen zum Schutz Ihres Unternehmens und Ihrer Kunden zu priorisieren und eine dynamische Sicherheitslage gegen die für Sie relevanten aktuellen und aufkommenden Bedrohungen aufzubauen und aufrechtzuerhalten.

„Eine aggressive Vulnerability- und Patch-Management-Strategie ist das Wichtigste, was ein Unternehmen tun kann, um sich zu schützen“, sagte Mike Dausin, Director of Security Research and Threat Intelligence bei Alarmlogik. „Gleichzeitig ist es wichtig, auf die Signale zu hören, die Ihre Geräte erzeugen; Viele erfolgreiche Angriffe bleiben unbemerkt, einfach weil Protokolle und Signale von den betroffenen Geräten unbemerkt bleiben. Das Sammeln, Verarbeiten und Überwachen dieser Signale ist entscheidend, um moderne Bedrohungen abzufangen.

Was die Zukunft für Microsoft bereithält

Jerrod Piker, Competitive Intelligence Analyst bei Tiefer Instinktsagte, dass Microsoft-Softwarelösungen weiterhin weltweit in Unternehmen aller Größen weit verbreitet sind und neue Schwachstellen wahrscheinlich noch schneller als bisher entdeckt werden.

„Wenn die jüngsten Schwachstellen ein Hinweis darauf sind, werden diese Exploits weiterhin an Komplexität und Umfang zunehmen“, sagte Piker.

Piker sagte, dass Microsoft zwar eine umfangreiche Suite von Sicherheitslösungen anbietet, aber offenbar keine wesentlichen Fortschritte bei der Sicherung des Softwareentwicklungslebenszyklus selbst gemacht wurden.

„Microsoft war bei Sicherheitsbemühungen scheinbar immer reaktiver, anstatt Sicherheit erfolgreich in den Softwareentwicklungsprozess einzubauen. Das muss sich ändern. Bis eine vollständige Umstellung vorgenommen wird, um die Sicherheit während der Entwicklungsphase zu verschärfen, werden wir wahrscheinlich keine deutliche Verbesserung der Anzahl der in Microsoft-Softwarelösungen entdeckten Schwachstellen sehen “, sagte er.

Ebenso ist Grotto der Ansicht, dass die Sicherheitsversprechen nur dann vollständig erreicht werden können, wenn grundlegende Sicherheitsfunktionen zum Standard für alle Preisstufen der Cloud-Dienste von Microsoft werden.

„Grundlegende Sicherheitsfunktionen wie Ereignisprotokollierung und die Implementierung von Multifaktor-Authentifizierung sind einige IT-Funktionen, die als Standard betrachtet werden sollten. Leider scheinen solche grundlegenden Funktionen im Cloud-Ökosystem von Microsoft immer noch zu fehlen“, sagte er. „Aus Sicherheitsgründen ist dies ein großer Nachteil für Cloud-basierte Ökosysteme, die ihr volles Potenzial ausschöpfen.“

Die Mission von VentureBeat soll ein digitaler Marktplatz für technische Entscheidungsträger sein, um sich Wissen über transformative Unternehmenstechnologie anzueignen und Transaktionen durchzuführen. Entdecken Sie unsere Briefings.

Leave a Comment