Categories: FirewallSicherheit

Zurück zu den Grundregeln der Sicherheit

Wenn in Organisationen oder Firmen ein Domänen-Controller verwendet wird, dem externe IP-Adressen zugewiesen wurden, ist dies ein Alarmsignal. Diese Konfiguration ist häufig ein Zeichen dafür, dass die Organisation kein allgemeines Bewusstsein für anerkannte Sicherheitspraktiken besitzt, wobei meist weitere, schwerer wiegende Sicherheitsmängel vorliegen.




Bei beiden Organisationen bestand der erste Schritt darin, die Mailserver mit Nmap und SuperScan zu scannen. Die hohe Anzahl geöffneter Ports, einschließlich des TCP-Ports 139, war äußerst Besorgnis erregend.

Über Port 139 kann man aufgrund des NETBIOS-Standard eine beträchtliche Menge an Informationen erlangen, und zwar selbst dann, wenn der Domänen-Controller den Anwender nicht authentifiziert. (Diese Sicherheitslücke ist umfassend dokumentiert und wird im bekannten Buch Hacking Exposed gut erläutert).

Diese Schwachstelle kann mithilfe des Tools NBTEnum (Net Bios Enumeration), das sowohl von Sicherheitsprofis als auch von Hackern eingesetzt wird, leicht ausgenutzt werden. Das überarbeitete Beispiel für den Output, den wir bei einer der Organisationen erhielten, zeigt die enorme Menge an Systemdaten, die man erlangen kann, darunter Informationen über lokale Gruppen/Anwender, globale Gruppen/Anwender, Freigaben und Passwortrichtlinien (einschließlich der Sperrung von Passwort-Attacken).

Hat ein User mit bösen Absichten erst einmal Zugriff auf diese Informationen, wird es für ihn bedeutend leichter, unerlaubten Zugriff auf das Netzwerk zu erlangen.

Das Passwort lautet „Passwort“
Die Wohltätigkeitsorganisation ermöglichte all ihren ehrenamtlichen Mitarbeitern den Zugriff auf ihr Netz über zwei Benutzerkonten, die sich passenderweise „Ehrenamt1“ und „Ehrenamt2“ nannten. Mit Hinblick auf die allgemein laxe Handhabung der Sicherheit in dieser Organisation gingen wir davon aus, dass diese Konten von einfachen, leicht zu merkenden Passwörtern geschützt sein würden.

Wir versuchten einen entfernten Zugriff auf das Netzwerk mit Hilfe des folgenden Run-Befehls für Windows: \\xxx.xx.xx.xxx\sharedfoldername. Daraufhin wurden wir nach einem Anwendernamen und einem Passwort gefragt. Unsere ersten drei Versuche mit „Passwort“, „Organisationskürzel1“ und „Organisationskürzel2“ schlugen fehl. Beim vierten Versuch verwendeten wir „Organisationskürzel3“ und erhielten Zugang. Ab diesem Zeitpunkt konnten wir alle freigegebenen Netzwerkordner durchsuchen. Noch schlimmer war, dass die Organisation eine unzureichende Zugangskontrolle einsetzte, so dass man über die Benutzerkonten der ehrenamtlichen Mitarbeiter den gesamten Inhalt des Domänen-Controllers einsehen konnte (das Laufwerk C: war nicht ordnungsgemäß freigegeben).

Mit Hilfe unseres neu gefundenen Zugangs zum Domänen-Controller kopierten wir die Registry auf unseren Computer und verwendeten LC3, besser bekannt als L0phtCrack, ein Tool zum Knacken von Passwörtern, um die Passwörter der Anwender herauszufinden. Mit einer so genannten Wörterbuchattacke – bei der wir jedes verschlüsselte Passwort mit einer Liste häufig verwendeter Passwörter abglichen – fanden wir 23 der 61 Passwörter für die Benutzerkonten heraus.

Ironischerweise war eines der ersten geknackten Passwörter der Name eines IT-Anbieters, den der Netzwerkadministrator verwendete. Mit diesem erlangten wir die vollständige administrative Kontrolle über den Domänen-Controller.

Aufgrund einer Reihe von nachlässigen Sicherheitsmaßnahmen (Zulassung von nicht vertrauenswürdigem Datenverkehr in das interne Netz und auf den Domänen-Controller, aktivierte Null-Sessions, unzureichende Passwortrichtlinien und Zugangskontrollen) brauchten wir weniger als eine Stunde, um die Kontrolle über das Netzwerk des Kunden zu erlangen.

Page: 1 2 3

ZDNet.de Redaktion

Recent Posts

Vorinstallierte Schadsoftware auf IoT-Geräten

Mit dem Internet verbundene Digitale Bilderrahmen oder Mediaplayer können mit Schadsoftware infiziert werden und sind…

6 Tagen ago

iOS und iPadOS 18.2 beseitigen 21 Sicherheitslücken

Schädliche Apps können unter Umständen einen Systemabsturz auslösen. Mindestens eine Anfälligkeit erlaubt eine Remotecodeausführung.

6 Tagen ago

Top-Malware im November: Infostealer Formbook bleibt Nummer 1

Sein Anteil an allen Infektionen steigt in Deutschland auf 18,5 Prozent. Das Botnet Androxgh0st integriert…

6 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome

Betroffen sind Chrome 131 und früher für Windows, macOS und Linux. Angreifer können unter Umständen…

7 Tagen ago

Data Analytics: Dienstleister wachsen zweistellig

Marktforscher Lündendonk erwartet für das Jahr 2025 ein durchschnittliches Umsatzwachstum von 14,9 Prozent.

7 Tagen ago

Open-Source-Malware auf Rekordniveau

Alarmierender Anstieg von Open-Source-Malware / Seit 2019 haben Sonatype-Analysen mehr als 778.500 bösartige Pakete aufgedeckt

1 Woche ago