Windows 11 wehrt Ransomware ab

Microsoft führt eine neue Sicherheitsvorgabe für Windows 11 ein, die Ransomware-Angriffe verhindern soll, die mit Angriffen zum Erraten von Passwörtern und kompromittierten Anmeldedaten beginnen.

Die neue Sicherheitsvorgabe für Kontoanmeldeinformationen soll dazu beitragen, Ransomware-Angriffe zu vereiteln, die über kompromittierte Anmeldeinformationen oder Brute-Force-Passwortangriffe auf RDP-Endpunkte (Remote Desktop Protocol), die häufig im Internet zu finden sind, gestartet werden.

RDP ist nach wie vor die beliebteste Methode für den Erstzugang bei Ransomware-Einsätzen, wobei sich Gruppen darauf spezialisiert haben, RDP-Endpunkte zu kompromittieren und sie für den Zugang an andere zu verkaufen.

Die neue Funktion wird mit einem aktuellen Insider-Test-Build in Windows 11 eingeführt, aber auch auf Windows 10 Desktop und Server wird die Funktion zurückportiert, so Dave Weston, Vice President of OS Security and Enterprise bei Microsoft. „Win11-Builds haben jetzt eine DEFAULT-Kontosperrrichtlinie, um RDP und andere Brute-Force-Passwortvektoren zu entschärfen. Diese Technik wird sehr häufig in Human Operated Ransomware und anderen Angriffen verwendet – diese Kontrolle wird Brute-Forcing viel schwieriger machen, was großartig ist“, twitterte Weston.  Weston betonte „Standard“, weil die Richtlinie bereits eine Option in Windows 10 ist, aber nicht standardmäßig aktiviert ist.

Das ist eine große Neuigkeit und stellt eine Parallele zu Microsofts standardmäßiger Blockierung von Internetmakros in Office auf Windows-Geräten dar, die ebenfalls eine wichtige Möglichkeit für Malware-Angriffe auf Windows-Systeme über E-Mail-Anhänge und Links darstellen.

Microsoft hat die standardmäßige Sperrung von Internetmakros diesen Monat ausgesetzt, wird sie aber bald wieder freigeben. Die standardmäßige Blockierung nicht vertrauenswürdiger Makros ist ein wirksames Mittel gegen eine Technik, die darauf beruht, dass Endbenutzer dazu verleitet werden, auf eine Option zur Aktivierung von Makros zu klicken (die standardmäßig deaktiviert sind), obwohl in Office davor gewarnt wird, dies zu tun.   Die neue Kontosperrung wurde von einem Cybersicherheitsexperten begrüßt.

„Oh mein Gott, sie machen das RDP-Eintrittsproblem – zwischen Makros und RDP macht dies fast alle Windows/MS Ransomware-Eintritte“, schrieb der britische Sicherheitsexperte Kevin Beaumont. „In der Annahme, dass dies in einem monatlichen Sicherheitspatch enthalten ist (breite Distribution), wird dies einen der wichtigsten Einstiegspunkte für Ransomware lösen (Quelle: mein Team hat mit 5000 Sicherheitsvorfällen pro Jahr zu tun)“, fügte er hinzu.

Die Standardeinstellungen werden im Verzeichnis „Kontosperrungsrichtlinie“ der lokalen Windows-Computerrichtlinien zu finden sein. Der Standardwert für die Dauer der Kontosperrung beträgt 10 Minuten, der Schwellenwert für die Kontosperrung ist auf maximal 10 ungültige Anmeldeversuche festgelegt, die Einstellung „Kontosperrung für Administratoren zulassen“ ist aktiviert und die Einstellung „Kontosperrungszähler zurücksetzen nach“ ist auf 10 Minuten festgelegt.

Abgesehen von Ransomware-Angriffen sollte die Windows 11-Sicherheitskontrolle das allgemeine Problem der Brute-Force-Angriffe auf Passwörter, wie z. B. das Ausfüllen von Anmeldeinformationen, eindämmen, die sehr effektiv sind, wenn die Multifaktor-Authentifizierung (MFA) für ein Konto nicht aktiviert wurde. Wie Beaumont kürzlich feststellte, ist MFA nicht in RDP integriert und die Authentifizierung ist leicht zu erzwingen.

Microsoft hat sich noch nicht dazu geäußert, wie die neue Sicherheitskontrolle in Windows 11 und Windows 10 eingeführt werden soll, aber sie könnte in einem zukünftigen Sicherheitsupdate enthalten sein. Laut Weston sollte die Kontrolle in der Windows 11 Insider Preview Build 22528.1000 und höher verfügbar sein.

Microsoft hat versucht, die allgemeine Sicherheitsgrundlage für Windows-Kunden zu verbessern. Im Mai begann das Unternehmen mit der Einführung von „Sicherheitsvorgaben“ für Millionen von Kunden, die Azure Active Directory nutzen. Die Standardeinstellungen stellen sicher, dass Kunden bei Bedarf MFA aktiviert haben, basierend auf dem Standort, dem Gerät, der Rolle und der Aufgabe des Benutzers.