Passwörter von On-Prem- auf Cloud-Umgebungen übertragen – Achtung Risiko!
Silverfort hat den Bericht Identity Underground veröffentlicht, der die Häufigkeit von Identitätssicherheitslücken bei Passwörter aufzeigt, die zu erfolgreichen Angriffen auf Unternehmen in allen Branchen und Regionen führen. Der Bericht, der sich auf Silverforts eigene Daten stützt, ist der erste Bericht seiner Art mit Schwerpunkt auf der Identität als Angriffsvektor und wertvollen Erkenntnissen zu Identitätsbedrohungsrisiken (ITEs), die den Weg für Cyberangriffe ebnen.
Das erstaunliche und alarmierende Ergebnis des Berichts: Zwei von drei Unternehmen (67 Proznent) synchronisieren routinemäßig die meisten Passwörter ihrer Benutzer von On-Prem-Verzeichnissen mit deren Pendants in der Cloud. Durch diese Praxis werden unbeabsichtigt Schwachstellen der On-Prem-Identität in die Cloud verlagert. Dies schafft erhebliche Sicherheitsrisiken, da auf diese Weise ein Einfallstor für Angreifer geschaffen wird, um diese Umgebungen mithilfe von On-Prem-Konfigurationen zu hacken. Die Ransomware-Gruppe Alphv BlackCat ist dafür bekannt, dass sie Active Directory als Sprungbrett nutzt, um Cloud-Identitätsanbieter zu kompromittieren.
In den letzten zehn Jahren gab es einen starken Trend zur Migration in die Cloud – und das aus gutem Grund. Gleichzeitig eröffnen jedoch Sicherheitslücken, die auf veraltete Infrastrukturen, Fehlkonfigurationen und unsichere integrierte Funktionen zurückzuführen sind, Möglichkeiten für Angreifer, auf die Cloud zuzugreifen. Dadurch wird die Widerstandsfähigkeit eines Unternehmens gegenüber Identitätsbedrohungen erheblich geschwächt.
Passwörter und Identitätslücken
„Die Identität ist der Elefant im Raum. Wir wissen, dass die Identität bei fast allen Cyberangriffen eine Schlüsselrolle spielt. Lockbit, BlackCat, TA577 und Fancy Bear – sie alle nutzen Identitätslücken, um einzubrechen, sich seitlich zu bewegen und zusätzliche Berechtigungen zu erhalten”, berichtet Hed Kovetz, CEO und Mitbegründer von Silverfort. „Doch um diese Sicherheitslücken methodisch schließen zu können, müssen wir zunächst wissen, wie verbreitet sie sind. Schließlich haben wir konkrete Beweise für die Häufigkeit von Identitätslücken, die wir nun als Password Exposers, Lateral Movers oder Privilege Escalators klassifizieren können, und sie sind allesamt Vehikel für Bedrohungsakteure, um ihre Angriffe durchzuführen. Wir hoffen, dass die Identitäts- und Sicherheitsteams durch das Offenlegen der Häufigkeit dieser Probleme nun über die harten Zahlen verfügen, die sie benötigen, um die dringendsten Sicherheitsinvestitionen zu priorisieren und diese blinden Flecken zu beseitigen.”
Die wichtigsten Ergebnisse
- Zwei Drittel aller Benutzerkonten authentifizieren sich über das schwach verschlüsselte NTLM-Protokoll, das Angreifern einen leichten Zugang zu Klartext- Passwörter ermöglicht. Die NT Lan Manager (NTLM)-Authentifizierung, die mit Brute-Force-Angriffen problemlos zu knacken ist, ist ein Hauptziel für Angreifer, die Anmeldedaten stehlen und tiefer in eine Umgebung eindringen wollen. Aktuelle Untersuchungen von Proofpoint security zeigen, dass der Bedrohungsakteur TA577 NTLM-Authentifizierungsinformationen verwendet, um Passwörter zu stehlen.
- Eine einzige Fehlkonfiguration in einem Active Directory-Benutzerkonto erzeugt im Durchschnitt 109 neue Schattenadministratoren. Schattenadministratoren sind Benutzerkonten mit der Befugnis, Kennwörter zurückzusetzen oder Konten auf andere Weise zu manipulieren. Angreifer nutzen Schattenadministratoren, um Einstellungen und Berechtigungen zu ändern und immer tiefer in eine Umgebung vorzudringen, um weiterreichende Zugriffsrechte auf Systeme zu erhalten.
- 7 Prozent der Benutzerkonten verfügen über unabsichtlich zugewiesene Zugriffsrechte auf Admin-Ebene. Dadurch erhalten Angreifer zusätzliche Möglichkeiten, ihre Zugriffsrechte zu erweitern und sich unbemerkt in Umgebungen zu bewegen.
- 31 Prozent der Benutzerkonten sind Dienstkonten. Dienstkonten werden für die Maschine-zu-Maschine-Kommunikation verwendet und besitzen ein hohes Maß an Zugriffsrechten und Privilegien. Angreifer zielen auf Dienstkonten ab, da Sicherheitsteams sie oft übersehen. Nur 20 Proznent der Unternehmen sind sehr zuversichtlich, über die notwendige Sichtbarkeit in alle Servicekonten zu verfügen und diese angemessen schützen können.
- 13 Prozent der Benutzerkonten werden als „veraltete Konten” eingestuft – also inaktive Benutzerkonten, die das IT-Team möglicherweise vergessen hat. Sie sind ein leichtes Ziel für Seitwärtsbewegungen und helfen Angreifern, unentdeckt zu bleiben.
Das Forschungsteam von Silverfort hat Identity Threat Exposures (ITE) akribisch in vier verschiedene Kategorien unterteilt. Ihr Ziel ist es, der Cybersicherheitsbranche ein Framework zur Klassifizierung und Analyse des vielfältigen Spektrums von Identitätsproblemen und Fehlkonfigurationen an die Hand zu geben, die den Diebstahl von Anmeldeinformationen, die Ausweitung von Berechtigungen und Seitwärtsbewegungen durch böswillige Akteure ermöglichen.
Die vier ITE-Kategorien
- Password Exposers: Ermöglichen einem Angreifer, Benutzer-Passwörter zu entdecken, indem der Passwort-Hash gängigen Kompromittierungstechniken ausgesetzt wird. Beispiele sind NTLM-Authentifizierung, NTLMv1-Authentifizierung und Administratoren mit SPN.
- Privilege Escalators: Ermöglicht einem Angreifer, zusätzliche Zugriffsrechte zu erlangen. Normalerweise sind Privilege Escalators das Ergebnis einer Fehlkonfiguration oder veralteter unsicherer Einstellungen. Beispiele hierfür sind Schattenadministratoren und uneingeschränkte Delegation.
- Lateral Movers:Ermöglichen einem Angreifer, sich unbemerkt seitlich zu bewegen. Zu den Beispielen gehören Dienstkonten und Vielnutzer.
- Protection Dodgers: Haben das Potenzial, legitime Benutzerkonten für Angreifer zu öffnen. Protection Dodgers entstehen durch menschliche Fehler oder falsch verwaltete Benutzerkonten. Es handelt sich nicht um inhärente Schwachstellen oder Fehlkonfigurationen. Beispiele hierfür sind neue Benutzer, gemeinsam genutzte Konten und inaktive Benutzer.
