Jeder Mitarbeiter kennt es, nach dem Urlaub das Kennwort falsch eingegeben zu haben und sich auszusperren. Doch was ist, wenn es diesmal nicht an einem selbst, sondern an einem Angreifer liegt? Warum ein „Lockout“ als realistische Bedrohung angesehen werden sollte, erfahren Sie in nachfolgendem Beitrag.
Der Inhalt im Überblick
Lockout: Hintergrund und Begriff
In den vergangenen Jahren haben sich Cyberangriffe nicht gehäuft, sondern Angreifer bedienen sich zudem an den unterschiedlichsten Möglichkeiten einen Angriff erfolgreich durchzuführen. Es wird von Phishing, Ransomware und DDoS Angriffen gesprochen, doch bisher ist kaum die Sprache von einem Lockout. Ein Szenario, welches durchaus möglich und mit teils schwerwiegenden Folgen verbunden ist. Doch was ist eigentlich ein Lockout?
Als Lockout kann kategorisiert werden, wenn es einem Angreifer oder einer Angreifergruppe möglich war, die Systeme der Betroffenen insoweit auszunutzen, dass ein vollständiges Aussperren der Betroffenen möglich ist.
Ein erstes Beispiel, womit sich vielleicht jeder identifizieren kann. Sie sind im Besitz eines privaten Notebooks auf dem sich Ihre wichtigsten Daten befinden. Nun lassen Sie diesen in einem Café stehen, ungeschützt und ohne sich Gedanken darüber zu machen, versteht sich. Sie kommen wieder und Ihr Gerät hat plötzlich ein neues Kennwort. Es ist noch da, die Daten befinden sich auch weiterhin auf Ihrem Gerät, aber Sie kommen nicht an diese heran.
Jetzt werden sich wahrscheinlich einige von Ihnen denken „So etwas passiert mir nicht“ und dennoch, hat es solche Vorfälle schon gegeben und so müssen es ja auch gar nicht Sie persönlich sein, es reicht irgendein Mitarbeiter in Ihrem Unternehmen aus, um den ersten Stein zu legen.
Ähnliche Vorfälle mit iPhones beispielsweise gab es bereits in der Vergangenheit als Diebe sich durch sogenanntes „Shoulder Surfing“ die PINs von Betroffenen ergaunert haben. Daraufhin wurde das Handy entwendet und die Betroffenen mittels PIN aus Ihren Accounts ausgeschlossen.
Was sollte dann einen Angreifer daran hindern, dies auch in der Firmenumgebung genau nach dieser Manier abzuziehen?
Technische Möglichkeiten der Angreifer
Ein Blick auf die ATT&CK Matrix von MITRE reicht, um sich einen Überblick darüber zu verschaffen, welche Wege Angreifer nehmen können, um zu ihrem Ziel zu gelangen. In der ATT&CK Matrix werden solche Taktiken und Techniken zusammengefasst dargestellt. Wenn wir uns also für Enterprise Umgebungen die möglichen „Impacts“ anschauen, so lässt sich auf jeden Fall eine Kategorie direkt erkennen, die die Gefahr eines „Lockout“ bestätigt, nämlich die Kategorie „Account Access Removal“, sprich: das Entfernen von Zugriffsmöglichkeiten für Accounts.
Bereits mehrfach von Gruppen verwendet, um Mitarbeiter aus einem Unternehmen auszusperren, ist dies zumindest aus technischer Sicht kein Einzelfall. Um nur wenige Beispiele aufzuzählen:
- Akira Ransomware – Löscht administrative Konten vor der Verschlüsselung
- LAPSUS$ – Die Gruppe entfernt alle globalen Adminkonten
- LockerGoga – Ändert Kennwörter und meldet alle angemeldeten Benutzer ab
Es scheint also eine Vielzahl an Möglichkeiten zu geben, die es Angreifern ermöglichen ein Unternehmen aus ihren Systemen auszusperren. Mit stetigem Wandel in der Infrastruktur ist es nur eine Frage der Zeit, bis sich dies auf anderen Wegen äußert.
Ein im Bereich Incident Response weit verbreitetes Beispiel ist das Ändern des administrativen Kontos für Virtualisierungslösungen wie beispielsweise bei VMware ESXi. Dadurch ist es dem Unternehmen nicht mehr möglich auf ihre Systeme zuzugreifen und diese in geeigneter Art und Weise zu sichern, zu analysieren oder gar wiederherzustellen.
Ein Weg dies im Rahmen eines Sicherheitsvorfalls wiederherzustellen, ist die Zurücksetzung des sog. root-Users, um wieder administrativen Zugriff zu erhalten. Jedoch ist dies nur eine Möglichkeit für einen spezifischen Fall. Doch wie verhält es sich, wenn auch physische Backupsysteme, jegliche Client-PCs sowie alle Server individuell von einem solchen Angriff betroffen sind? Welche Möglichkeiten haben IT-Abteilungen, Geschäftsführungen und Vorstände, um sich proaktiv vor dem Szenario des Lockout zu schützen?
Technische Möglichkeiten für Unternehmen
In Zeiten, in denen mehr Unternehmen sich zunehmen mit EDR- und XDR-Lösungen, einem SIEM sowie weiteren Antiviren-Lösungen schützen, stellt sich dennoch die Frage , wie man präventiv tätig werden, um den Angreifern einen Lockout nicht nur zu erschweren, sondern diesen vielleicht auch zu verhindern.
Auch hier bietet die MITRE ATT&CK Matrix eine Vielzahl an Möglichkeiten, wie:
- Account Use Policies – Einstellung von normalen Zeiten, Verhinderung des Löschens von Accounts, etc.
- Management privilegierter Accounts
- Auditierung
- UAC (User Account Control) – Mitigierung von Risiken bei der Vergabe von administrativen Rechten
Allein durch diese Kategorien lassen sich Risiken minimieren und eine Umgebung sich nachhaltig schützen.
Genauso ist es sinnvoll die Auslagerung von Backups in Betracht zu ziehen und zu erwägen, diese außerhalb und getrennt von den Systemen aufzubewahren oder wie im Beispiel eines ESXi die Möglichkeit zu haben, sich wieder Zugang zum System zu ermöglichen. Im Rahmen von Audits oder auch IT-Schwachstellenanalysen sowie Pentests lassen sich solche Problematiken aufdecken und nachhaltig beseitigen. Hier stellt sich nun die Frage: Haben Sie sich bereits mit dem möglichen Problem eines Lockouts auseinandergesetzt?
Nicht nur ein ESXi, sondern das ganze Unternehmen kann betroffen sein
Es muss festgehalten werden, dass die Art, wie Angreifer vorgehen, die verwendeten Techniken, die genutzten Programme und das Gesamtbild von Cyberangriffen einem stetigen Wandel unterliegen. Ein Lockout ist lediglich eine weitere Angriffsform, welche ein ebenfalls vorhandenes Wachstum aufzeigt. Nicht nur Unternehmen, auch Privatpersonen sollten sich damit beschäftigen, was ein Lockout für Folgen hat.
- Welche Daten sind betroffen?
- Können Daten wiederhergestellt werden?
- Was wird sich ändern, wenn Daten irreversibel verloren sind?
Diese und weitere Fragen ergeben sich somit für eine erste Begutachtung der eigenen Umgebung und geben damit möglicherweise einen Ausblick auf zukünftige Maßnahmen. Diese können durch Firmen sowie Mitarbeitende vorgenommen werden, um das Risiko ein solchen Szenarios nicht nur zu mindern. Unter Umständen lassen sich so genannte Beispiele gänzlich unterbinden. Es sollte jedoch nicht unterschätzt werden, wie oft ein solcher Angriff Unternehmen getroffen hat und welcher Schaden dadurch verursacht wurde. Ein klarer Ansatz für die Beurteilung eines solchen Falles sind Auditierungen und vor allem Dokumentationen der Umgebung. Dadurch lässt sich ein erster Überblick über die Umgebung zu verschaffen und proaktiv auf bessere Sicherheit der Umgebung hinarbeiten.