Die MOVEit-Angriffe: Was können wir daraus lernen und welche Vorkehrungen sind sinnvoll?

Ende Mai 2023 kam es bei Kunden der Dateiübertragungsplattform MOVEit von Progress Software zu Beeinträchtigungen, die schließlich sogar Schlagzeilen machten. Angreifer hatten große Mengen an Daten gestohlen und die Opfer schließlich damit erpresst, diese zu veröffentlichen. Inzwischen wurden zwar Patches bereitgestellt, um die Sicherheitslücken zu stopfen, doch die Gefahr selbst ist noch lange nicht vorbei.

Für die MOVEit-Angriffe wurde eine bisher unbekannte Zero-Day-Schwachstelle ausgenutzt. Will heißen, auch vorsichtige Kunden, die regelmäßig Updates durchführen, waren in Gefahr und sind möglicherweise Opfer geworden, bevor die Schwachstelle entdeckt wurde und Patches veröffentlicht und angewendet werden konnten. Inzwischen wurden weitere Schwachstellen von Progress gefunden und Patches dazu bereitgestellt.

Die Angriffe wurden Cl0p zugeschrieben, einer russischsprachigen Cybercrime-Gruppe, die seit langem für Erpressung mit Ransomware bekannt ist. Zum Zeitpunkt des Verfassens dieses Artikels gab die US-Behörde CISA bekannt, dass sie nicht davon ausgeht, die Angriffe seien von der russischen Regierung koordiniert worden, obwohl in mehreren Ländern Regierungseinrichtungen Opfer geworden waren.

Weshalb MOVEit?

MOVEit ist nicht die erste Dateiübertragungsplattform, die ausgenutzt wird. BleepingComputer weist darauf hin, dass es „in der Vergangenheit ähnliche Angriffe über Zero-Day-Schwachstellen bei Accellion FTA, GoAnywhere MFT und SolarWinds Serv-U gab“. Auch wenn wir die Beweggründe der Angreifer nicht mit Sicherheit kennen, gibt es doch einige Gründe, weshalb derartige Anwendungen zum Ziel werden.

Anwendungen zum Dateitransfer werden eher von kleineren Anbietern oder Organisationen als von Einzelpersonen entwickelt und es herrscht immer noch die Meinung vor, dass kleinere Anbieter bezüglich der Anwendungssicherheit nicht so leistungsfähig sind. Bei Organisationen ist wiederum die Chance groß, dass die Opfer entsprechende Mittel haben, um die Lösegelder zu zahlen. Der wohl wichtigste Grund ist jedoch, dass die Anwendungen Daten enthalten – sehr viele Daten.

Damit werden Dateiübertragungsanwendungen zu einem attraktiven Ziel und sicher auch in Zukunft im Fokus der Kriminellen bleiben.

Dateitransfers werden immer benötigt. Wie kann man sich und seine Daten, die über diese Plattformen laufen, also besser schützen?

Schutz vor dem Unbekannten

Beginnen wir zunächst mit einem allgemeinen Ratschlag zum Schutz vor Zero-Day-Angriffen.

• Die absolut wichtigste Maßnahme zum Schutz von Anwendungen ist, diese regelmäßig zu aktualisieren. Patches können Sie zwar nicht vor Zero-Day-Angriffen schützen, minimieren aber erheblich die Angriffsoberfläche, indem sie bekannte Sicherheitslücken schließen.
• Wenn Sie nicht wissen, welche Anwendungen Sicherheitslücken haben könnten, können Sie dies mit sogenannten Schwachstellenscannern überprüfen. Damit werden die Anwendungen sowie deren aktuelle Version in Ihrem Netzwerk ausgelesen. Fehlt irgendwo der neueste Patch, erhalten Sie eine entsprechende Meldung.
• Internetzugriff ist für jede Anwendung ein großes Risiko. Setzen Sie also möglichst WAFs (Web Application Firewalls) ein. Diese sitzen zwischen der Anwendung und dem Internet und überwachen den Datenverkehr auf Ungewöhnliches. WAFs kennen jedoch nur eine beschränkte Anzahl von Programmen und werden bei neuen Angriffsmethoden möglicherweise auch nicht schneller aktualisiert, als die Anbieter Patches für ihre anfälligen Anwendungen bereitstellen.
• Wenn eine Anwendung nicht zwangsläufig Internetzugriff benötigt, deaktivieren Sie diesen also am besten. Sofern möglich können Sie auch ein VPN für den Zugriff auf Ihre Dienste erforderlich machen. Sollte ein VPN bei Ihnen nicht umsetzbar sein, ist eventuell eine Firewall, die darauf konfiguriert ist, nur von bestimmten IP-Adressen Zugriff auf Ihre Programme zuzulassen, eine alternative Lösung. Je genauer Sie den Zugriff auf Ihre Anwendungen kontrollieren können, umso unwahrscheinlicher ist es, dass diese kompromittiert werden.
• Server, auf denen die Anwendungen ausgeführt werden, sollten möglichst über einen aktiven EDR-Schutz (Endpunkterkennung und -Reaktion) verfügen. Kann auf dem Gerät kein EDR installiert werden, etwa weil es sich um einen Drucker oder eine intelligente Glühbirne handelt, sollte dieses nur an ein separates und isoliertes Netzwerk angeschlossen werden. Gehen Sie bei jedem Gerät, auf dem sich kein EDR installieren lässt, davon aus, dass es bereits kompromittiert ist, und halten Sie es von allen Netzwerkkomponenten fern, die vertrauliche Dateien oder sonstige Daten enthalten könnten.
• Regelmäßige Protokollanalysen ermöglichen es Ihnen, Angriffe zu erkennen, bei denen die vorgenannten Maßnahmen nicht geholfen haben. Hierfür ist jedoch umfangreiches Hintergrundwissen zu der jeweiligen Anwendung erforderlich.
• Zu guter Letzt ist es empfehlenswert, einen Notfallplan auszuarbeiten, um im Falle des Falles vorbereitet zu sein. Informieren Sie sich, wie Sie Ihr Netzwerk sperren können, um eine Ausbreitung der Gefahr zu vermeiden, und wie Sie Daten für eine forensische Analyse erfassen können. Bauen Sie außerdem Beziehungen zu Sicherheitsexperten auf, die Ihnen bei Bedarf helfen können, diese Daten durchzugehen.

Diese Ratschläge sind recht allgemein gehalten, da das Thema, wie man sich am besten vor allen möglichen unbekannten Angriffen schützen könnte, ein weites Feld ist. Lassen Sie uns allerdings etwas genauer darauf eingehen, wie Sie speziell Anwendungen zum Dateitransfer absichern können.

Schutz Ihrer Dateiübertragungsplattformen

Derartige Anwendungen verfügen in der Regel über die Möglichkeit, den Zugriff basierend auf den Anmeldedaten zu beschränken. Es ist also wichtig, dass jeder Benutzer seine eigenen Zugangsdaten hat, und der Zugriff jedes Benutzers auf die absolut nötigsten Berechtigungen beschränkt ist. Zwar ist das kein direkter Schutz vor Zero-Day-Angriffen, allerdings lässt sich so ein mögliche Angriff schneller erkennen. Welche Arten von Zero-Day-Angriffen könnten bei einer Dateiübertragungsanwendung vorkommen?

• Zunächst gibt es die Sicherheitslücke, dass ein Benutzer auf die Daten anderer Benutzer zugreifen kann. Je nachdem, wie genau die Sicherheitslücke geartet ist, kann es helfen, Datei- und Ordnerbeschränkungen auf Ebene des zugrunde liegenden Dateiservers zu vergeben (zusätzlich zu denen, die bereits von der Anwendung bereitgestellt werden). Eine automatische Analyse der Protokolldatei, in der aufgezeichnet wird, welche IPs regelmäßig auf welche Anmeldedaten zugreifen, kann ebenfalls nützlich sein. Darüber lässt sich feststellen, ob sich über eine IP bei dem Benutzerkonto angemeldet wird, die ansonsten nicht mit dem Konto in Verbindung steht oder typischerweise von einem anderen Konto verwendet wird.
• Eine weitere Schwachstelle ist, dass ein Angreifer auf die Daten von anderen Benutzern zugreifen kann, ohne zunächst die Anmeldedaten eines Benutzers kompromittieren zu müssen. Hierbei kann es extrem hilfreich sein, die Protokolldatei auf ungewöhnliche Aktivitäten oder Befehle zu überprüfen. Auch die Einrichtung eines oder mehrerer Honeypots kann hier nützlich sein. Legen Sie einen echt aussehenden Server an, der mehrere (falsche) Benutzerkonten und in jedem Konto (simulierte) Daten hat. Lassen Sie nun ein Protokollanalyseprogramm laufen und sobald es mehr als Anmeldeversuche (wie erfolgreiche Logins, Dateiübertragungen usw.) aufzeichnet, wissen Sie, dass etwas nicht in Ordnung ist. Dann ist es Zeit, Ihre echten Live-Server genauer im Auge zu behalten.
• Die letzte große Zero-Day-Sicherheitslücke, die bei Dateiübertragungsanwendungen auftreten könnte und die auch die MOVEit-Angriffe ermöglichte, ist ACE (arbitrary code execution) oder RCE (remote code execution). Dabei kann der Angreifer Abwehrmechanismen der Anwendung umgehen und das Betriebssystem, auf dem die Anwendung ausgeführt wird, dazu bringen, einen Payload (also Schadcode) auszuführen. Im Falle von MOVEit wurde eine Schwachstelle zur SQL-Einschleusung ausgenutzt, worüber ein Ransomware-Payload ausgeführt werden konnte. Anschließend wurden die Daten über die Ransomware anstatt über die MOVEit-Software selbst exfiltriert. Diese Zero-Day-Sicherheitslücke kann jede Anwendung betreffen – ob für Dateitransfers oder andere Aktivitäten. Daher ist der beste Tipp zum Vermeiden von Zero-Day-Angriffen immer noch der, „alles von allem anderen getrennt zu halten“.

Ihre Abwehr beginnt damit, die Berechtigungen der Dateiübertragungsanwendung zu beschränken. Führen Sie die Anwendung möglichst nicht mit Administratorrechten aus. Sofern Sie diese in ihren eigenen Container oder eine virtuelle Maschine einbinden können, tun Sie das. Noch besser ist es, wenn Sie die Anwendung in einem vollständig isolierten Netzwerk ausführen können. Sie darf unter keinen Umständen Zugriff auf irgendeine Datei haben, die nicht unbedingt für ihre Aufgabe erforderlich ist.

Hier kann es hilfreich sein zu wissen, wie die Dateiübertragungsanwendung von Ihren Kunden tatsächlich eingesetzt wird. Gehen wir beispielsweise davon aus, dass die Anwendung von Ihren Kunden nur dazu eingesetzt wird, Dateien zu Ihnen hochzuladen. Führen Sie in diesem Fall im Hintergrund ein Skript aus, dass überprüft, wann eine Datei fertig hochgeladen wurde. Sobald der Upload abgeschlossen wurde, verschieben Sie die Datei von dem Dateitransferserver an einen Speicherort, auf den dieser nicht zugreifen kann. Auf diese Weise stellen Sie sicher, dass im Falle einer Kompromittierung der Dateiübertragungsanwendung durch eine Zero-Day-Schwachstelle, die das Ausführen externen Codes zulässt, dieser keinen Zugang zu den Daten hat.

Wenn Ihre Benutzer über die Dateiübertragungsanwendung auf Daten zugreifen müssen, ist es überlegenswert, ob sie für alle Anmeldedaten, die möglicherweise schädlichen Code auf dem Dateitransferserver ausführen könnten, ausschließlich Nur-Lesen-Berechtigungen vergeben. Auf diese Weise beschränken Sie das Problem darauf, dass Angreifer Ihre Daten zwar gesehen haben könnten, diese aber immerhin nicht ändern und/oder löschen können.

Abschließende Gedanken

Der Schutz von Dateiübertragungsanwendungen vor Zero-Day-Sicherheitslücken liegt schlussendlich im Prinzip der geringsten Berechtigungen. Stellen Sie sicher, dass alle mit Ihrem Netzwerk verbundenen Geräte wirklich nur mit den Komponenten kommunizieren können, die sie unbedingt benötigen, und dass wo immer möglich EDR installiert ist. Falls Sie für bestimmte Benutzer unbedingt dauerhaft privilegierten Zugriff bereitstellen müssen, lassen Sie diese möglichst über ein VPN auf die Dateitransferdienste zugreifen.

Für jegliche Daten, die dem Internet ausgesetzt sind, besteht das Risiko, dass sie auch im Internet landen – selbst wenn sie von einer Anwendung geschützt werden. Je mehr Abwehrmaßnahmen Sie ergreifen, umso länger können Sie diese Daten schützen. Anhand der Analyse von Protokolldateien und mittels Schwachstellenscannern können Sie herausfinden, ob Ihre Daten noch sicher sind. Am besten ist es jedoch, so wenig Daten wie möglich so kurz wie unbedingt nötig zugänglich zu machen, um das Risiko zu minimieren.

Übersetzung: Doreen Schäfer