Site icon Emsisoft | Sicherheitsblog

Die MOVEit-Angriffe: Was können wir daraus lernen und welche Vorkehrungen sind sinnvoll?

MOVEit attacks

MOVEit attacks

Ende Mai 2023 kam es bei Kunden der Dateiübertragungsplattform MOVEit von Progress Software zu Beeinträchtigungen, die schließlich sogar Schlagzeilen machten. Angreifer hatten große Mengen an Daten gestohlen und die Opfer schließlich damit erpresst, diese zu veröffentlichen. Inzwischen wurden zwar Patches bereitgestellt, um die Sicherheitslücken zu stopfen, doch die Gefahr selbst ist noch lange nicht vorbei.

Für die MOVEit-Angriffe wurde eine bisher unbekannte Zero-Day-Schwachstelle ausgenutzt. Will heißen, auch vorsichtige Kunden, die regelmäßig Updates durchführen, waren in Gefahr und sind möglicherweise Opfer geworden, bevor die Schwachstelle entdeckt wurde und Patches veröffentlicht und angewendet werden konnten. Inzwischen wurden weitere Schwachstellen von Progress gefunden und Patches dazu bereitgestellt.

Die Angriffe wurden Cl0p zugeschrieben, einer russischsprachigen Cybercrime-Gruppe, die seit langem für Erpressung mit Ransomware bekannt ist. Zum Zeitpunkt des Verfassens dieses Artikels gab die US-Behörde CISA bekannt, dass sie nicht davon ausgeht, die Angriffe seien von der russischen Regierung koordiniert worden, obwohl in mehreren Ländern Regierungseinrichtungen Opfer geworden waren.

Weshalb MOVEit?

MOVEit ist nicht die erste Dateiübertragungsplattform, die ausgenutzt wird. BleepingComputer weist darauf hin, dass es „in der Vergangenheit ähnliche Angriffe über Zero-Day-Schwachstellen bei Accellion FTA, GoAnywhere MFT und SolarWinds Serv-U gab“. Auch wenn wir die Beweggründe der Angreifer nicht mit Sicherheit kennen, gibt es doch einige Gründe, weshalb derartige Anwendungen zum Ziel werden.

Anwendungen zum Dateitransfer werden eher von kleineren Anbietern oder Organisationen als von Einzelpersonen entwickelt und es herrscht immer noch die Meinung vor, dass kleinere Anbieter bezüglich der Anwendungssicherheit nicht so leistungsfähig sind. Bei Organisationen ist wiederum die Chance groß, dass die Opfer entsprechende Mittel haben, um die Lösegelder zu zahlen. Der wohl wichtigste Grund ist jedoch, dass die Anwendungen Daten enthalten – sehr viele Daten.

Damit werden Dateiübertragungsanwendungen zu einem attraktiven Ziel und sicher auch in Zukunft im Fokus der Kriminellen bleiben.

Dateitransfers werden immer benötigt. Wie kann man sich und seine Daten, die über diese Plattformen laufen, also besser schützen?

Schutz vor dem Unbekannten

Beginnen wir zunächst mit einem allgemeinen Ratschlag zum Schutz vor Zero-Day-Angriffen.

Diese Ratschläge sind recht allgemein gehalten, da das Thema, wie man sich am besten vor allen möglichen unbekannten Angriffen schützen könnte, ein weites Feld ist. Lassen Sie uns allerdings etwas genauer darauf eingehen, wie Sie speziell Anwendungen zum Dateitransfer absichern können.

Schutz Ihrer Dateiübertragungsplattformen

Derartige Anwendungen verfügen in der Regel über die Möglichkeit, den Zugriff basierend auf den Anmeldedaten zu beschränken. Es ist also wichtig, dass jeder Benutzer seine eigenen Zugangsdaten hat, und der Zugriff jedes Benutzers auf die absolut nötigsten Berechtigungen beschränkt ist. Zwar ist das kein direkter Schutz vor Zero-Day-Angriffen, allerdings lässt sich so ein mögliche Angriff schneller erkennen. Welche Arten von Zero-Day-Angriffen könnten bei einer Dateiübertragungsanwendung vorkommen?

Ihre Abwehr beginnt damit, die Berechtigungen der Dateiübertragungsanwendung zu beschränken. Führen Sie die Anwendung möglichst nicht mit Administratorrechten aus. Sofern Sie diese in ihren eigenen Container oder eine virtuelle Maschine einbinden können, tun Sie das. Noch besser ist es, wenn Sie die Anwendung in einem vollständig isolierten Netzwerk ausführen können. Sie darf unter keinen Umständen Zugriff auf irgendeine Datei haben, die nicht unbedingt für ihre Aufgabe erforderlich ist.

Hier kann es hilfreich sein zu wissen, wie die Dateiübertragungsanwendung von Ihren Kunden tatsächlich eingesetzt wird. Gehen wir beispielsweise davon aus, dass die Anwendung von Ihren Kunden nur dazu eingesetzt wird, Dateien zu Ihnen hochzuladen. Führen Sie in diesem Fall im Hintergrund ein Skript aus, dass überprüft, wann eine Datei fertig hochgeladen wurde. Sobald der Upload abgeschlossen wurde, verschieben Sie die Datei von dem Dateitransferserver an einen Speicherort, auf den dieser nicht zugreifen kann. Auf diese Weise stellen Sie sicher, dass im Falle einer Kompromittierung der Dateiübertragungsanwendung durch eine Zero-Day-Schwachstelle, die das Ausführen externen Codes zulässt, dieser keinen Zugang zu den Daten hat.

Wenn Ihre Benutzer über die Dateiübertragungsanwendung auf Daten zugreifen müssen, ist es überlegenswert, ob sie für alle Anmeldedaten, die möglicherweise schädlichen Code auf dem Dateitransferserver ausführen könnten, ausschließlich Nur-Lesen-Berechtigungen vergeben. Auf diese Weise beschränken Sie das Problem darauf, dass Angreifer Ihre Daten zwar gesehen haben könnten, diese aber immerhin nicht ändern und/oder löschen können.

Abschließende Gedanken

Der Schutz von Dateiübertragungsanwendungen vor Zero-Day-Sicherheitslücken liegt schlussendlich im Prinzip der geringsten Berechtigungen. Stellen Sie sicher, dass alle mit Ihrem Netzwerk verbundenen Geräte wirklich nur mit den Komponenten kommunizieren können, die sie unbedingt benötigen, und dass wo immer möglich EDR installiert ist. Falls Sie für bestimmte Benutzer unbedingt dauerhaft privilegierten Zugriff bereitstellen müssen, lassen Sie diese möglichst über ein VPN auf die Dateitransferdienste zugreifen.

Für jegliche Daten, die dem Internet ausgesetzt sind, besteht das Risiko, dass sie auch im Internet landen – selbst wenn sie von einer Anwendung geschützt werden. Je mehr Abwehrmaßnahmen Sie ergreifen, umso länger können Sie diese Daten schützen. Anhand der Analyse von Protokolldateien und mittels Schwachstellenscannern können Sie herausfinden, ob Ihre Daten noch sicher sind. Am besten ist es jedoch, so wenig Daten wie möglich so kurz wie unbedingt nötig zugänglich zu machen, um das Risiko zu minimieren.

 

Übersetzung: Doreen Schäfer

Exit mobile version