|
Research
|
Blog
|
Newsletter
|
Websession
|
EN

Die 10 häufigsten Schwachstellen bei Penetrationstests

07. September 2023

Unsere Penetrationstester haben die 10 häufigsten Schwachstellen oder Gefahren zusammengetragen, die sie bei ihrer täglichen Arbeit identifizieren. Häufig kommt es sogar vor, dass gleich mehrere Chartpositionen samt entsprechender Handlungsempfehlungen ins Pflichtenheft der Auftraggeber einfließen.

Top 1: Mangelhaftes Update- und Patchmanagement

Seit Jahren konstatiert das BSI bei der Vorstellung des alljährlichen Lageberichtes zur Cybersicherheit, dass eine der Hauptgefahren beim Schutz vor Cyberbedrohungen Schwachstellen sind. Rund 40 Sicherheitslücken in Softwareprodukten werden jeden Tag neu gemeldet. Und dabei handelt es sich ausschließlich um die offiziell gemeldeten Lücken mit CVE-Nummer (Common Vulnerabilities and Exposures). Hinzu kommen nicht erfasste Sicherheitslücken, Schwachstellen in Eigenentwicklungen oder angepassten Softwareprodukten.

Unabhängig von der Zahl neu aufkommender Sicherheitslücken macht es schon die Komplexität und die Vielzahl eingesetzter Software schwierig, den Update-Status sämtlicher im Einsatz befindlicher Produkte im Blick zu behalten. Mit dem Vulnerability Management as a Service bietet 8com Ihnen eine Möglichkeit, das Patch-Level sämtlicher IT-Systeme dauerhaft im Blick zu behalten, IT-Sicherheitslücken zeitnah zu behandeln und so das Sicherheitsniveau langfristig zu steigern.

Top 2: Klartextkommunikation

Während Klartextkommunikation im persönlichen Gespräch oder dem Austausch mit Geschäftspartnern und Kunden von Vorteil sein kann, ist sie innerhalb der IT-Infrastruktur ein gefundenes Fressen für Cyberkriminelle, weil sie ihnen die Möglichkeit bietet, mit geringem Aufwand an die für sie wichtigen Informationen zu gelangen.

Durch den Umstieg auf Kommunikationsprotokolle wie HTTPS, SFTP oder FTPS werden sichere und vor allem verschlüsselte Datenübertragungen sichergestellt. Insbesondere für die Übermittlung von Anmeldedaten ist das unverzichtbar.

Top 3: Verwendung unsicherer Protokolle

Noch immer kommen viel zu häufig unsichere Netzwerkdienste zum Einsatz. Neben ungeschützten Ports geht dabei eine große Gefahr von der Verwendung unsicherer Protokolle aus, die aufgrund schwacher oder fehlender Verschlüsselung oder anderer Schwachstellen Authentifizierungsdetails oder Sitzungsdaten preisgeben. Die gängigsten unsicheren Protokolle sind Server Message Block (SMB) Version 1, Telnet, Simple Network Management Protocol (SNMP) Version 1/Version 2c, das File Transfer Protocol (FTP), Link-Local Multicast Name Resolution (LLMNR), der Net-BIOS-Namensdienst (NBT-NS) und der New Technology LAN Manager (NTLM) Version 1.

Um Angriffe zu vermeiden, sollten veraltete Protokolle deaktiviert oder wenn möglich auf sichere Versionen aktualisiert werden. Geräte, die mit unsicheren Protokollen arbeiten, sollten möglichst ersetzt werden. Alternativ können Vermittlungsgeräte zum Einsatz kommen, mit denen die Protokolle in sichere Versionen umgewandelt werden. Zusätzlich sollten Sie die die Portfreigabe auf ein Minimum beschränken und nicht notwendige Ports dauerhaft schließen.

Top 4: Nicht vorhandenes SMB/LDAP-Signing

Immer wieder stellen unsere Penetrationstester fest, dass beim Server Message Block (SMB) und Lightweight Directory Access Protocol (LDAP) kaum oder nur stellenweise signiert wird.

Um eine gesicherte Datenübertragung sicherzustellen, sollten SMB/LDAP-Verbindungen immer signiert werden, um die Integrität und Authentizität der übermittelten Daten sicherzustellen. Erst durch das Signing kann der Sender vom Empfänger verifiziert werden. Darüber hinaus kann festgestellt werden, ob Daten auf dem Übertragungsweg manipuliert worden sein könnten.  

Dementsprechend sollte das SMB/LDAP-Signing per Gruppenrichtlinie IT-seitig erzwungen werden.

Top 5: Unzureichende Netzwerksegmentierung

Moderne IT-Infrastrukturen sind komplex, das machen sich Cyberkriminelle zunutze. Sie suchen nach Schwachstellen und Einfallstoren in vermeintlich unwichtigen Systemumgebungen, um sich von dort aus ihren Weg zum eigentlichen Ziel zu bahnen.

Unzureichende Netzwerksegmentierung begünstigt dieses Vorgehen. Dabei kann mit einer Netzwerksegmentierung die Ausbreitung von Clients oder Netzwerkdruckern auf Server oder gar wichtige Produktionssysteme verhindert werden: Mithilfe strikter Firewall-Regeln wird eine Ausbreitung über die einzelnen Systembereiche hinaus nahezu unmöglich.

Top 6: SNMP Public Community String

Immer wieder stellen wir fest, dass im Netzwerkverwaltungsprotokoll (SNMP = Simple Network Management Protocol) der standardmäßig aktivierte Public Community String nicht deaktiviert wird – ein fataler Fehler.

Der Public Community String kann ausgelesen werden und enthält unter anderem Informationen über laufende Prozesse auf dem Zielsystem. Daher sollte dieser deaktiviert werden. Noch besseren Schutz bietet zudem eine Umstellung auf SNMP v3, das zusätzliche Sicherheitslösungen wie Benutzerkonten, Authentifizierung und die optionale Verschlüsselung von Datenpaketen mitbringt.

Top 7: Standardzugangsdaten

Werkseitig voreingestellte Standardzugangsdaten sind ein gefundenes Fressen für Cyberkriminelle. Trotzdem finden unsere Pentester bei ihren Sicherheitsüberprüfungen immer wieder unveränderte Standardzugangsdaten vor.

Standardzugangsdaten müssen daher immer und unverzüglich durch individuelle, sichere Passwörter ersetzt werden.

Top 8: Imitation von E-Mail-Absendern via SMTP

Nach wie vor beginnt eine Vielzahl der Cyberangriffe mit einer initialen Phishing-Mail. Viele Mail-Server exponieren den Simple Mail Transfer Protocol (SMTP) Dienst, welcher bei falscher Konfiguration als Open Relay fungieren kann. Dadurch ist es für Angreifer möglich, ohne eine Authentifizierung E-Mails von beliebigen Absendern zu versenden. Deshalb sollte eine Authentifizierung beim SMTP-Server erforderlich sein.

Top 9: Kerberoasting

Beim Kerberoasting versuchen Angreifer, die bereits das Konto eines Domänenbenutzers kompromittiert haben, schwache Passwörter von privilegierten Service-Accounts zu cracken.

Weil dabei klassischerweise die Brute-Force-Methode zum Einsatz kommt, also das automatisierte Durchprobieren möglicher Passwörter, bietet die Anwendung möglichst langer und komplexer Passwörter hiervor den besten Schutz.

Zusätzlich sollten auch die schwachen Verschlüsselungsverfahren für Kerberos-Tickets deaktiviert werden, um das Cracking zu erschweren.

Top 10: Print Spooler auf Domain Controller

Der Print Spooler ist auf den ersten Blick ein harmloser Software-Dienst, der für die Verwaltung der Druckprozesse im Netzwerk verantwortlich ist. Jedoch kann jeder authentifizierte Benutzer diesen Dienst nutzen und den Domain Controller zu einer Authentifizierung am Angreifersystem zwingen. Diese Authentifizierung kann weitergeleitet werden, wodurch es möglich ist, im Namen des Domain Controllers gewisse Aktionen im Active Directory auszuführen. Deshalb sollte mindestens auf den Domain Controllern der Print Spooler deaktiviert werden.

Fazit

Ständig lassen sich Cyberkriminelle neue Methoden einfallen, um ihre Ziele zu erreichen. Dabei machen sie sich immer wieder Sicherheitslücken in den Systemen ihrer Opfer zunutze. Dem Problem der tagtäglich neu aufkommenden Sicherheitslücken in Software-Produkten können IT-Verantwortliche letztlich nur mit einem effektiven Update- und Patchmanagement begegnen. Unser Ranking zeigt aber auch, dass eine Vielzahl der gefundenen Schwachstellen IT-seitig durch entsprechende Konfigurationseinstellungen behoben werden kann und muss.

--

Grafik (c) BPawesome / AdobeStock

Zurück zur Blog-übersicht
Zurück zuM Research-Blog
Alle Mitarbeiter-Interviews