News Crash-Dump: So gelangten Hacker an Microsofts Signaturschlüssel

[Caramon2]

Warum sollte MS denn nicht Linux als Unterbau benutzen? So gut wie nichts, was Windows mitbringt, hätte dabei irgendeinen Benefit.

"Schuster bleib bei deinen Leisten" - Wenn sie bei bekannten geblieben wären, hätten die Schutzmaßnahmen, die den Key trotzdem durchgelassen haben, vielleicht funktioniert.

"Es gibt keine 100%ige Sicherheit. Wer Ihnen das erzählt, will ihnen nur etwas verkaufen oder hat schlichtweg keine Ahnung. Jedes System kann kompromittiert werden"

Mein Windows ist absolut sicher, da nicht mal installiert.

Und wenn ich es installiere, dann üblicherweise offline per VM und in einer zRAM-Disk, da ich es anschließend, nachdem ich nachgesehen/getestet habe, was ich nachsehen/testen wollte, gleich wieder platt mache.

Auch das halte ich für sicher.

 

[nemix]

Das Setup was du beschreibst ist doch weltfremd für jede Firma mit mehr als 10 Angestellten.

Wie auf der Vorseite schon diskutiert, jegliche Sicherheitsmaßnahmen bringen nichts wenn man nicht zeitnah Securityupdates installiert. Ich hatte vor 2 Wochen einen Zero-Trust Workshop und nach dem Whiteboarding kam direkt die Aussage "Das nimmt uns dann ja auch zeitlichen Druck beim Patchen der Clients...."
Das betrifft übrigens nicht nur die MS Welt, wenn ich teilweise Infrastrukturen sehe mit EOL Routern/Firewalls oder CVE-2019-19781 bei Citrix. Das hat Monate gedauert bis alle gepatcht haben, weil viele Firmen und vorallem Behörden immer noch keine saubere IT Planung haben.

 

[andy_m4]

Nö! Es gibt genug Unternehmen die auf LTSC Lösungen setzen, eine verzögerte Updatestrategie haben, oder aus welchen Gründen auch immer Updates verzögern.

Was ist denn das für ne Argumentation? Bloß weil irgendwer irgendwas macht, heißt es noch lange nicht, das es eine gute Idee ist. Auch dann nicht, wenn es viele machen.
Es macht nur sinn über ganz konkrete Fälle zu sprechen und dann kann man auch konkret sagen, was in dem Szenario sinnvoll ist oder nicht und was sich noch verbessern ließe. Alles andere ist sinnfrei.

Updates können Sicherheitslücken nur stopfen, nachdem diese bemerkt wurden, der mögliche Schaden ist da aber bereits entstanden.

Was ist denn das für ein Blödsinn? Klar kann ich Sicherheitslücken haben und auch (z.B. durch Veröffentlichung) bemerken, bevor Schaden entstanden ist.

Und wie bereits gesagt: Durch das Bereitstellen von Patches steigt die Zahl derer, die die Sicherheitslücke kennen (und ggf. ausnutzen wollen).
Durch die Veröffentlichung des Patches hast Du folgende Situation: Eine maximale Anzahl an Leuten kennt spätestens jetzt die Lücke. Gleichzeitig hast Du durch die Patches aber auch die Möglichkeit sie zu beheben. Logischerweise macht man das dann. Es kann begründete Fälle geben, wo man das trotzdem nicht macht. Aber die musst Du dann halt auch begründen. Und da reicht nicht ein Lapidares "viele Unternehmen machen das so".

Weil natürlich jede Software einen Rollback zulässt und danach geht wieder alles. In welcher Welt lebst du?

Wie gesagt: Dann läuft etwas nicht gut in der IT.
Aber ja. Es natürlich Komplikationen geben. Aber auch hier muss man dann halt ganz konkret aufs Szenario gucken und die Probleme benennen. Und dann kann man auch darüber reden, ob und was man besser machen kann. Sowas wie "In welcher Welt lebst Du" sind Aussagen, die substanzlos sind.

Die Basis von jedem plausiblen Sicherheitskonzept und wenn was passiert, dann willst du jeden Schritt der dazu geführt hat möglichst genau nachvollziehen.

Ein Werbevideo wo die ihr eigenes Produkt anpreisen? Really?
Verhaltensbasierte Erkennung kann tatsächlich ein nützliches Werkzeug sein. Wenn man es denn richtig einsetzt.
In der Praxis hast Du aber häufig zwei Probleme. Die Empfindlichkeit ist eher zu gering eingestellt, weil man natürlich (zu häufige) Fehlalarme vermeiden will. Zweitens hast nicht nur Du das Produkt, sondern die bad guys auch. Und die können dann halt testen und gucken, um ihre Malware so anzupassen, das die möglichst unter dem Radar bleibt.

Übrigens: Microsoft und Microsoft-Produkte sollte man eher nicht als Benchmark für Security heranziehen. Schon gar nicht in so einem Thread, wo die eindrucksvoll bewiesen haben, das die ihrem Kram nicht im Griff haben.

Apropos Antivirenprogramm: Hier müssten ja eigentlich auch die gleichen Richtlinien für Aktualisierungen gelten wie bei System-/Programm-Updates. Denn Fehlalarme können ja auch gerne mal ein realen Schaden nach sich ziehen. Und wenn es nur der Zeitverlust ist, wo jemand drauf guckt ob der Alarm berechtigt ist oder nicht.
Das heißt selbst ein popliges Signaturupdate müsste eigentlich den selben Prüfparkours durchlaufen wie sonstige Updates auch. Machst Du das auch? Oder bist Du konsequent inkonsequent? :-)

 

[xexex]

Ein Werbevideo wo die ihr eigenes Produkt anpreisen? Really?

Ein Werbevideo wo man gut sehen kann wie richtige Verhaltenserkenung aussieht. Vom ersten Aufkommen bis zum letzten Befehl der irgendwo ausgeführt wurde, lässt sich mit dieser Lösung alles genau nachvollziehen. Man sollte hier nicht irgendwelche "Pillepalle" Produkte mit Lösungen vergleichen, die auch Honeypots haben und wo sich jeder Script in getrennten Umgebung auf Verhalten analysieren lässt.

Eis Patch ist in Umgebungen die jederzeit angegriffen werden können, nur ein Flicken für hinterher. Damit eine Lücke überhaupt entdeckt wird, muss ein Angriff in den meisten Fällen bereits eigens dafür bereitgestellte Systeme erreichen, oder durch Zufall entdeckt werden. Das ist technisch gesehen längst zu spät, weshalb jedes größere Unternehmen Systeme einsetzt (oder sollte), um die Möglichkeiten eines Angriffs zu reduzieren und Auswirkungen zu begrenzen.

Sich auf Patches zu verlassen, ist keine Sicherheit, die Entwicklung solcher kann manchmal Wochen oder Monate dauern. Da kommt es beim Aufspielen, zumindest bei den Clients, auch nicht mehr auf den einen oder anderen Tag drauf an.

Apropos Antivirenprogramm:

Wenn du bei Antivirenprogramm an irgendwelche steinalten Programme denkst, die mit veralteten Signaturen arbeiten, brauchen wir nicht weiter über das Thema zu reden. Ich empfehle dir einfach mal sich das "Werbevideo" auch mal anzusehen, dann siehst du grob wie moderne Lösungen funktionieren und mit verschiedenen Schutzlösungen im Internet und lokalen Netzwerk zusammenarbeiten.

 

[Unnu]

Und da reicht nicht ein Lapidares "viele Unternehmen machen das so".

Naja, für die schon. Bis die halt gepoppt werden. Und das sind gerade sehr, sehr viele.

Ergänzung (15. September 2023)

weshalb jedes größere Unternehmen Systeme einsetzt (oder sollte), um die Möglichkeiten eines Angriffs zu reduzieren und Auswirkungen zu begrenzen.

Ja gut, das macht wohl jeder.
Allerdings sind das alles reaktive Dinge. Und wenn ich Pech habe, dann sitzen die schon im Netz, OHNE dass ich das mitbekomme.

Wer da dann keine brauchbare Hygiene hat, hat verloren.
Hygiene: MFA, mehrere Schichten an Admin-Rechten, vernünftiges IAM etc. Und vieles davon funktioniert nur mit modernsten MS-Umgebungen.

Was machste denn dann mit einem Steinalten 2012er oder, noch besser, einem 2008er. Und nein, Airgappen kannste den auch nicht ohne einen Krieg mit Fach anzufangen.

 

[DKK007]

Es könnte bald teuer werden für MS & Co.

Der EuGH hat nun entschieden, dass Betroffenen von Datenleaks ein Schadenersatz zusteht, wenn der Hack von der Firma hätte verhindert werden können.

https://www.tagesschau.de/ausland/eugh-datenlecks-firmen-schadensersatz-100.html

https://www.heise.de/news/EuGH-Angs...ff-kann-Schadenersatz-begruenden-9574822.html

 

[SSD960]

Es steht ja nicht mal fest in welcher Cloud noch die Schadsoftware steckt!

 

[Hylou]

wenn der Hack von der Firma hätte verhindert werden können.

Kann man das nicht immer sagen?
Nach dem Motto 'perfekte Sicherheit gibt es nicht'?

 

[DKK007]

Es geht eher drum, ob aktiv geschlampt wurde.
Passwörter im Klartext, schlechte Verschlüsselung, offene Server, Clouds oder Netzwerkspeicher usw.

 

[Carsti80]

Kann man das nicht immer sagen?
Nach dem Motto 'perfekte Sicherheit gibt es nicht'?

Es geht ja nicht nur darum, dass der Schlüssel verloren gegangen ist, sondern auch um den Umgang damit. Wenn der Verlust eines Schlüssels sicherheitsrelevant ist, dann muss das kommuniziert werden, damit Kunden darauf reagieren können. Wenn es durch die Medien geht und Unternehmen verunsichert sind, dann muss das Problem zumindest sinnvoll eingeordnet werden. Das alles ist nicht geschehen.

 

[DKK007]

Insbesondere waren mit dem Schlüssel weitere Angriffe möglich, ohne dass die Firmen und Behörden die MS-Dienste nutzen etwas wussten.

Auch diese könnten MS in Haftung nehmen oder eigene Schäden geltend machen.

Auf jeden Fall kommt laut den Luxemburger Richtern eine Ausgleichszahlung infrage, wenn Cyberkriminelle nach dem unbefugten Zugang persönliche Informationen etwa im Darknet veröffentlichen.

Beim Midgard-Hack wurden die Daten nicht oder nicht nur im Darknet veröffentlicht, sondern auf einer frei aufrufbaren Webseite.
Da ist der Zugriff nun wirklich für alle Leute gegeben.
https://taz.de/Rechter-Internetversand-Midgrd-gehackt/!5974343/

Für so manchen Kunden bedeutet das nun unangenehme Nachfragen vom Chef. Insbesondere wenn man sich die Nazi-CDs ins Ministerium bestellt.

 

[SSD960]

Es geht eher drum, ob aktiv geschlampt wurde.
Passwörter im Klartext, schlechte Verschlüsselung, offene Server, Clouds oder Netzwerkspeicher usw.

Hier ging es nicht um Passwörter. Token wurden generiert und somit sogar der 2 Faktor ausgehebelt. Frage mich gerade ob der Passkey geschützt hätte.

 

[DKK007]

Die Beispiele waren nicht auf diesen Fall bezogen.

In diesem Fall lag das Problem wirklich in der Kommunikation wie Carsti80 schon geschrieben hat.