Es gibt Schwachstellen im Unternehmen, die für Angreifer schnell zu erkennen und auszunutzen sind. Bei den von uns durchgeführten Penetrationstests, in den Netzen unserer Auftraggeber, gibt es Sicherheitslücken die als „Klassiker“ durchgehen können. Immer zu finden und eigentlich leicht zu beheben. Jedes Unternehmen betreibt Systeme in unterschiedlichen Netzen. Selbst kleine Unternehmen besitzen eine Webseite und oft einen E-Mail Server, der im Internet erreichbar ist. Hinzu kommt ein internes Netzwerk, in dem die Computer der Angestellten sind.
Bei einem ganzheitlichen Penetrationstest werden beide Seiten des Netzwerks geprüft. So untersuchen wir nicht nur aus der klassischen Hacker-Perpektive – aus dem Internet – sondern bewerten auch welchen Schaden ein Täter von Innen anrichten könnte. Gerade in der Analyse des internen Unternehmensnetzen gibt es ein paar Klassen von Schwachstellen, welche uns regelmäßig auffallen.
Alltägliche Schwachstellen im Unternehmen: Selbst signierte Zertifikate
Im Internet sind mit HTTPS verschlüsselte Verbindungen der Standard. Aber gerade in vielen Netzwerken von Unternehmen werden noch viele Webanwendung gänzlich unverschlüsselt genutzt. Gerade wenn diese ausschließlich für das Intranet bestimmt sind. Wenn im internen Netzwerk HTTPS genutzt wird, dann leider auch meist ohne gültige Zertifikate. Die Sicherheit von HTTPS basiert jedoch darauf, dass die Zertifikate zwischen Webseiten und Browser ausgetauscht werden.
Wenn nun im internen Netzwerk selbst signierte Zertifikate verwendet werden, kann der Browser die Echtheit dieser Webseite nicht überprüfen. Dadurch ist es ein Leichtes für einen Angreifer die Daten der Mitarbeiter mitzulesen, welche die Webseiten im internen Netz besuchen.
Direkter Zugriff auf das Internet
Bei unseren Untersuchungen stellen wir ebenfalls häufig fest, dass sobald wir bei einem Penetrationstest vor Ort eine LAN-Steckdose sehen, wir uns dort anstecken können und direkt Zugriff auf das interne Netzwerk und das Internet erhalten. Das stellt ein hohes Risiko dar. Jeder, der Zugriff auf eine der im Gebäude verteilten Netzwerkdosen hat, ist damit in der Lage eine Hardware Backdoor ,in Form eines Einplatinen-Computers (z.B. einen Raspberry Pi), zu platzieren.
Somit hätte der Angreifer direkten Zugriff auf das interne Netz, ohne sich selbst dauerhaft im Gebäude aufhalten zu müssen. Für so einen Angriff eignen sich besonders Computer wie ein Raspberry Pi mit Kali Linux welcher auch über einen Akku betrieben werden kann. Solch ein Computer lässt sich sehr schnell einrichten und kann bei unbeschränkten Netzzugriff einen enormen schaden anrichten. Das passiert selbst der NASA.
Sind Netzwerkdosen für Gäste und Fremde, ohne die Überwindung von Hindernissen, zugänglich, sollten gerade diese Ports besonders geschützt werden. Das kann im ersten Schritt über MAC-Filter gelingen. Andere Werkzeuge ermöglichen aber auch einen nicht so wartungsintensiven Schutz. Der Zugriff aufs Internet sollte auf diesen Ports erst bei der erfolgreichen Absolvierung eines Captive Portals freigeschaltet werden. DNS-Tunnel sind zwar dann noch möglich, jedoch für den Wald und Wiesen Angreifer zu aufwendig und langsam.
Fehlende Netztrennung
Ein weiteres Problem ist die fehlende Trennung von internen Netzen. Das bedeutet, dass die Infrastruktur zum Betrieb des Netzwerks wie Router, Switches und Server im selben Netzwerk betrieben werden in dem auch die Mitarbeiter arbeiten. Das Problem, was sich daraus ergibt ist, dass ein Angreifer, der es ins Netz geschafft hat, direkten Zugriff auf alle wichtigen Komponenten des Unternehmensnetzwerks erhält. So kann es beispielsweise passieren, dass ein Verschlüsselungstrojaner wie Emotet nicht nur die Clients und die Netzwerklaufwerke befällt, sondern auch die Backup Server.
Wenn wir so eine alltägliche Schwachstelle im Unternehmen feststellen, empfehlen wir schleunigt die Konfiguration der Clients und des Netzwerks so abzuändern, dass das Büro-Netz vom administrativen, kritischen Bereich getrennt wird. Das resultiert in der Praxis darin, dass die „normalen“ Mitarbeiter*innen keinen Zugriff auf die Management-Ports der notwendigen Netzwerk-Infrastruktur haben.
Standardeinstellungen
Viele Router und Switches unterstützen von natur aus Protokolle zur dynamischen Verteilung von VLANs oder der Last im Netzwerk. Sehr bekannte Protokolle in diesem Bereich sind beispielsweise STP und CDP von Cisco. Diese werden aber nicht nur von Cisco-Geräten gesprochen. Diese werden auch von vielen anderen Herstellern unterstützt. Das bringt jedoch ein Risiko mit sich.
Bei dem gerade erwähnten Protokoll „STP“ hat ein Angreifer beispielsweise die Möglichkeit die Spanning-Tree-Topologie auszulesen und mit gefälschten Anfragen zu manipulieren. Ein Angreifer kann auf diese Weise eine gefälschte „Root Bridge“ in die STP-Topologie einbringen, um die Verfügbarkeit der gesamten Netztopologie gezielt zu stören. Dies wird sehr anschaulich noch einmal in dem folgenden Video erläutert.
Solche Probleme treten immer dann auf, wenn Netzwerkgeräte wie Router oder Switches in Ihrer Standard-Konfiguration verwendet werden. Es sollte daher immer evaluiert werden, welche Funktionen eines Produkts benötigt werden und alles andere an Funktionen zu deaktivieren.
Erkennen Sie zuverlässig Phishing E-Mails?
Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!
Bin ich betroffen von alltäglichen Schwachstellen im Unternehmen?
Für viele nicht technisch affine Mitarbeiter*innen kann es schwer sein festzustellen ob das eigene Firmennetz von alltäglichen Schwachstellen im Unternehmen betroffen ist. Um so etwas professionell und sicher feststellen zu können, bietet sich die Durchführung von professionellen Penetrationstests an. Da diese Ihnen auch direkt bei der Behebung der gefunden Schwachstellen zur Seite stehen können.
Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.
