Monthly Archives: March 2021

Ransomware in der Automatisierungstechnik. Das muss nicht sein!

28. März 2021

Vor einigen Tagen schaute ich mit das KnowBe4 Webinar „Now That Ransomware Has Gone Nuclear, Avoid Becoming the Next Victim?“ (1) an. Der erste Teil über das Ransomware Business war sehr informativ. Folie „Defenses“ brachte die ganze Ransomware-Diskussion auf den Punkt:

Von den weiteren Details zu den Abwehrmaßnahmen war ich eher enttäuscht. Das Webinar vermittelte den Eindruck, dass die Anbieter von IT-Security-Lösungen keine Strategie zum Umgang mit Ransomware haben. Philipp Blom bringt es in seinem Buch „Das große Welttheater“ (2) auf den Punkt:

„Die Protagonisten handeln und planen in der Annahme, dass die Gegenwart so ist, wie sie nun einmal ist, dass keine wirkliche Alternative besteht und dass deswegen nichts anderes übrigbleibt, als eben weiterzumachen wie bisher, nur mit noch mehr Energie und Entschlossenheit, immer weiter hinein, immer schneller, immer mehr.“

Im CISA Ransomware Guide (3) von 2020 findet man nahezu alle Vorschläge, die Javvad Malik von KnowBe4 in seinen Folien im Abschnitt Defenses zeigt. Die CISA geht im Abschnitt „Ransomware Infection Vector: Precursor Malware Infection“ einen entscheidenden Schritt weiter und empfiehlt:

“Use application directory allowlisting on all assets to ensure that only authorized software can run, and all unauthorized software is blocked from executing.
Enable application directory allowlisting through Microsoft Software Restriction Policy or AppLocker.”

Wie funktionieren Application-Directory-Allowlisting-Lösungen?

Das Schutzkonzept von Application-Directory-Allowlisting-Lösungen, auch Directory-Whitelisting-Lösungen genannt, ist bestechend einfach: Anwendungen dürfen nur gestartet werden, wenn Sie in bestimmten Verzeichnissen installiert sind.

Die einfachste Allowlist besteht aus 2 Verzeichnissen, c:\windows\system32 und c:\programme. Microsoft Word, installiert in „C:\Programme\Microsoft Office“ darf gestartet werden; die Ausführung eines PowerShell-Scripts, das ein bösartiges Word-Dokument im Homeverzeichnis eines Anwenders speichert, wird blockiert, da das Homeverzeichnis nicht in der Whitelist verzeichnet ist.

Application-Directory-Allowlisting-Lösungen blockieren Angriffe bereits in der Exploitation Phase der Cyber-Kill-Chain; die Installation des Schadprogramms wird verhindert.

Software Restriction Policies (SRP) sind seit Windows XP in der Professional-Version, AppLocker ist seit Windows 7 in der Enterprise-Version von Windows verfügbar. Beide können zentral über Group Policies administriert werden. Im Hintergrund überwacht der Dienst Anwendungsidentität (AppIdSvc) die Objektausführung.  

Lösungsanbieter im Umfeld Prozessautomatisierung sind sehr konservativ, wenn es um Systemprogramme geht, die in die Programmausführung eingreifen. Ein Anbieter legt im Detail fest, welche IT-Security Produkte in welcher Version mit seinen Produkten zertifiziert sind. Das garantiert dem Systemintegrator und Betreiber die Unterstützung im Fall von Problemen. Interessanterweise sehen einige der bekannten Lösungsanbieter AppLocker als grundlegende Härtungsmaßnahme an:

Hersteller Erklärung des Herstellers zum Einsatz von AppLocker
Siemens Grundlegende Sicherheitseinstellung für SIMATIC IPCs (4)
Schneider
Electric 		Akzeptiert die Nutzung von AppLocker (6), referenziert auf
die Essential Four (Vorgänger der Essential Eight (5)) des Australian Cyber
Security Centre.
ABB Automatisch konfiguriert in MicroSCADA Pro SYS600 und DMS600 Umgebungen (7)
Rockwell Whitelisting mit AppLocker ist Critical Control (8). Vorgefertigte AppLocker Policies sind
zum Download verfügbar.
Herstellerinformationen zu AppLocker

Hinweis: Diese Zusammenstellung ist nicht vollständig. Fragen Sie den Hersteller ihrer Automatisierungslösung, ob er Application-Directory-Allowlisting mit AppLocker oder SRP unterstützt.

Wie wirksam sind Application-Directory-Allowlisting-Lösungen?

Application-Directory-Allowlisting-Lösungen schützen vor Angriffen, die eine Benutzerinteraktion erfordern. Dazu gehören etwa als Dokumente und Anhänge getarnte Schadprogramme, Drive-by-Downloads oder PuP (Potentially unwanted Programs). Da die Lösungen nicht mit Erkennungsmustern arbeiten, sinkt die Effektivität nicht über die Zeit. Damit ist auch ein Schutz gegen neuartige Malware wie Purple Fox (9) gewährleistet.

Was reduziert die Effektivität von Application-Directory-Allowlisting-Lösungen?

Arbeitet der Anwender mit permanenten administrativen Berechtigungen, so besteht die Möglichkeit, dass sich die Schadware in ein erlaubtes Verzeichnis, etwa c:\windows\system32 kopiert. Damit könnte die Malware gestartet werden.

Wo bieten Application-Directory-Allowlisting-Lösungen keinen Schutz?

Bei jeder Art von Malware, die im Systemkontext und ohne Benutzerinteraktion arbeitet. Dazu gehören Crypto-Würmer wie WannaCry und NotPetya. Pro Jahr werden wenige Schwachstellen in Windows-Systemfunktionen gefunden, die Wurm-Potenzial haben. Sofern in ihrem Produktionsumfeld eingehende Netzwerkverbindungen mit Microsoft-Protokollen erforderlich sind, sollten Application-Whitelisting-Lösungen zum Einsatz kommen.

Was kostet die Einführung der Lösung?

AppLocker ist in der Enterprise-Version von Windows enthalten. Die Installation und der Betrieb im Automatisierungsumfeld ist einfach, da kaum Modern Apps eingesetzt werden, die im Userkontext installiert sind. Das Rollout der Lösung kann mit Group Policies durchgeführt werden, sofern ein Active Directory vorhanden ist. Daher ist mit sehr geringen Betriebskosten und somit einem großen RoSI zu rechnen. Mehr zu RoSI (Return on Security Invest) im nächsten Post.

Sollte AppLocker auch im Enterprise Umfeld genutzt werden

Die CISA Empfehlung ist klar. Im Enterprise-Umfeld ist mit den Modern Apps mit deutlich erhöhtem Aufwand zu rechnen, da diese im User-Kontext arbeiten. Lösungen wie Goto-Meeting, die das Herunterladen und Ausführen eines Programms im Userkontext erfordern, funktionieren nicht, können jedoch durch geeignete AppLocker Regeln lauffähig gemacht werden. Prinzipiell sollten solche Programme nicht verwendet werden, da sie ein erhebliches Sicherheitsproblem bilden. Im Enterprise-Umfeld ist mit einem deutlich schlechteren RoSI zu rechnen.

Mehr zu RoSI und Application Whitelisting im nächsten Post.

Referenzen

1.            Malik J. Now That Ransomware Has Gone Nuclear, How Can You Avoid Becoming the Next Victim? [Internet]. Data Breach Today. 2021 [zitiert 28. März 2021]. Verfügbar unter: https://www.databreachtoday.eu/showOnDemand.php?webinarID=3007

2.            Blom P. Das große Welttheater. Von der Macht der Vorstellungskraft in Zeiten des Umbruchs. 2020.

3.            CISA Cyber Security and Infrastructure Security Agency. Ransomware Guide [Internet]. Publications Library. 2020 [zitiert 8. Oktober 2020]. Verfügbar unter: https://www.cisa.gov/sites/default/files/publications/CISA_MS-ISAC_Ransomware%20Guide_S508C.pdf

4.            Siemens AG. Empfohlene Sicherheitseinstellungen für IPCs im Industrieumfeld [Internet]. Industry Online Support International. 2019 [zitiert 2. Dezember 2020]. Verfügbar unter: https://support.industry.siemens.com/cs/document/109475014/empfohlene-sicherheitseinstellungen-f%C3%BCr-ipcs-im-industrieumfeld?dti=0&lc=de-WW

5.            Australian Cyber Security Center. Essential Eight Explained | Cyber.gov.au [Internet]. Australian Signals Directorate. 2020 [zitiert 19. Juni 2020]. Verfügbar unter: https://www.cyber.gov.au/publications/essential-eight-explained

6.            Schneider Electric. How can I… Reduce Vulnerability to Cyberattacks? [Internet]. 2019. Verfügbar unter: https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=STN+-+How+can+I+reduce+vulnerability+to+cyberattacks+v3+Feb2019.pdf&p_Doc_Ref=STN+v2#page75

7.            ABB. MicroSCADA Pro Cyber Security Deployment Guideline [Internet]. 2016 [zitiert 2. Dezember 2020]. Verfügbar unter: https://docplayer.net/37555936-Microscada-pro-cyber-security-deployment-guideline.html

8.            Rockwell Automation. Rockwell Automation Customer Hardening Guidelines. Document ID: PN767 [Internet]. 2010 [zitiert 2. Dezember 2020]. Verfügbar unter: https://rockwellautomation.custhelp.com/app/answers/answer_view/a_id/546987/loc/en_US#__highlight

9.            Montalbano E. Purple Fox Malware Targets Windows Machines With New Worm Capabilities [Internet]. threatpost. 2020 [zitiert 26. März 2021]. Verfügbar unter: https://threatpost.com/purple-fox-malware-windows-worm/164993/

CVE-2021-21972 – Kritische Schwachstelle in vSphere Client. Was hätte Peter F. Drucker dazu gesagt?

6. März 2021

Am 23. Februar 2021 veröffentlichte VMware(1) die Schwachstelle CVE-2021-21972(2) im vSphere HTML 5 Client. Bei CVE-2021-21972 handelt es sich um eine kritische Schwachstelle, vergleichbar mit Schwachstelle CVE-2019-19781 im Citrix Application Delivery Controller, die 2020 im Angriff auf die Uni-Klinik Düsseldorf verwendet wurde.

Schwachstelle CVSS V3 Vektor
Kritische Schwachstelle AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H Definition
CVE-2021-21972 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H VMware vSphere RCE
CVE-2019-19781 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H Citrix Application Delivery Controller RCE, Uni-Klinik Düsseldorf, 2020

Die Ausnutzung einer kritischen Schwachstelle führt zum vollständigen Verlust der Integrität des Systems (I:High), den ich höher bewerte als den vollständigen Verlust der Verfügbarkeit oder der Vertraulichkeit. Der vollständige Verlust der Integrität hat zur Folge, dass der Angreifer unerkannt und unbemerkt beliebige Änderungen am System vorzunehmen. Das kann in der Prozessindustrie, wie das Beispiel Triton(3) zeigt, zu Explosionen führen.

CVE-2021-21972 ist wie CVE-2019-19781 eine Remote-Code-Execution-Schwachstelle. RCE-Schwachstellen ermöglichen dem Angreifer, beliebigen Code im Systemkontext, also mit den höchsten Berechtigungen, auszuführen.

In beiden Fällen ist die Access Complexity AC:Low. Der Angreifer benötigt nur wenig Knowhow zur Durchführung des Angriffs. Steht das betroffene System in der DMZ, so kann prinzipiell jeder der ca. 4 Mrd. Internetteilnehmer mit wenig Aufwand einen Angriff starten und das System übernehmen.

Eine kritische Schwachstelle sollte also umgehend nach ihrer Veröffentlichung gepatcht werden. Ist dies nicht möglich, so sollten direkt risiko-reduzierende Maßnahmen ergriffen werden, um einem Verlust der Integrität vorzubeugen. Sind weder Patches noch risiko-reduzierende Maßnahmen bekannt, so sollte der Zugriff vom Internet auf das betroffene System deaktiviert werden.

vSphere Client-Systeme in Region Kassel

vSphere Client-Systeme in Region Kassel, Quelle: Shodan

Im Fall CVE-2019-19781 dauerte die Bereit-stellung des Patches einen Monat. Zudem wurde die Schwachstelle bereits vor der Veröffentlichung in Angriffen genutzt.
CVE-2019-19781 war also ein Zero-Day-
Exploit. Das ist bei CVE-2021-21972 nicht der Fall. VMware(1) veröffentlichte mit der Schwachstelle Patches und Workarounds. Workarounds sind notwendig in der Zeit bis der Patch ausgerollt und aktiviert ist. Damit konnten die ca. 6.500 betroffenen vSphere Clients, die direkt vom Internet erreichbar sind, effizient geschützt werden. Da bereits am Tag nach der Veröffentlichung ein Exploit(4) verfügbar war mussten die Systeme umgehend gepatcht werden. Und IT-Abteilungen haben dies schnell, effizient und mit viel persönlichem Einsatz getan.

Die große Frage ist: Warum sind diese vSphere Client-Systeme überhaupt vom Internet erreichbar? Kritische Systeme wie die Managementsysteme für eine VMware-Infrastruktur sollten nie vom Internet erreichbar sein. Das gilt nicht für den Citrix Application Delivery Controller. Dessen Aufgabe ist die sichere Bereitstellung von internen Ressourcen für Anwender, die vom Internet zugreifen. Im Fall VMware haben wir Probleme geschaffen, die wir bei Veröffentlichung einer neuen Schwachstelle mit großer Effizienz lösen. Hierzu sagt Peter F. Drucker(5):

“There is surely nothing quite so useless as doing with great efficiency what should not be done at all.”

Ist CVE-2021-21972 ein Einzelfall? Leider nicht. Nur zwei Beispiele:

  • Stand 6.3.2021 listet Shodan 1,265,880 Systeme mit offenem SMB Port, obwohl WannaCry 2017 solche Systeme für den Zugriff auf interne Computernetzwerke nutzte.
  • Shodan listet 3,974,926 Systeme, die per RDP erreichbar sind, obwohl CVE-2019-0708 (BlueKeep) mit hohem Aufwand weltweit gepatcht wurde um Angriffe von WannaCry-Ausmaßen zu verhindern.

In beiden Fällen müssen wir die Frage stellen: Ist das notwendig? Wie viele IT-Experten, die wir dringend für Digitalisierungsprojekte benötigen, arbeiten an der Lösung von IT-Problemen, die nicht existieren sollten? Können wir uns eine derartige Verschwendung von Expertise leisten?

Peter F. Druckers Veröffentlichung “Managing for Business Effectiveness” aus dem Jahr 1963 ist wieder top aktuell.

Schönes Wochenende.

Quellen

  1. VMSA-2021-0002 [Internet]. VMware. [zitiert 25. Februar 2021]. Verfügbar unter: https://www.vmware.com/security/advisories/VMSA-2021-0002.html
  2. NIST Information Technology Laboratory. NVD – CVE-2021-21972 [Internet]. NIST National Vulnerability Database. 2021 [zitiert 5. März 2021]. Verfügbar unter: https://nvd.nist.gov/vuln/detail/CVE-2021-21972
  3. Sobczak B. SECURITY: The inside story of the world’s most dangerous malware [Internet]. 2019 [zitiert 11. Mai 2019]. Verfügbar unter: https://www.eenews.net/stories/1060123327
  4. Klyuchnikov M. Unauthorized RCE in VMware vCenter [Internet]. PT SWARM. 2021 [zitiert 6. März 2021]. Verfügbar unter: https://swarm.ptsecurity.com/unauth-rce-vmware/
  5. Drucker PF. Managing for Business Effectiveness. Harvard Business Review [Internet]. 1. Mai 1963 [zitiert 6. März 2021]; Verfügbar unter: https://hbr.org/1963/05/managing-for-business-effectiveness