Advanced-Persistent-Threat-Cyberattacken (APT), Identity Access Management (IAM) und Authentication Management sind Themen im Bereich der Informationssicherheit, mit denen sich die meisten Sicherheitsleute wohl bereits einmal befasst haben. Doch wieso führen gerade Mängel im IAM und im Authentication Management immer wieder dazu, dass APT-Angriffe möglich werden? Und warum werden diese nicht erkannt, obwohl die bestehenden Identitäten aktiv überwacht werden? Wir zeigen Ihnen anhand des SolarWinds-Angriffs auf, wie solche Attacken erfolgreich bekämpft werden können.

Kurzfassung des SolarWinds-Angriff

Am 13. Dezember 2020 berichtete die amerikanische Sicherheitsfirma FireEye über einen grossangelegten, weltweiten Cyberangriff. Das entsprechende ICS-CERT Advisory erschien am 17. Dezember. Danach wurden viele Artikel hierzu in den Medien publiziert.

Zusammengefasst lässt sich der SolarWinds-Angriff in die Klasse der APT-Attacken einordnen, bei denen eine Command-and-Control-Infrastruktur zur gezielten Infiltrierung von Unternehmen benutzt wird. Es wurde von mehreren betroffenen Firmen wie Microsoft und FireEye berichtet, dass der SolarWinds-Angriff nicht nur auf die lokale IT-Infrastruktur abzielte, sondern auch eine Datenexfiltration aus der Cloud veranlasste. Konkret war die Microsoft 365 Cloud betroffen. Der Datenabfluss wurde mittels unterschiedlicher Angriffsvektoren auf die Authentisierungsmechanismen erreicht. Hierfür wurden Zugriffs-Tokens durch gestohlene ADFS-Signaturschlüssel gefälscht, bösartige Identitätsprovider als vertrauenswürdige Domänen bei Azure AD hinzugefügt, privilegierte Rollen missbraucht, unerwünschte Authentifizierungsmittel zur Multifaktor-Authentifizierung hinzugefügt und Anwendungen von Azure AD Cloud zweckentfremdet. Das übergeordnete Ziel war es, wichtige Informationen aus den betroffenen Institutionen zu entwenden. Alle diese Angriffsvektoren gehören in die Themenbereiche Identity Access Management (IAM) und operative Authentication- und Autorisation-Infrastruktur (AAI).

IAM und AAI als Kernkompetenz der Temet

Durch integrale IAM- und AAI-Konzepte, die in ein konsistentes Gesamtkonzept eingebettet sind, hätte sich die Wirkung einiger dieser Angriffe wesentlich vermindern lassen. Als Beispiel dienen der gestohlene ADFS-Signaturschlüssel und die selbst ausgestellten Zugriffs-Token. Eine wesentliche Erkenntnis aus dem Vorfall ist, dass es sich bei ADFS-Servern um ein Tier-0-System handelt, das hochkritisch ist und entsprechend gehärtet werden muss. Weiter hätten klassische Schutzkonzepte mit WAFs und Konto- bzw. Netzwerkzugriffsbeschränkungen für ADFS-Server den Angriff wesentlich abgeschwächt. Durch einen Group Managed Service Account (gMSA) im IAM-Konzept wäre der Erfolg des Angriffs weiter geschmälert worden. Bei gMSA handelt es sich um ein Domänenkonto mit automatischer Kennwortverwaltung, das an Administratoren delegiert wird.

Ein zentrales Thema ist auch hier das Role-Design, ein wahrer Klassiker im Bereich des IAM. Konkret geht es darum zu bestimmen, welche Rollen wo benötigt werden. Um Lateral Movement von Schadsoftware zu erschweren, sollten keine unnötigen Rechte aus der On-Premise-Welt in die Cloud synchronisiert werden. Auch hier können ausgeklügelte Konzepte einen grösseren Schaden verhindern. Weiter kann dem Hinzufügen bösartiger Identitätsprovider in Azure AD durch eine durchdachte Rechtevergabe begegnet werden. Kommt ausserdem eine zentrale Authentisierungs- und Autorisierungsinfrastruktur zum Einsatz, wird das Eingehen unkontrollierter Föderationsbeziehungen durch einzelne Komponenten zusätzlich unterbunden.

Der Missbrauch privilegierter Rollen ist bei APT-Angriffen zentral, da so die Kontrolle über die Infrastruktur erlangt wird. So kann ein Global Administrator in seiner Rolle die vollständige Kontrolle über die Microsoft-365-Umgebung in der Cloud ausüben. Die Rechte können mit einem effektiven Need-to-Know-IAM-Konzept grundsätzlich eingeschränkt werden und das Risiko kann über eine zentrale Authentisierungs- und Autorisierungsinfrastruktur mit risikobasierter Anmeldung (RBA), Anomaliedetektion und Multifaktor-Authentisierung (MFA) entscheidend reduziert werden.

Das Zweckentfremden von Anwendungen in Azure AD Cloud erfreut sich immer grösserer Beliebtheit, da solche Angriffe äusserst erfolgversprechend sind. Selten wird ein Angriff hinter einer vertrauten Anwendung vermutet, die täglich im Gebrauch ist. Als Grundvoraussetzung für den sicheren Einsatz solcher Tools gilt es allgemein, Cloud Service Provider auf deren Sicherheit zu überprüfen. Weiter spielt die Ausübung von Rechten über eine Delegation, sogenannte oAuth2PermissionGrants, eine zentrale Rolle. Delegationen können missbräuchlich verwendet werden. So kann beispielswiese über die Exchange-Administrator-Rolle auf Benutzerpostfächer zugegriffen oder es können Maileinstellungen verändert werden. Auch hier kann eine zentrale AAI zusätzliche Sicherheit schaffen.

Automatisierte Prozesse für den Abgleich der tatsächlichen Zugriffsrechte auf IT-Systeme sind ein wesentlicher Aspekt des Identitätsmanagements und der Zugriffssteuerung. Dies zeigt sich auch im Kontext des SolarWinds-Angriffs, da mittels IAM-Reconciliation-Funktion Anmeldeinformationen für verdächtige Dienste und Anwendungen erkannt und entfernt werden können. Werden entsprechende Konzepte auf die AAI ausgeweitet, können auch missbräuchliche Authentisierungsmittel in Form von unerlaubten Geräteregistrationen erkannt und beseitigt werden. Ein Beispiel hierfür ist der Abgleich der Mobile-Device-Management-Datenbank mit den registrierten Geräten innerhalb des MFA-Diensts. Tauchen unbekannte, verdächtige Gerät auf, müssen diese umgehend untersucht werden. Weiter kann eine wirksame Anomaliedetektion wichtige Hinweise liefern.

Ausblick

Aktuell ist schwer einzuschätzen, was die Zukunft im Bereich der APT-Angriffe bringen wird. Es ist davon auszugehen, dass Angriffe weiter perfektioniert werden und es immer wieder zu ähnlichen Vorfällen wie bei SolarWinds kommen wird. Weiter kann beobachtet werden, dass häufig regierungsnahe Organisationen wie UNC2452 (im Falle des SolarWinds-Angriffs) hinter solchen Angriffen stehen. Sie scheinen über die nötigen Ressourcen zu verfügen, um hochspezialisierte Angriffe durchzuführen.

Leider lassen sich nicht alle APT-Angriffe erfolgreich verhindern. Unternehmen sollten trotzdem vorsorglich in ihre Cybersecurity Resilience investieren, um umfangreiche Cyberereignisse und die dazugehörigen Risken minimieren zu können. Diese Investition ist ein wesentlicher Baustein zur Sicherstellung der notwendigen Geschäftskontinuität. Denn am Anfang jeder grossen Cyberattacke steht der Identitätsmissbrauch.

Bei der Temet unterstützen wir Sie als Kunden in der Erreichung Ihrer spezifischen Sicherheitsziele. Testen Sie jetzt unser umfangreiches Security-Know-how.