Fragen? Antworten! Siehe auch: Alternativlos
Der Angriff erfolgte in der Nacht zum 30.Oktober 2023 über den Zugang, mit dem auch die Kommunen und Kreise in das Netzwerk von Südwestfalen-IT gelangen. Diese so genannte "softwarebasierte VPN-Lösung" war nur mit einem einfachen Passwort gesichert.Das ist so falsch, dass nicht mal das Gegenteil stimmt. Glücklicherweise ist der Incident-Response-Bericht öffentlich, so kann man sich selbst ein Bild machen."Die Südwestfalen-IT hat es den Angreifern sehr leicht gemacht", sagte IT-Experte Philipp Rothmann dem WDR. Üblich wäre hier eine "Multifaktor-Authentifizierung" gewesen, also eine Abfolge von mehreren Passwörtern. So aber mussten die Hacker nur lange genug verschiedene Varianten durchprobieren.
Punkt 1: Das war ein 0day! Da konnte man nichts machen!
Nope. Der Angriff war am 29. Oktober. für die Lücke gab es am 6. September einen Patch, an dem auch noch dranstand, dass das in der freien Wildbahn von Ransomware-Gangs genutzt worde. Das ist also das glatte Gegenteil von 0day.
2. ist das natürlich kein Problem, wenn jemand durch das VPN durchkommt, weil man ja die Security der Dienste dahinter so auslegt, als hingen sie mit nacktem Arsch im Internet. Das ist das Zero Trust, von dem ihr in den letzten Jahren so viel gehört habt. War hier offensichtlich nicht der Fall.
3. war der erste "Angriff" in dem CVE, dass man Accountnamen und Passwörter durchprobieren kann. Das sollte keine Rolle spielen, weil man ja extra aus dem Grund komplexe Passwörter vergibt. Und weil ein Accountname und ein Passwort noch nicht reicht, um sich dann damit auf irgendeinem Rechner zu authentisieren, nur beim VPN. Außer du warst so blöde und hast Single-Sign-On gemacht, aber das ist ja offensichtlich eine ganz furchtbare Idee, also macht das sicher keiner. Oder? ODER? Ich meine, so bekloppt kann man doch gar nicht sein, hoffe ich!
4. Mit einem gültigen Account konnte man sich dann im VPN als andere User anmelden. Sollte auch keine Auswirkungen haben, weil man ja Zero Trust macht und kein SSO hat. Außer man ist auffallend schlecht beraten und kann dann auf niemanden außer sich selber zeigen, wenn Ransomware vorbeikommt.
5. behauptet dieser "Experte" der Tagesschau, dass MFA geholfen hätte. Das ist natürlich Blödsinn. Wenn die Ransomware erst den Firmenlaptop eines Mitarbeiters kompromittiert, kann sie von dort die MFA-Anmeldung einfach mitbenutzen. MFA ist Compliance-Theater und dient hauptsächlich der Beweislastumkehr. Damit man sagen kann: Sehr her, wir hatten MFA, also war der User Schuld. Als ob der User sich Windows, Outlook und Active Directory ausgesucht hätte! Und in diesem Fall: Cisco-Produkte!
6. Ja, richtig gelesen. Active Directory. Völlig überraschend hatten die Angreifer noch am selben Tag Admin-Berechtigung im AD und haben sich dann ungestört im Netz ausgebreitet. Wie konnte das sein? Na weil niemand (auch nicht Microsoft selbst) Active Directory sicher konfiguriert kriegt.
6. Die hatten sogar multiple advanced next-gen endpoint security solutions im Einsatz, von Symantec und den Windows Defender. Hat ihnen beides nicht den Angriff vom Hals gehalten. Dabei macht Symantec explizit Werbung damit, dass sie vor 0days, Exploits und *papierraschel* Ransomware schützen! Und Defender macht sogar was mit "KI" in der Cloud!1!! Und trotzdem kamen die rein und konnten sich ungestört ausbreiten?! Das ist ja merkwürdig!1!! Ist ja fast so, als sei das bloß Schlangenöl?! Hätte uns doch nur jemand gewarnt!
Mich nervt ja vor allem, dass offenbar niemand verstanden hat, was 0day heißt. 0day heißt: Lücke dem Hersteller nicht bekannt, gibt keinen Patch und keine Warnung.
Das mit "gibt keine Warnung" ist bei Cisco natürlich immer Unfug. Wie oft soll ich denn noch vor deren Produkten warnen?!
Die versuchen hier mit 0day-Nebelkerzen die Schuld von sich abzulenken. Erfolglos. Genau niemand außer ihnen selbst trägt die Verantwortung. Immerhin hatten sie wohl Backups und haben kein Lösegeld gezahlt. Immerhin. Aber auch dann stellt sich die Frage, wieso das dann so große Auswirkungen haben konnte ("Die Arbeit dauert bis heute an"). Haben die das Szenario nie geübt?
Auch ansonsten haben die ziemlich großflächig verkackt. Laut Bericht stand das Domänen-Admin-Passwort im Klartext in der Group Policy, und zwar seit 2014.
Fallt also nicht auf Nebelkerzen mit Schlangenölgeschmack und 0day-Blablah rein.
Am Ende ist es immer dasselbe Muster. Ransomware kommt da rein, wo sie das System besser verstehen als der Betreiber. Wenn das Verständnisniveau der Betreiber also nicht so unglaublich schlecht wäre bei uns, hätten wir keine Ransomware-Problematik. (Danke, Max)