Die Entschärfung des DoJ bei Microsoft: Reale Ergebnisse, mit ein paar hypothetischen Bedenken

Cyber Security News

US-Justizminister Merrick Garland kommt an seinem ersten Tag im Justizministerium am 11. März 2021 in Washington, DC, zu einer Ansprache an die Mitarbeiter. Die Entscheidung des Justizministeriums, “Hunderte” von Web-Shells zu zerschlagen, die unter Ausnutzung von Schwachstellen im Exchange Server installiert wurden, wird als wegweisender Einsatz einer neuen Behörde gefeiert. (Foto: Kevin Dietsch-Pool/Getty Images)

Die am Dienstag bekannt gegebene Entscheidung des Justizministeriums, “Hunderte” von Web-Shells zu demontieren, die über Schwachstellen in Exchange Server installiert wurden, und damit die Bedrohung privater Server in großem Umfang zu entschärfen, wird als bahnbrechende Anwendung einer neuen Behörde gefeiert. Aber der Schritt lud auch die Besorgnis einiger in der Cybersecurity-Community über das Fehlen eines klaren Standards für wann und wie Regierung kann private Systeme hacken.

Ein weithin angenommener Patch war bereits für die Server verfügbar, von denen angenommen wird, dass sie von chinesischen Spionagegruppen, die von Microsoft als “Hafnium” bezeichnet werden, und anderen kriminellen Gruppen angegriffen werden. Der Patch schloss jedoch nur die Sicherheitslücke, die zur Installation der Web-Shells verwendet wurde, und löschte nicht die bereits installierten Web-Shells. Das DoJ entfernte diese Shells mit einem Gerichtsbeschluss.

“Wir sagen, Cyber ist der einzige Bereich, in dem wir den privaten Sektor bitten, sich zu verteidigen. Nicht mehr”, sagte Kiersten Todt, Geschäftsführerin der Small Business Advocacy Group des Cyber Readiness Institute.

Während das Justizministerium in der Vergangenheit an Botnet-Takedowns beteiligt war, kamen sie durch Sinkholing-Server. Die Web-Shell-Operation, die am Dienstagabend angekündigt wurde, beinhaltete das Senden eines Befehls an Server, damit sich die Shells selbst löschen. Es ist das erste Mal, dass das Justizministerium diese Möglichkeit in einem größeren Umfang genutzt hat.

Vor fünf Jahren war es äußerst umstritten, dem DoJ die Befugnis zu geben, Haftbefehle anzufordern, um dies zu tun. Bis Ende 2016 verstieß es gegen die Strafprozessordnung, Durchsuchungsbefehle für Computer in großen Mengen oder ohne die Möglichkeit, den tatsächlichen Standort des Computers zu identifizieren, zu erlassen. Als sich die Regeln weiterentwickelten, befürchteten Bürgerrechtler und einige Gesetzgeber, dass die Strafverfolgungsbehörden die Möglichkeit erhalten würden, unbekannte Systeme massenhaft zu hacken, was zu einer potenziellen Massenüberwachung oder sogar zur Haftung führen würde. Was würde passieren, befürchteten mehrere Leute, wenn eine invasive Geste ein System beschädigt?

Die Web-Shell-Operation hat sich nicht als besonders invasiv erwiesen, und es wurden bisher keine Schäden durch das Entfernen der Shells gemeldet. Es gab keine große Menge an Widerstand gegen die Aktion.

“Obwohl der Durchsuchungsbefehl die Statuten darlegt, die die Aktivität autorisieren, frage ich mich, was die Auswirkungen für mögliche Schäden sind, die mit dem Entfernen der Web-Shells entstanden sind”, sagte Rick Holland, Chief Information Security Officer bei Digital Shadows, per E-Mail.

“Das FBI hat einen ‘internen FBI-Testprozess’ durchgeführt und auch einen ‘externen Experten’ konsultiert”, sagte er und zitierte die Ankündigung des Justizministeriums über die Operation, “aber jeder, der in der IT gearbeitet hat, weiß, dass es unbeabsichtigte Konsequenzen geben kann, wenn man Software entfernt (z.B. Bricking eines Servers).”

Holland war nicht allein.

“Ich mache mir Gedanken über die Präzedenzfälle und die rechtliche Landschaft, die unweigerlich eintreten werden, wenn Aktivitäten wie diese im Auftrag des FBI proaktiver und häufiger werden”, sagte Tim Wade, technischer Leiter des CTO-Teams bei Vectra. “Es werden Fehler gemacht werden und sie werden auch Schlagzeilen machen”, sagte Doug Howard, CEO des Managed Detection and Response-Unternehmens Pondurance.

Es ist erwähnenswert, dass jeder, der für diese Geschichte kontaktiert wurde, der Meinung war, dass die Web-Shell-Operation ein Schritt in die richtige Richtung war. Viele hatten immer noch Fragen zu Hypothesen, auch wenn sie die Regierung dafür lobten, dass sie sich mit ernsthaften Risiken auseinandersetzt. Die Hafnium-Kampagne war breit angelegt und nicht nur nach Spionage-Standards, denn sie implantierte Webshells auf Tausenden von Computern.

“Die Chinesen haben rücksichtslos jeden auf dem Planeten kompromittiert, auf dem Exchange Server lief”, sagte Dmitri Alperovitch, Mitbegründer von CrowdStrike und Leiter der kürzlich gegründeten politischen Denkfabrik Silverado Institute.

Die Web-Shells waren nicht durch eindeutige Passwörter geschützt, sagte Alperovitch; sie konnten von jeder Gruppe und nicht nur von Hafnium kooptiert werden. Das Patchen der Schwachstellen hat die Web-Shells nicht entschärft, was bedeutet, dass viele Leute, die ihre Server gepatcht haben, die bereits infiziert waren, ihre Systeme weiterhin für das Internet angreifbar lassen würden, wenn nichts unternommen wird.

Alles in allem, so Alperovitch, hat das DOJ eine Entscheidung getroffen, die weitaus mehr Risiken abmildert, als es ein gut getesteter Kill-Befehl tun würde.

“Es war viel weniger invasiv als das, was die Chinesen gemacht haben. Die Leute, die sich darüber beschweren, sollten sich über die Chinesen beschweren, die in Ihr System eindringen und es ausnutzen”, sagte er.

Alperovitch, ein bekannter Befürworter von proaktiven, offensiven Cyber-Maßnahmen der Regierungen, befürwortete den häufigeren Einsatz dieser Taktik. Er fügte jedoch hinzu, dass dies niemals eine vollständige Lösung für das Problem sein könne. Selbst im jüngsten Fall zielte die Bundesoperation nur auf eine einzelne Web-Shell ab, die von einem einzigen Akteur verwendet wurde, obwohl mehrere Akteure und Shells im Spiel waren.

Gemäßigtere Stimmen, wie Todt vom Cyber Readiness Institute, stimmten dem zu.

“Wenn ich ein Unternehmen wäre, das die Shell in meinem System hätte und ich entweder nichts davon wüsste oder davon wüsste, aber nicht wüsste, wie ich sie loswerden könnte, wäre ich ziemlich froh, dass die Regierung kommt und es für mich repariert”, sagte sie

Die zentrale Frage, so Todt, ehemaliger Exekutivdirektor der Presidential Commission for Enhancing National Cybersecurity der Obama-Regierung und ehemaliger Mitarbeiter des House Homeland Security Committee, ist: Warum jetzt und wann als nächstes? Was ist der Auslöser für diese Art von Aktion? Wenn die Entscheidung spontan getroffen wurde, können diese Kriterien für den nächsten Vorfall abstrahiert werden?

Wenn es einen Prozess gibt, sagte sie, können Unternehmen jeder Größe gut daran tun, einen föderalen Flügelmann für gelegentliche Verteidigung zu akzeptieren.

“Aber das erfordert einen Mentalitätswandel, und die Industrie muss die Regierung als vertrauenswürdigen Partner sehen. Und das erreichen wir nur durch Taten und nicht durch Worte”, sagte Todt. “Die Hoffnung ist also, dass dies ein Katalysator für dieses vertrauensvolle Engagement der Industrie wird. Ihr habt uns gebeten, einzugreifen und euch bei verschiedenen Erfahrungen zu helfen. Also haben wir das getan.'”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com