Der Microsoft Exchange-Hack: Die Risiken und Vorteile des Austauschs von Fehlerinformationen

Cyber Security News

Könnten Unternehmen tatsächlich die Sicherheit gefährden, indem sie Bedrohungsinformationen mit Partnern teilen?

Diese Frage tauchte mit Berichten auf, dass Hacker, die auf Microsoft Exchange-Fehler abzielten, möglicherweise sensible Informationen über die Schwachstellen erhalten haben, indem sie Details, einschließlich Proof-of-Concept-Exploit-Code, an verschiedene Sicherheitspartner weitergaben.

Laut einem Bericht des Wall Street Journals untersucht Microsoft die Möglichkeit, dass einer dieser Partner versehentlich oder absichtlich Details an weitere Stellen weitergegeben hat, wodurch wichtige Details schließlich in die Hände von Angreifern gelangten. Unabhängig davon, ob sich dieses Szenario als wahr herausstellt oder nicht, führt die Geschichte zu einer Reihe interessanter Fragen im Zusammenhang mit der Weitergabe von Informationen: Welche Partner sollten sensible Bug-Informationen erhalten und welche sollten ausgeschlossen werden, weil die Risiken den Nutzen überwiegen? Und was wären die Konsequenzen, wenn ein Geschäftspartner die kritischen Informationen weitergeben würde?

SC Media sprach mit Sicherheitsexperten, um die Risikofaktoren besser zu verstehen und einige Best Practices zu identifizieren.

Fehler passieren

“Wenn etwas schief geht, ist es in der Regel entweder auf menschliches Versagen zurückzuführen oder darauf, dass die Erwartungen an den Umgang mit den Informationen nicht übereinstimmen”, sagt Michael Daniel, Präsident und CEO der Cyber Threat Alliance (CTA). “Zum Beispiel denkt die eine Seite, dass die Informationen innerhalb ihrer Organisation weitergegeben werden können, während die andere Seite dachte, dass sie auf bestimmte Personen beschränkt werden sollten.”

Manchmal resultiert ein Leck nicht aus einer direkten Kommunikation. Curtis Dukes, Executive Vice President of Security Best Practices am Center for Internet Security (CIS), sagte, dass Sicherheitspartner potenziell zu schnell und zu offen auf Informationen reagieren könnten, was indirekt aufmerksame böswillige Akteure durch die “frühzeitige Freigabe von Schutzmaßnahmen innerhalb ihres Produkts” verraten könnte.

Die vier Exchange-Fehler wurden erstmals im Januar letzten Jahres ausgenutzt, wobei eine zweite Angriffswelle am 28. Februar begann und im März in ihrem Umfang explodierte. Quellen zufolge nutzten die Angreifer während der zweiten Welle automatisierte Scan-Funktionen, um Exchange-Benutzer zu identifizieren, die für den Exploit anfällig waren. Die Anzahl der Hacks hielt sich zunächst in Grenzen, aber nachdem Microsoft die Zero-Days am 2. März veröffentlichte und Notfall-Patches herausgab, implementierten böswillige Akteure ein Skript, das es ihnen ermöglichte, einen massiven automatisierten Hack zu starten.

Laut dem WSJ haben einige der Tools, die in der zweiten Angriffswelle verwendet wurden, Ähnlichkeiten mit Proof-of-Concept-Angriffscode, den Microsoft bereits am 23. Februar im Rahmen eines Informationsprogramms namens Microsoft Active Protections Program (MAPP) mit bestimmten Antivirenfirmen und anderen Sicherheitspartnern geteilt hatte.

Aber selbst wenn Hacker durch den Informationsaustausch Wind von dem Exploit bekommen haben und/oder ihre Angriffe dadurch beschleunigt haben, ist Dukes der Meinung, dass das MAPP-Tool zu wichtig ist, um es nicht weiter zu verwenden, da es den Softwareherstellern eine schnelle und effiziente Möglichkeit bietet, ihre Tools zu aktualisieren und ihre Kunden zu schützen.

“Es ist eine schwierige Entscheidung, aber Microsoft hat verantwortungsvoll gehandelt, indem es die Details zu den Schwachstellen so schnell wie möglich an die geprüften Unternehmen weitergegeben hat”, so Dukes. “Ich glaube, dass man auf der Seite der Informationsoffenlegung irren will, um schnell Schutzmaßnahmen gegen die Schwachstelle bereitzustellen.”

Wenn es jemals eine Organisation gab, die sich für die Vorteile des Informationsaustauschs einsetzen sollte, dann wäre es sicherlich ein ISAC. In der Tat bezeichnete Scott Algeier, Executive Director beim Information Technology – Information Sharing and Analysis Center, IT-ISAC, den Informationsaustausch als eine “wesentliche Komponente eines soliden Cybersecurity-Risikomanagements.”

“Effektiver Informationsaustausch ermöglicht es Organisationen, Angriffe zu identifizieren und zu beheben sowie Schwachstellen zu analysieren und zu beheben”, sagte Algeier. “Wir müssen alles tun, um weiterhin eine Kultur zu schaffen, die den Informationsaustausch fördert und belohnt. Informationen über ungepatchte Sicherheitslücken gehören zu den sensibelsten Informationen, die weitergegeben werden. Wenn ein Angreifer von der Schwachstelle erfährt, bevor ein Fix angewendet werden kann, sind die Endbenutzer einem großen Risiko ausgesetzt. Die Koordinierung der Offenlegung von Schwachstellen zwischen Unternehmen und mit Sicherheitsforschern ist eine gängige Praxis.”

Das heißt, Entscheidungen über die Weitergabe von Informationen sollten auf einer “Need to know”-Basis funktionieren, sagte Bugcrowd-Gründer und Chief Technology Officer Casey Ellis.

“Ein paar Bereiche, die Unternehmen berücksichtigen sollten, bevor sie entscheiden, mit welchen Partnern sie sensible Informationen teilen, sind: die Bewertung, wie nützlich das Teilen der Informationen ist [and] der Nutzen für die Verteidigung des Internets ist”, sagte Ellis gegenüber SC Media. Unter Risikogesichtspunkten sollten dieselben Organisationen auch “bewerten, wie sicher die Datenverarbeitungspraktiken eines Partners sind, und prüfen, ob es aus Sicht der Sicherheit oder der nationalen Sicherheit Interessenkonflikte gibt”, so Ellis weiter.

Diese Wert-Risiko-Gleichung variiert von Partner zu Partner und kann sich im Laufe der Zeit ändern. “Cyber-Risiken sind von Natur aus dynamisch, und die Richtlinien für diese Art von Entscheidungen müssen immer aktualisiert werden, wenn sich die Umgebung ändert und weiterentwickelt”, so Ellis.

Daniel wies auf drei Überlegungen hin, die bei der Teilnahme an Programmen zum Austausch von Informationen wie MAPP zu beachten sind: Relevanz, Fähigkeit und Vertrauen. Die Relevanz wird durch den Wert der Informationen für die empfangende Partei definiert, während die Fähigkeit durch die Fähigkeit der Entität definiert wird, auf der Grundlage der Informationen zu handeln, und das Vertrauen durch die Überzeugung der teilenden Entität definiert wird, dass die empfangende Entität die Informationen ordnungsgemäß schützen wird.

Geografische Faktoren

Aber sollten Organisationen bei der Bewertung von Risiko und Vertrauen auch geografische Faktoren berücksichtigen?

Bedenken Sie dies: Microsoft nutzt Berichten zufolge das MAPP-Programm, um mit etwa 80 Sicherheitsunternehmen weltweit zu kommunizieren, darunter 10 mit Sitz in China. Dies ist potenziell bedeutsam, da Microsoft Exchange-Angriffe mit dem mutmaßlichen chinesischen APT-Akteur Hafnium in Verbindung gebracht wurden, ebenso wie mit mehreren anderen Gruppen mit China-Bezug. (Anfang dieses Monats wurde berichtet, dass zu diesem Zeitpunkt mindestens 10 verschiedene Gruppen gefunden wurden, die die Schwachstellen ausnutzen).

Ellis räumte ein, dass der “flüssige Zustand der globalen Politik es notwendig macht”, den Standort eines Sicherheitspartners zu überprüfen. Dies kann jedoch “mehr Vorurteile als Nutzen bringen”. Aus diesem Grund sagten die Experten, dass der geografische Standort niemals der einzige Faktor sein sollte, der bestimmt, ob ein Unternehmen Zugang erhält oder nicht.

In der Tat merkte Ellis an, dass wohlwollende Forscher überall sind. “Es ist sinnvoll anzuerkennen, dass die Schwachstellen, die von Programmen wie MAPP geteilt werden, ein Produkt von gutgläubigen Hackern aus der ganzen Welt sind”, sagte er. “Tatsache ist, dass Cyber-Risiken keine nationalen Grenzen kennen, und der Ansatz, die globale White-Hat-Community einzubinden, um den Fähigkeiten des globalen Gegners entgegenzuwirken, ist ein logischer Weg, um das Spielfeld zu ebnen.”

“Der Grund, warum es eine Rolle spielt, dass Unternehmen in Russland oder China ansässig sind, ist nicht, dass man den Personen in diesen Unternehmen nicht vertrauen kann. Es liegt daran, dass die Rechtssysteme dieser Länder von einem Unternehmen verlangen, der Regierung alle Informationen zu geben, die die Regierung haben will”, sagte Daniel. “Daher können die Rechtssysteme verschiedener Standorte einen Einfluss darauf haben, ob man mit einem bestimmten Partner teilt.”

Wenn ein Unternehmen entscheidet, dass es sich lohnt, wichtige Exploit-Informationen mit einer anderen Organisation zu teilen, ist der nächste ratsame Schritt, die Erwartungen im Vorfeld klar zu kommunizieren, wie die Informationen gehandhabt werden müssen.

“Wenn eine Gruppe klare Richtlinien und Regeln dafür aufstellt, wie sie Informationen austauscht und wie sie erwartet, dass sich die Mitglieder verhalten, ist die Wahrscheinlichkeit von Lecks geringer”, so Daniel.

Ellis schlug vor, dass Unternehmen in Erwägung ziehen sollten, einen Prozess ähnlich dem Ampelprotokoll der U.S. Cybersecurity and Infrastructure Security Agency und des Department of Homeland Security einzuführen, das den Empfängern vorgibt, wie diskret sie mit Warnungen umgehen müssen. “Es dient als nationaler Referenzrahmen, um Unternehmen bei der Festlegung von Protokollen für den Umgang mit der Weitergabe sensibler Informationen zu helfen”, sagte er.

Mögliche Konsequenzen

Algerier äußerte sich nicht zu der spezifischen Situation bei Microsoft, aber er teilte mit, wie das IT-ISAC seine eigene interne Kommunikation von Netzwerksicherheitsinformationen handhabt.

“Unternehmen tauschen Informationen über Angriffe aus, die sie beobachten, arbeiten an gemeinsamen Analysen und teilen effektive Abhilfestrategien”, sagte Algerier. “Wir erhalten unser Vertrauensmodell durch einen etablierten Prozess zur Überprüfung der Mitglieder, durch die Entwicklung individueller Beziehungen zu unseren Mitgliedern und durch eine durchsetzbare Mitgliedervereinbarung, die Auswirkungen auf Unternehmen hat, die dagegen verstoßen. Das ist ein effektives Modell für uns gewesen.”

Algerier räumte ein, dass undichte Stellen sowohl für die betroffenen Unternehmen als auch für die Gemeinschaft als Ganzes schädlich sein können. “Die Aussicht auf einen langfristigen Ausschluss aus vertrauenswürdigen Foren dient als zusätzlicher Anreiz für Unternehmen, die Vertraulichkeit zu respektieren”, sagte er.

Ellis stimmte zu, dass es Konsequenzen geben sollte, wenn ein Unternehmen sensible Informationen verletzt. “Unternehmen sollten ausgeschlossen werden, es sei denn, es gibt einen sehr klaren mildernden Grund, der das Leck als Ausnahme kategorisiert”, behauptete er. “Ein abschreckender Effekt daraus ist ein offensichtlicher potenzieller Nachteil, aber das muss gegen den größeren Nachteil des Informationslecks abgewogen werden, der die Öffentlichkeit in unmittelbare Gefahr bringt.”

“Die Konsequenzen sollten von den Umständen und der Art der Vereinbarungen im Sharing-Programm abhängen”, so Daniel. “Eine versehentliche Aktion oder menschliches Versagen sollte anders behandelt werden als ein vorsätzlicher Vertrauensbruch. Sicherlich könnte es in manchen Situationen angemessen sein, ein Unternehmen aus der Sharing-Gruppe auszuschließen, aber das sollte der Gruppe überlassen bleiben.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com