Zwei Möglichkeiten zur Abwehr von Cybersicherheitsbedrohungen durch Windows-Netzwerkschwachstellen

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat den Oktober zum Cybersecurity Awareness Month erklärt. Dies kann eine großartige Gelegenheit sein, Ihre Computer- und Netzwerkressourcen besser zu verstehen und auf Sicherheitsbedrohungen zu reagieren.
Getty Images Bank

Katalogisierung und Evaluierung von Software

Eine Möglichkeit, das Bewusstsein für Cybersicherheitsbedrohungen zu schärfen, besteht darin, die von Ihrem Unternehmen verwendete Software zu bewerten und zu katalogisieren. Die Leute neigen dazu, sich auf Microsoft-Patches zu konzentrieren und die Verwendung von Tools von Drittanbietern zu übersehen, um Systeme sicherer zu machen. Bitte überprüfen Sie die Schwächen der Software und Konfiguration der Umgebung. Dies erfordert in der Regel eine Inventarisierungssoftware, die Benutzernetzwerke analysieren kann.

Wenn ein Unternehmen eine traditionelle Umgebung verwendet, können Tools auf Basis von Active Directory verwendet werden, um die Schwachstelle des Medikaments zu analysieren. Wenn Sie sowohl über Ihre vorhandene Infrastruktur als auch über Cloud-Assets verfügen und über eine Office 365 E5-Lizenz verfügen, können Sie Tools wie das Microsoft Defender Security Center verwenden, um zu bewerten, welche Software Sie aktualisieren müssen.

Wenn Sie nicht über das Budget verfügen, um eine E5-Lizenz zu kaufen, können Sie ein alternatives Tool wie SpiceWorks verwenden, um Ihr Netzwerk zu katalogisieren und zu analysieren. Lokale Systeme können PowerShell nutzen, um mit dem Netzwerk verbundene Softwareinventarberichte zu erstellen. Dieses Tool überprüft und listet die Abschnitte der auf Ihrem Computer installierten Software auf.

PowerShell wird seit langem als Vehikel für die Entwicklung von Inventarsystemen verwendet, ist jedoch auf den Active Directory-Zugriff angewiesen. Vor allem beim Übergang zu getrennten Netzwerken während der Pandemie ist es dringend erforderlich, Systeme aufzulisten, die nicht bei einer Domäne registriert sind. Nicht verbundene und nicht verwaltete Computer erhalten häufig keine Software-Updates und -Wartung. Ein Tool, das einen Sicherheitsüberblick über die gesamte Software bietet, trägt zur Sicherheit Ihres Netzwerks bei.

Ich habe vergessen, relativ neue Software wie 7-zip zu installieren und nicht auf die neueste Version aktualisiert. All diese ungepatchte Software ist die Ursache für echte Sicherheitsbedrohungen.

Regel zur Reduzierung der Angriffsfläche festlegen

Das Dashboard mit Sicherheitsempfehlungen in Microsofts Defender Security Center scheint dringend zu empfehlen, 7-zip zu aktualisieren, das die höchsten Sicherheitslücken aufweist. Ein genauerer Blick zeigt jedoch, dass in der Praxis keine Exploits auftreten können.

Sie müssen ein Tool finden, das Sicherheitseinstellungen für die Bereitstellung empfiehlt. Office-Software ist seit langem ein Einstiegspunkt für Ransomware, und um Ihr System besser zu schützen, sollten Sie Regeln zur Angriffsflächenreduzierung (ASR) aktivieren. Anstatt 7-zip zu patchen, sollten Sie ASR-Regeln bereitstellen, testen und anwenden. Die Microsoft Defender Console für Endpoints schlägt vor, die folgenden fünf ASR-Regeln zu verwenden:

  • Blockerstellung von Teilprozessen für alle Office-Apps
  • Blockieren Sie die Aktion heruntergeladener ausführbarer Inhalte in JavaScript oder VBScript
  • Ausführbare Dateien blockieren, wenn sie die Alters- oder Vertrauenskriterien nicht erfüllen
  • Blockieren Sie nicht vertrauenswürdige oder nicht signierte Prozesse, die auf USB ausgeführt werden
  • Persistenz von Bedrohungen durch WMI-Ereignisabonnements blockieren

Alle Unternehmen sollten die erste ASR-Regel testen und bereitstellen: „Alle Office-Apps vom Spawnen von Unterprozessen blockieren“. Microsoft hat oft die Nuance, eine Unternehmenslizenz abonnieren zu müssen, um die ASR-Regeln zu verwenden. Jeder Benutzer mit einer Windows 10 Professional-Lizenz kann die ASR-Regeln verwenden. Ohne Windows 10 Enterprise sind einige Berichtsfunktionen einfach nicht verfügbar.

Threat Insights aus dem Microsoft Defender Security Center enthüllt das Risiko einer Sicherheitsanfälligkeit. Selbst ein vollständig gepatchtes Büro stellt ein Risiko für das Netzwerk dar. Angreifer verwenden Office häufig, um Ransomware zu verbreiten. Zu den Angriffen, die Teilprozesse in Office verwenden, gehören Qakbot, das Ransomware-Partnern Zugriff bot, und CVE-2021-40444 MSHTML Remote Code Execution, GravityRAT, CHIMBORAZO, Zloader, IcedID, Sysrv-Botnets, Intelligence und Coin Mining. Wismut ist ein Beispiel.

Der Angreifer verwendet auch Excel 4.0-Makros. Die Leute werden denken, dass Excel 4.0 nicht mehr benötigt wird, aber einige Unternehmen verwenden immer noch vorhandene Makroprozesse, um grundlegende Geschäftsfunktionen auszuführen. Excel-Makros, die normalerweise in bösartigen Dateien enthalten sind, die Phishing usw. auslösen, werden verwendet, um ihren Platz auf Workstations einzunehmen und stärkere Angriffe auf das Netzwerk zu starten. Ein Angreifer sammelt Anmeldeinformationen von einer Workstation mit einem LSASS-Speicherabzug, um beim Herstellen einer Verbindung mit dem Netzwerk mehr Netzwerkberechtigungen zu erlangen.

Für diejenigen im Sicherheitssektor ist jeder Monat der Cybersecurity Awareness Month. Sehen Sie sich diesen Monat Ihr Netzwerk aus lokalen und nicht verbundenen Geräten genauer an. Wir empfehlen Ihnen, zu prüfen, ob die Option Sichtbarkeit und Kontrolle über alle Ihre Technologieressourcen bietet. [email protected]


Source: ITWorld Korea by www.itworld.co.kr.

*The article has been translated based on the content of ITWorld Korea by www.itworld.co.kr. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!

*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.

*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!