Mit einer Reihe von Maßnahmen versucht Microsoft, die Widerstandsfähigkeit des eigenen Ökosystems gegen Cybercrime-Angriffe zu verbessern. Die Fernwartung via RDP bekommt einen Brute-Force-Schutz, Makros in Dokumenten aus dem Internet sollen jetzt doch wieder blockiert werden und auch Passwörter schützt Windows besser. Das Problem dabei: Microsoft macht sich nicht die Mühe, das ordentlich zu dokumentieren.
Letzte Woche twitterte Microsoft-Vizepräsident David Weston, dass in Windows-11-Builds ab sofort eine "Account lockout policy" standardmäßig aktiv sei. Demnach wird ein Zugang nach zehn fehlgeschlagenen Anmeldeversuchen innerhalb von 10 Minuten zukünftig für 10 Minuten gesperrt. Dies werde insbesondere das bei Ransomware-Angriffen häufig eingesetzte Durchprobieren einfacher Passwörter über RDP verhindern, so Weston.
Angriffe über RDP sind tatsächlich nach wie vor ein zentrales Einfallstor für Cybercrime-Banden, die Ransomware einsetzen. Allerdings erfolgen diese RDP-Einbrüche zumeist über anderweitig gestohlene Zugangsdaten, etwa bei einer Infektion mit Spionage-Software wie Emotet. Ob bei Ransomware-Angriffen das sogenannte Brute Forcing von Passwörtern tatsächlich eine nennenswerte Rolle spielt, ist zumindest fraglich.
Das Blockieren dieses Einfallstors für Schadsoftware wurde von Sicherheitsexperten einhellig begrüßt. Nachdem jedoch unter anderem heise Security bemerkte, dass die eigentlich bereits aktive Makrosperre nicht (mehr) funktionierte, machte Microsoft kurzerhand ein Update des Artikels, dass man die Schutzfunktion wieder deaktiviert habe. Und letzte Woche folgte ein zweites Update, dass man sie ab dem 27. Juli erneut ausrollen werde.
Eines der wichtigsten Angriffsziele ist dabei der Windows-Prozess lsass.exe, der im Hintergrund alle Anmeldeprozesse der Anwender abwickelt und dazu Passwörter beziehungsweise deren Hashes im Arbeitsspeicher vorhält. Standardmäßig kann ein Angreifer mit Administrator-Rechten diese auslesen. Deshalb empfiehlt Microsoft Admins lsass.exe als Protected Process Light (PPL) vor solchen Zugriffen zu schützen.
Doch der PPL-Schutz ließ sich mit einem Trick umgehen. Das Tool PPLdumpdemonstrierte, wie ein ganz normaler Prozess (mit Admin-Rechten) den Arbeitsspeicher von lsass.exe trotz PPL durch das Einschleusen einer DLL auslesen kann. Mit einem im Juli 2022 ausgerollten Patch der Bibliothek NTDLL funktioniert der verwendete Trick jedoch nicht mehr. Microsoft hat den PPL-Schutz nach über einem Jahr heimlich nachgebessert, stellte der Autor von PPLdump verdutzt fest.
Dass Microsoft kontinuierlich an der Verbesserung der Windows-Sicherheit arbeitet, ist lobenswert. Noch besser wäre es, wenn sie diese Änderungen auch verlässlich veröffentlichen und dokumentieren würden. Doch wer sich auf die offiziellen Kommunikationskanäle von Microsoft verlässt, bekommt davon nichts mit. Eine Kurznachricht auf Twitter, Updates von bereits monatealten MS-Blog-Beiträgen oder die Recherchen eines eifrigen Sicherheitsforschers – das sind aktuell die typischen Quellen, aus denen man sich Informationen zu Sicherheitsverbesserungen im Windows-Umfeld zusammensuchen muss.
Quelle: heise
Letzte Woche twitterte Microsoft-Vizepräsident David Weston, dass in Windows-11-Builds ab sofort eine "Account lockout policy" standardmäßig aktiv sei. Demnach wird ein Zugang nach zehn fehlgeschlagenen Anmeldeversuchen innerhalb von 10 Minuten zukünftig für 10 Minuten gesperrt. Dies werde insbesondere das bei Ransomware-Angriffen häufig eingesetzte Durchprobieren einfacher Passwörter über RDP verhindern, so Weston.
Angriffe über RDP sind tatsächlich nach wie vor ein zentrales Einfallstor für Cybercrime-Banden, die Ransomware einsetzen. Allerdings erfolgen diese RDP-Einbrüche zumeist über anderweitig gestohlene Zugangsdaten, etwa bei einer Infektion mit Spionage-Software wie Emotet. Ob bei Ransomware-Angriffen das sogenannte Brute Forcing von Passwörtern tatsächlich eine nennenswerte Rolle spielt, ist zumindest fraglich.
Makros wieder blockiert
In einem Blog-Beitrag verkündete Microsoft bereits im Februar, dass man das Ausführen von Makros zukünftig blockieren werde, wenn ein Office-Dokument aus dem Internet stammt – es also etwa via E-Mail oder einen Download auf den Rechner kam. Gut gemachte Phishing-Mails, die den Anwender zum Öffnen eines mit Makros präparierten Office-Dokuments bewegen, sind das Markenzeichen vieler sogenannter Initial Access Broker wie Emotet, die die damit gekaperten Zugänge anschließend an Ransomware-Banden verkaufen.Das Blockieren dieses Einfallstors für Schadsoftware wurde von Sicherheitsexperten einhellig begrüßt. Nachdem jedoch unter anderem heise Security bemerkte, dass die eigentlich bereits aktive Makrosperre nicht (mehr) funktionierte, machte Microsoft kurzerhand ein Update des Artikels, dass man die Schutzfunktion wieder deaktiviert habe. Und letzte Woche folgte ein zweites Update, dass man sie ab dem 27. Juli erneut ausrollen werde.
Besserer Passwortschutz
Still und leise fixte Microsoft ein Sicherheitsproblem beim Schutz von privilegierten Windows-Prozessen, über das Angreifer auf einem System Passwörter oder zumindest deren Hashes stehlen konnten. Das machen Cyberkriminelle routinemäßig, um sich in den Firmennetzen weiter auszubreiten (Lateral Movement) bevor sie ihre Verschlüsselungs-Trojaner zum Einsatz bringen.Eines der wichtigsten Angriffsziele ist dabei der Windows-Prozess lsass.exe, der im Hintergrund alle Anmeldeprozesse der Anwender abwickelt und dazu Passwörter beziehungsweise deren Hashes im Arbeitsspeicher vorhält. Standardmäßig kann ein Angreifer mit Administrator-Rechten diese auslesen. Deshalb empfiehlt Microsoft Admins lsass.exe als Protected Process Light (PPL) vor solchen Zugriffen zu schützen.
Doch der PPL-Schutz ließ sich mit einem Trick umgehen. Das Tool PPLdumpdemonstrierte, wie ein ganz normaler Prozess (mit Admin-Rechten) den Arbeitsspeicher von lsass.exe trotz PPL durch das Einschleusen einer DLL auslesen kann. Mit einem im Juli 2022 ausgerollten Patch der Bibliothek NTDLL funktioniert der verwendete Trick jedoch nicht mehr. Microsoft hat den PPL-Schutz nach über einem Jahr heimlich nachgebessert, stellte der Autor von PPLdump verdutzt fest.
Dass Microsoft kontinuierlich an der Verbesserung der Windows-Sicherheit arbeitet, ist lobenswert. Noch besser wäre es, wenn sie diese Änderungen auch verlässlich veröffentlichen und dokumentieren würden. Doch wer sich auf die offiziellen Kommunikationskanäle von Microsoft verlässt, bekommt davon nichts mit. Eine Kurznachricht auf Twitter, Updates von bereits monatealten MS-Blog-Beiträgen oder die Recherchen eines eifrigen Sicherheitsforschers – das sind aktuell die typischen Quellen, aus denen man sich Informationen zu Sicherheitsverbesserungen im Windows-Umfeld zusammensuchen muss.
Quelle: heise