Netzwerke, Fachartikel

Reise durchs Firmennetz – Kompromittierung von Windows-Netzwerken

Reise durchs Firmennetz – Kompromittierung von Windows-Netzwerken

Organisationen, die eigene Büronetzwerke betreiben, sollten sich immer die Frage nach deren Sicherheit stellen. Zugriffe ins Internet, das Anschließen von Peripheriegeräten oder die Installation von Software könnten Schad-Software in das interne Netzwerk einschleusen. Um das Risiko zu minimieren, setzen Firmen unter anderem auf diverse Schutzsysteme, Mitarbeiterschulungen und Richtlinien für den Umgang mit IT-Geräten. Doch gerade in höher schutzbedürftigen IT-Umgebungen sind weitere IT-Sicherheitsmaßnahmen unbedingt notwendig, um komplexe Angriffe aufzuhalten. Angreifern kann eine einzige Schwachstelle genügen, um einen Zugang ins Netzwerk zu erlangen. Doch wie geht es weiter? In unserem Fallbeispiel gehen wir von der Übernahme eines Windows Nutzerkontos (ohne Administrationsrechte) in einer Active Directory Umgebung aus. Wir erläutern den Blick eines Angreifers auf seine weiteren Ziele und nennen exemplarisch Vorgehensweisen, die letztendlich zur Übernahme des kompletten Netzwerks führen sollen.

Bevor wir uns den Methoden des Angreifers widmen, sollten wir uns einen kurzen Überblick verschaffen, wieso das Microsoft Active Directory (kurz AD) für Angreifer von so großem Interesse ist.

 

Das AD repräsentiert den Verzeichnisdienst von Microsoft und ist die fundamentale Grundlage einer Windows Domäne. Verzeichnisdienste speichern Informationen über Objekte wie beispielsweise Benutzer, Gruppen, Computer, Server, andere Geräte, Dienste und Datenfreigaben. Es ist bewährte Praxis, im Verzeichnisdienst reale Strukturen wie räumliche Verteilung oder nach Tätigkeit agierende Teams zu modellieren. Informationen, die auch für Angreifer wertvoll sind. So bieten diese möglichen  Angreifern einen schnellen Überblick über die Struktur eines Netzwerkes. Da aus pragmatischen Gründen häufig aussagekräftige Namen für die Objekte im Verzeichnisdienst vergeben werden, kann ein Angreifer diese Informationen auch für die effiziente Planung zielgerichteter Angriffe nutzen. 

 

Ein AD besteht aus folgenden vier Hauptkomponenten: 

 

1. Lightweight Directory Access Protocol (LDAP)

 

Mittels LDAP können Informationen aus dem zugehörigen Verzeichnis ausgelesen werden. In diesem sind beispielsweise Informationen über Benutzer und Gruppenzugehörigkeiten hinterlegt.

 

2. Kerberos

 

Mit Kerberos kann sich ein Nutzer an verschiedenen Diensten im Netzwerk über Single Sign-On authentifizieren. Die Durchführung des Authentifizierungs- und Autorisierungsverfahrens am Kerberos Authentifizierungsserver gibt dem Anwender ein „Ticket Granting Ticket“ (TGT) zurück. Das System des Nutzers sendet das TGT wiederum an Dienste wie einen Netzwerkdrucker und ersetzt damit die manuelle Anmeldung am Dienst. Der Dienst überprüft nun am Kerberos-Server, ob der Nutzer die benötigten Rechte für einen autorisierten Zugriff besitzt. Ist dies der Fall, erhält der Nutzer ein „Service-Ticket“ für den angefragten Dienst.

 

3. CIFS/SMB

 

CIFS ist eine Erweiterung des Server Message Block Protocols (SMB) und stellt neben Datei- und Druckerfreigaben auch Dienste wie Windows-RPC zur Verfügung. Heute wird üblicherweise SMB in den Versionen 2 und 3 für dieselben Aufgaben eingesetzt.

 

4. Domain Name System (DNS) und Domänen

 

Das AD benötigt ein eigenes DNS, um Ressourcen im Netzwerk zu finden. Mit Hilfe von Domänen kann eine hierarchische Struktur aufgebaut, sowie Gruppen und Berechtigungen über mehrere Domänen hinweg administriert werden. Dabei werden die notwendigen Informationen von Domain Controllern gehalten, welche untereinander die aktuellen Daten des Active Directory bereitstellen.

 

Dieser Artikel ist in zwei Teile gegliedert. Im ersten Teil Informationsbeschaffung und Angriffsplanung wird beschreiben, mit welchen Methoden ein Angreifer Informationen aus einem AD erlangen und welche Rückschlüsse er aus diesen ziehen kann. Im zweiten Teil Übernahme der Umgebung wird anhand von Beispielen gezeigt, wie Nutzer und Systeme unter Verwendung dieser Informationen tatsächlich angegriffen werden können.

 

Informationsbeschaffung und Angriffsplanung 

Da der Zugriff auf Ressourcen in einem Netzwerk typischerweise einer mehr oder weniger sicher implementierten Autorisationsprüfung unterliegt, ist es für Angreifer zweckmäßig, sich Zugang zu bestehenden Nutzerkonten zu sichern und in deren Kontext auf wertwichtige Daten aus dem Firmennetz zuzugreifen. Die Übernahme zentraler Verwaltungspunkte wie die Domain Controller eines AD ist ein sehr effizienter, aber aufgrund von Schutzmaßnahmen mitunter nicht der einfachste Weg, an Passwörter von Nutzerkonten zu gelangen. Jeder Domain Controller hält eine Kopie der AD Datenbank, welche die Passwörter (genauer gesagt deren Hash-Werte) für alle Nutzer der jeweiligen Domäne enthält. 

 

Findet ein Angreifer keinen direkten Weg für einen unberechtigten Zugriff auf den Domänen-Controller, bieten sich indirekte Angriffsvektoren an. Denn um alle Maschinen in einem Netzwerk zu kontrollieren, wird nicht zwangsweise der Weg über alle Nutzerkonten benötigt. Ein häufig genutzter Ansatz stellt die Übernahme der Identität von Administratoren mit Domänenrechten dar, da diese auch die Domain Controller verwalten können. Folgt ein Unternehmen nicht konsequent dem Prinzip der geringsten Privilegien, nimmt der Administrator mit seinen hoch-privilegierten Rechten auch Aufgaben war, die diese Rechte eigentlich nicht benötigen. Beispielsweise werden administrative Tätigkeiten auf Clients unter diesem Nutzer durchgeführt. Es ist nicht untypisch, dass derartige Clients ein geringeres Sicherheitsniveau als Domänen-Controller aufgrund von fehlenden Schutzmaßnahmen und Schwachstellen durch fehlende Software-Updates oder Konfigurationsmängel aufweisen. Ein Angreifer geht somit den Weg des geringsten Widerstandes, um sein Ziel zu erreichen. 

 

Werden Nutzer mit ausgedehnten Rechten und Gruppenzugehörigkeiten kompromittiert, dann werden Angriffe auf andere Nutzer überflüssig. Es existieren diverse Werkzeuge, die einem Angreifer das Sammeln von Informationen über ein AD erleichtern und automatisieren. Das Ende letzten Jahres veröffentlichte Werkzeug BloodHound[1] stellt die Ergebnisse besonders anschaulich dar und soll im Folgenden dazu dienen, das Vorgehen eines Angreifers zu erläutern. 

 

BloodHound nutzt einen graphentheoretischen Ansatz, um die Beziehungen in einer AD-Umgebung aufzuzeigen. Dabei sind drei Komponenten wichtig, um die Arbeitsweise zu verstehen: 

 

Die Graphdatenbank neo4j [2] - hier werden Daten anstatt in Tabellen in Graphen strukturiert gespeichert. Graphen bestehen aus Knoten und Kanten, sowie den Verbindungen zwischen den Knoten. Weiter können Eigenschaften zu Knoten und Kanten gespeichert werden.

 

Die Webanwendung, aufbauend auf Linkurious [3] - Linkurious bietet die Analyse und visuelle Darstellung von Graphen. Hier wurden Anpassungen vorgenommen für den Anwendungsfall in einem AD. 

 

PowerShell Ingestor – Ein PowerShell Script für das Sammeln aller erreichbaren Informationen über Nutzer, Gruppen, Berechtigungen aus dem AD. Es werden auch Informationen über aktive Nutzersitzungen (im Folgenden als Sitzung bezeichnet) gesammelt. Eine Sitzung besteht aus Systemen bzw. Diensten, lokal an einer Maschine oder im Netzwerk, wenn eine Anmeldung erfolgt ist und besteht bis zur Beendigung durch eine Abmeldung.

 

Die von BloodHound gesammelten Informationen werden in XML-Dateien gespeichert. Der PowerShell Ingestor stellt somit ein eigenes Programm dar, welches entkoppelt von Webanwendung und Graphdatenbank verwendet werden kann. Somit können mit dem PowerShell Ingestor Daten von entfernten Systemen gesammelt und zu einem beliebigen Zeitpunkt an das eigene System geschickt werden. Da moderne Windows-Systeme PowerShell-Umgebungen an Bord haben, ist für einen Angreifer keine Installation zusätzlicher Software notwendig. Ein Aspekt, der in der Praxis einen Angriff enorm erleichtert. Die XML-Dateien werden in die Datenbank geladen und stehen fortan zur Analyse in der Webanwendung zur Verfügung. Die graphische Darstellung hat mehrere Vorteile. Neben dem leichten Verständnis von vorhandenen Beziehungen werden auch Fehlkonfigurationen ersichtlich.

 

Nehmen wir im Folgenden als Beispiel die Domäne INTERNAL.LOCAL einer beliebigen Firma, bei der ein Angreifer durch vorgelagerte Angriffe erfolgreich die Kontrolle über den Laptop „Laptop5“ des Nutzers MHOFFMAN erlangen konnte und unter diesem Konto agiert. Nach Ausführung des PowerShell Ingestor auf diesem Rechner werden die Ergebnisdaten aus der XML-Datei in unsere Datenbank geladen und die Informationen über Nutzer, Gruppen und Systeme der Domäne in der Webanwendung von BloodHound wie folgt dargestellt.

 

 

Abbildung-1: Grafische Darstellung von Informationen in BloodHound

 

In Abbildung-1 sind wie links aufgelistet 197 Nutzer (grün) 79 Gruppen (gelb) und 185 Computer (rot) graphisch dargestellt. Durch Mausklick auf einzelne Symbole oder durch Eingabe einer gesuchten Ressource im Eingabefeld links oben (hier mit „INTERNAL.LOCAL“ ausgefüllt), können die jeweiligen Details aufgerufen werden. In Abbildung-2 wurde Nutzer MHOFFMAN ausgewählt. Wie erwartet hat dieser eine laufende Sitzung auf Laptop5. 

 

 

 

Abbildung-2: Darstellung von Nutzerinformationen in BloodHound

 

Wird in obiger Darstellung „First Degree Group Memberships“ ausgewählt, kann der Angreifer in Abbildung-3 sehen, dass MHOFFMAN Mitglied der Gruppe „DOMAIN USERS“ ist.

 

 

Abbildung-3: Darstellung der Gruppenzugehörigkeit in BloodHound

 

Über den Menüpunkt „Queries“ stellt BloodHound vorgefertigte Anfragen für die Identifikation wertwichtiger Ziele zur Verfügung. In Abbildung-4 ist die Ausgabe aller Nutzer mit Domänenadministratorrechten dargestellt. 

 

 

Abbildung-4: Darstellung aller Nutzer mit Domänenadministratorrechten in BloodHound

 

Die zweite Anfrage „Find Shortest Paths to Domain Admins“ in der oben dargestellten Liste „Pre-Built Analytics Queries“ wenden wir auf unseren Laptop5 an, um den kürzesten Weg für den Erhalt von Domänenadministratorrechten darzustellen.

 

 

Abbildung-5: Darstellung einer Sitzungsverfolgung in BloodHound

 

In Abbildung-5 sehen wir nun, dass der Nutzer GSCHALK auch eine Sitzung auf dem Laptop5 hat. Gleichzeitig besitzt dieser Administratorrechte auf den Systemen SECRET2 und SYSTEM4, auf denen die Domänenadministratoren BREYES und BSHOFFNER angemeldet sind. Zugriffsbeziehungen von mehreren Nutzern auf einer Maschine sind deshalb interessant, weil es Schwächen in der Datentrennung der einzelnen Nutzer geben kann. Vor allem Administratoren können Berechtigungen, für den Zugriff auf die Daten anderer Nutzer besitzen. Hierzu folgt mehr im Abschnitt Übernahme der Umgebung.

 

Durch Auswertung der von BloodHound erfassten Informationen kann ein Angreifer wertwichtige Systeme identifizieren. Mögliche Kriterien hierfür wären unter anderem:

 

  • Nutzer mit Sitzungen auf vielen Systemen
  • Computer mit vielen angemeldeten Nutzern
  • Computer mit aussagekräftigen Namen, die auf wertwichtige Funktionen schließen lassen
  • Computer oder Nutzer, die virtuell nahe (gleiches Netz / Zone) an den eigentlichen Zielsystemen betrieben werden

<next>

 

Übernahme der Umgebung

Um die gewonnenen Informationen aus der Planungsphase zu nutzen, wechseln wir zum Angriff über. Hierfür beschreiben wir nachfolgend bekannte Schwachstellen, die durch Fehlkonfiguration, fehlende Sicherheitsupdates oder durch schlechtes Systemdesign entstehen. Zuerst betrachten wir den Fall zweier Schwachstellen, die eine sofortige Übernahme der Rechte als Domänenadministrator bewirken können.

 

1. Passwörter im SYSVOL-Share

 

SYSVOL ist ein geteiltes Laufwerk im AD. Alle authentifizierten Nutzer haben zumindest lesenden Zugriff. Die darin enthaltenen XML-Dateien können bei Fehlkonfiguration Passwörter enthalten. Dazu muss lediglich der Windows-Explorer geöffnet werden. In die Adressleiste wird der Domänenname im Format \\<DOMAIN>\SYSVOL\<DOMAIN>\Policies\ eingefügt. Nun im Suchfeld nach „cpassword“ suchen. Eine Datei, die ein Passwort enthält, könnte in etwa so aussehen:

 

 

Wird auf diese Weise ein Passwort gefunden, fehlt im System das Sicherheitsupdate KB2962486 oder es wurde eingespielt, aber die bereits vorhandenen Daten, die Passwörtern enthalten, wurden nicht entfernt. Die gefundenen Passwörter sind mit AES verschlüsselt, allerdings ist der Private/Shared Key ein feststehender Wert, der von Microsoft veröffentlicht wurde [4]. Entsprechend sind in Sicherheitstools wie Metasploit [5] oder Powersploit [6] bereits Module für die Entschlüsselung der Passwort-Hashes vorhanden. An dieser Stelle ein passendes Zitat aus den „Ten Immutable Laws of Security“ von Microsoft [7]: “Law #7: Encrypted data is only as secure as its decryption key.”

 

2. Kerberos Ticket Manipulation

 

Fehlt einem Domain Controller das Sicherheitsupdate KB3011780, so kann ein normaler Nutzer ein „Ticket Granting Ticket“(TGT) für Kerberos erstellen, welches mit Domänenadministratorrechten ausgestattet ist. Über das Tool Mimikatz [8] kann das TGT in den Speicher des aktuellen Nutzers geladen werden. Danach hat der Nutzer Administrationsrechte und folglich Zugriff auf den Domain Controller. Der Sicherheitsexperte Gavin Millard hat diese Schwachstelle mit einem anschaulichen Tweet kommentiert [9]:

 

 

Sind Domänenadministratorrechte nicht direkt zu erlangen, dann könnten Angriffe auf normale Nutzer und eine nachgelagerte Rechteerweiterung (Privilege Escalation) folgen. Auch hier wollen wir nachstehend beispielhaft ein mögliches Vorgehen beschreiben.

 

3. The Credential Theft Shuffle

 

The Credential Theft Shuffle ist ein von Sean Metcalf beschriebenes Vorgehen. Dieses setzt jedoch – wie so viele Angriffe – lokale Administratorrechte voraus. Diese auf einem modernen Windows-System mit aktuellem Patch-Level zu erlangen, ist nicht trivial. Unter Ausnutzung von unsicheren Dienstkonfigurationen, wie sie häufig von Dritt-Software implementiert werden, ist dies jedoch einfach möglich. In der Praxis treffen wir häufig die folgenden zwei Fälle an. Eine Dritt-Software installiert einen Systemdienst, der folgendes Programm ausführt. 

 

C:\Program Files (x86)\Dritt-Software\Bin\Host.exe

 

Dabei wird der Dienst so konfiguriert, dass der Aufruf des Programms ohne Anführungszeichen erfolgt. Aufgrund der Eigenschaft von Windows, in diesem Fall zunächst die Verzeichnisebene bis zum ersten Leerzeichen zu interpretieren, kann ein Angreifer an diese Stelle eigene Programme mit entsprechendem Namen platzieren, die vorrangig ausgeführt werden[10]. 

 

Ein zweites Szenario basiert auf dem Umstand, dass ein Systemdienst als hochprivilegierter Nutzer (z.B. NT AUTHORITY\SYSTEM) ausgeführt wird, aber die Programmdatei im Dateisystem durch jeden Nutzer geändert werden kann. Einem Angreifer ist es dann möglich, die Datei einfach auszutauschen und durch Neustart des Dienstes die Ausführung des Programms zu veranlassen. Durch Programme wie windows-privesc-check [11] kann die Suche nach dieser Schwachstelle automatisiert werden.

 

Mit nun erlangten lokalen Administratorrechten ist der Angreifer in der Lage, Kerberos Tickets und Zugangsdaten für das lokale Administratorkonto zu extrahieren, sowie Daten von kürzlich angemeldeten Nutzern aus dem Speicher zu lesen. Auch hierfür kann Mimikatz verwendet werden. Dafür wird aus dem laufenden Service LSASS(Local Security Autority Subsystem Service) der verwendete Arbeitsspeicher ausgelesen. Hier können Daten wie Kerberos Tickets, LM/NTLM Passwort-Hashes oder sogar Klartext-Passwörter enthalten sein.

 

Die erhaltenen Passwörter werden im folgenden Abschnitt genutzt, um sich an anderen Netzwerkgeräten anzumelden. Dies ist in der Praxis häufig erfolgreich, da Passwörter oft mehrfach verwendet werden. Dieser Prozess wird solange wiederholt bis der Angreifer an einen Rechner gelangt, an dem ein Nutzer mit Domänen-Administrationsrechten eine aktive Sitzung hat oder hatte.

 

4. Pass-the-Hash und Pass-the-Ticket

 

In Windows-Umgebungen ist es in der Regel nicht notwendig, Passwörter im Klartext zu erhalten. Gehashte Passwörter werden beispielsweise in NTLM-Verfahren verwendet, um Nutzer zu authentifizieren. NTLM benutzt ein Challenge-Response Verfahren. Ein Nutzer sendet seinen Nutzernamen an den Server, der Server antwortet mit einer Zufallszahl. Als Antwort erwartet der Server nun die mit dem Hashwert des Nutzerpassworts verschlüsselte Zufallszahl. Gelangt ein Angreifer an ein gehashtes Passwort, wird dieser direkt den Hash anstelle des Klartext Passworts verwenden können, die Zufallszahl verschlüsseln, und somit als legitimer Nutzer erscheinen. 

 

Auch ein gefundenes Kerberos Ticket kann genutzt werden, um sich als ein anderer Nutzer an Diensten anzumelden. Auch hierbei muss das Passwort nicht bekannt sein.

 

Darüber hinaus sind Werkzeuge wie Mimikatz und WCE in der Lage, die auf einem System zwischengespeicherten Passwort-Hashes auszulesen und unmittelbar für den Aufruf eines Befehls im Kontext eines dieser ausgelesenen Nutzer zu verwenden. 

 

5. Man-in-the-Middle Angriffe

 

Als Mitglied im Netzwerk kann ein Angreifer sich als legitimer Dienst im Netzwerk darstellen, um so Passwortdaten bei der Übertragung abzufangen. Hier nennen wir beispielhaft einen Angriff auf LLMNR(UDP/5355) und NBT-NS(UDP/137). Dies sind beides Dienste, die es Systemen im selben Subnetz erlauben, eine Namensauflösung durchzuführen, falls dies dem DNS nicht gelingt. Möchte ein beliebiger Nutzer im Netzwerk auf eine Ressource wie \\NetzwerkDrucker zugreifen und macht dabei einen Schreibfehler, wird der DNS keine Namensauflösung durchführen können. Nun kommt LLMNR bzw. NBT-NS ins Spiel. Der Rechner des Nutzers stellt nun eine Anfrage im Netzwerk, ob ein System eine Namensauflösung für den DNS übernehmen kann. Der Angreifer antwortet auf diese Anfrage mit einem „Ja, ich bin die gesuchte Ressource“. Nun wird das System des Nutzers ein Authentifizierungsverfahren mit dem System des Angreifers anstoßen. Der Angreifer spielt dabei die Rolle des Dienstes, antwortet mit verfahrenstypischen Anfragen bis vom Nutzer Passwortdaten (Klartext oder Hash) übertragen wurden. Die erbeuteten Daten können nun wieder für die Authentifizierung an echten Diensten genutzt werden. Wurde letztendlich ein Domänenadministratorkonto oder Domain Controller übernommen, könnten die in den nächsten Schritten beschriebenen Angriffe durchgeführt werden. 

 

6. Ausstellen von Kerberos Golden Tickets/Silver Tickets

 

Um sich als Angreifer möglichst lange Zugriff im Netzwerk zu sichern, kann es sich lohnen, über Kerberos Langzeittickets auszustellen. Hierfür wird der Hashwert des Systemkontos „krbtgt“ benötigt. Dieser befindet sich auf dem Domain Controller. Standard Kerberos Tickets sind nur für eine konfigurierte, vorgesehene Zeit gültig. Hat ein Angreifer Zugriff auf Kerberos, so kann sich dieser ein Ticket Granting Ticket ausstellen, welches für mehrere Jahre und für beliebige Nutzer gültig wäre. Dies ist auch als „Golden Ticket“ bekannt.

 

Werden Servicetickets mit erweiterter Gültigkeit ausgestellt, läuft das unter dem Begriff Silver Ticket. Dadurch wird der Zugriff auf einen bestimmten Dienst gewährt. Dies geschieht in der Hoffnung, dass Silver Tickets weniger auffällig gegenüber Systemadministratoren sind.

 

7. Auslesen der Active Directory Datenbank Datei

 

Die Datei NTDS.dit enthält alle Informationen einer Active Directory Domäne, einschließlich gehashten Passwörtern. Jeder Domain Controller einer Domäne hält eine Kopie dieser Datenbankdatei. Deshalb muss spätestens bei der Kompromittierung eines Domain-Controllers das komplette Netz als kompromittiert betrachtet werden.

 

Fazit

Die in diesem Artikel aufgezeigten Schwächen in einer AD-Umgebung zeigen, wie sich ein Angreifer schnell einen Überblick über das Netzwerk verschaffen kann. Das Fehlen von Sicherheitsupdates und der unsichere Einsatz von Systemkonten mit weitreichenden Rechten, sowie unsichere Konfigurationen oder Designschwächen können im Folgeschritt zu einer Übernahme aller Systeme eines Windows-Netzwerkes führen. Dabei wählt ein Angreifer typischerweise den Weg des geringsten Widerstandes und startet seine Attacken auf dem schwächsten Glied in dieser Kette. Dieses zu finden wird durch Werkzeuge wie BloodHound erleichtert. Die Sicherheit eines Unternehmensnetzes lebt daher von einer ganzheitlichen Absicherung aller Komponenten. Eine regelmäßige Prüfung des Sicherheitsniveaus beispielsweise durch Konfigurationsprüfungen oder Penetrationstests sowie effiziente Monitoring-Verfahren helfen, den Überblick hinsichtlich der Schwachstellenlage in komplexen schutzbedürftigen IT-Umgebungen zu behalten und einen sicheren Betrieb zu gewährleisten.

 

Tobias Mayer, GAI NetConsult GmbH

 

Referenzen:

 

[1] Projekt BloodHound, github.com/BloodHoundAD/BloodHound

 

[2] Graphdatenbank neo4j,Opens external link in new window https://neo4j.com/product/ 

 

[3] Linkurious, Opens external link in new windowhttps://linkurio.us/  

 

[4] MSDN shared key, https://msdn.microsoft.com/en-us/library/2c15cbf0-f086-4c74-8b70-1f2fa45dd4be.aspx  

 

[5] Metasploit, https://www.metasploit.com/  

 

[6] Shellspoit, Opens external link in new windowhttps://github.com/PowerShellMafia/PowerSploit 

 

[7] Ten Immutable Laws of Security, https://technet.microsoft.com/de-de/security/hh278941.aspx  

 

[8] Projekt Mimikatz, Opens external link in new windowhttps://github.com/gentilkiwi/mimikatz  

 

[9] Tweet von Gavin Millard zu MS14-068, Opens external link in new windowhttps://twitter.com/gmillard/status/535061077374296064  

 

[10] Microsoft Windows Unquoted Service Path Vulnerability, http://www.tenable.com/sc-report-templates/microsoft-windows-unquoted-service-path-vulnerability  

 

[11] windows-privesc-check, github.com/pentestmonkey/windows-privesc-check&nbsp;

Diesen Artikel empfehlen

Autor: Tobias Mayer, GAI NetConsult GmbH

BSI legt Lagedossier zu Ransomware vor

Derzeit berichten Medien über Cyber-Sicherheitsvorfälle mit hoher Schadenswirkung, die durch die Ransomware "WannaCry" ausgelöst werden. Von den Angriffen sind Unternehmen und Institutionen weltweit und auch in Deutschland betroffen. Das Besondere an dieser Schadsoftware ist, dass sie...

Ergebnisse der Cyber-Sicherheits-Umfrage 2016

Inhalt dieses Dokuments sind Ergebnisse der im Rahmen der Allianz für Cyber-Sicherheit durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Kooperation mit dem Bundesverband der Deutschen Industrie (BDI), dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien...

Yahoo! zeigt sich wenig kooperativ

Dazu gehört, deutsche Nutzer in Fragen der Informationssicherheit zu sensibilisieren, zu beraten und zu warnen, auch in Bezug auf die möglichen Folgen fehlender oder unzureichender Sicherheitsvorkehrungen seitens der Anbieter der Internetdienstleistungen.  Im Interesse der deutschen Nutzer...