Respekt: ​​Windows 10-Sicherheit beeindruckt Hacker

Solange Windows ein beliebtes Angriffsziel bleibt, werden Forscher und Hacker die Plattform weiter zerstören, um fortschrittliche Strategien zur Untergrabung der Abwehrkräfte von Microsoft aufzudecken.

Die Sicherheitslatte ist viel höher als früher, da Microsoft in Windows 10 mehrere erweiterte Schadensbegrenzungen hinzugefügt hat, die ganze Angriffsklassen abwehren. Während Hacker auf der diesjährigen Black Hat-Konferenz mit ausgefeilten Ausnutzungstechniken ausgestattet waren, wurde stillschweigend erkannt, dass die Entwicklung einer erfolgreichen Technik mit Windows 10 jetzt viel schwieriger ist. Das Eindringen in Windows durch eine Betriebssystemanfälligkeit ist schwieriger als noch vor einigen Jahren.

Verwenden Sie integrierte Antimalware-Tools

Microsoft hat AMSI-Tools (Antimalware Scan Interface) entwickelt, mit denen schädliche Skripts im Speicher abgefangen werden können. Jede Anwendung kann es aufrufen, und jede registrierte Antimalware-Engine kann den an AMSI übermittelten Inhalt verarbeiten, sagte Nikhal Mittal, Penetrationstester und Associate Consultant bei NoSoSecure, den Teilnehmern seiner Black Hat-Sitzung. Windows Defender und AVG verwenden derzeit AMSI und sollten weiter verbreitet werden.

"AMSI ist ein großer Schritt zur Blockierung skriptbasierter Angriffe in Windows", sagte Mittal.

Cyberkriminelle verlassen sich im Rahmen ihrer Kampagnen zunehmend auf skriptbasierte Angriffe, insbesondere solche, die auf PowerShell ausgeführt werden. Für Unternehmen ist es schwierig, Angriffe mit PowerShell zu erkennen, da sie sich nur schwer von legitimem Verhalten unterscheiden lassen. Es ist auch schwierig, eine Wiederherstellung durchzuführen, da PowerShell-Skripts verwendet werden können, um jeden Aspekt des Systems oder Netzwerks zu berühren. Da praktisch jedes Windows-System jetzt mit PowerShell vorinstalliert ist, werden skriptbasierte Angriffe immer häufiger.

Kriminelle begannen, PowerShell zu verwenden und Skripte in den Speicher zu laden, aber die Verteidiger brauchten eine Weile, um sich durchzusetzen. "Bis vor ein paar Jahren kümmerte sich niemand um PowerShell", sagte Mittal. „Unsere Skripte werden überhaupt nicht erkannt. Antiviren-Anbieter haben sich erst in den letzten drei Jahren dafür entschieden. “

Während es einfach ist, auf der Festplatte gespeicherte Skripte zu erkennen, ist es nicht so einfach, die Ausführung von im Speicher gespeicherten Skripten zu stoppen. AMSI versucht, Skripte auf Host-Ebene abzufangen, was bedeutet, dass die Eingabemethode - ob auf der Festplatte gespeichert, im Speicher gespeichert oder interaktiv gestartet - keine Rolle spielt, was sie zu einem „Game Changer“ macht, wie Mittal sagte.

AMSI kann jedoch nicht alleine stehen, da die Nützlichkeit von anderen Sicherheitsmethoden abhängt. Es ist sehr schwierig, skriptbasierte Angriffe auszuführen, ohne Protokolle zu generieren. Daher ist es für Windows-Administratoren wichtig, ihre PowerShell-Protokolle regelmäßig zu überwachen.

AMSI ist nicht perfekt - es ist weniger hilfreich, verschleierte Skripte oder Skripte zu erkennen, die von ungewöhnlichen Orten wie WMI-Namespace, Registrierungsschlüsseln und Ereignisprotokollen geladen wurden. PowerShell-Skripts, die ohne Verwendung von Powershell.exe (Tools wie Netzwerkrichtlinienserver) ausgeführt werden, können auch AMSI auslösen. Es gibt Möglichkeiten, AMSI zu umgehen, z. B. die Signatur von Skripten zu ändern, PowerShell Version 2 zu verwenden oder AMSI zu deaktivieren. Unabhängig davon betrachtet Mittal AMSI immer noch als "die Zukunft der Windows-Administration".

Schützen Sie dieses Active Directory

Active Directory ist der Eckpfeiler der Windows-Verwaltung und wird zu einer noch wichtigeren Komponente, da Unternehmen ihre Workloads weiterhin in die Cloud verlagern. AD wird nicht mehr für die Authentifizierung und Verwaltung lokaler lokaler Unternehmensnetzwerke verwendet und kann jetzt bei der Identität und Authentifizierung in Microsoft Azure helfen.

Windows-Administratoren, Sicherheitsexperten und Angreifer haben unterschiedliche Ansichten zu Active Directory, sagte Sean Metcalf, Microsoft Certified Master für Active Directory und Gründer des Sicherheitsunternehmens Trimarc, den Teilnehmern von Black Hat. Für den Administrator liegt der Schwerpunkt auf der Verfügbarkeit und der Sicherstellung, dass AD auf Anfragen innerhalb eines angemessenen Fensters reagiert. Sicherheitsexperten überwachen die Mitgliedschaft in der Domain Admin-Gruppe und halten sich über Software-Updates auf dem Laufenden. Der Angreifer überprüft die Sicherheitslage des Unternehmens, um die Schwachstelle zu ermitteln. Keine der Gruppen hat das vollständige Bild, sagte Metcalf.

Alle authentifizierten Benutzer haben Lesezugriff auf die meisten, wenn nicht alle Objekte und Attribute in Active Directory, sagte Metcalf während des Gesprächs. Ein Standardbenutzerkonto kann eine gesamte Active Directory-Domäne gefährden, da nicht ordnungsgemäß Änderungsrechte für domänenverknüpfte Gruppenrichtlinienobjekte und Organisationseinheiten gewährt wurden. Über benutzerdefinierte OU-Berechtigungen kann eine Person Benutzer und Gruppen ohne erhöhte Rechte ändern oder den SID-Verlauf, ein Objektattribut für AD-Benutzerkonten, durchgehen, um erhöhte Rechte zu erhalten, sagte Metcalf.

Wenn Active Directory nicht gesichert ist, ist eine AD-Gefährdung noch wahrscheinlicher.

Metcalf skizzierte Strategien, mit denen Unternehmen häufige Fehler vermeiden können. Es geht darum, Administratoranmeldeinformationen zu schützen und kritische Ressourcen zu isolieren. Bleiben Sie über Software-Updates auf dem Laufenden, insbesondere über Patches, die Schwachstellen bei der Eskalation von Berechtigungen beheben, und segmentieren Sie das Netzwerk, um es Angreifern zu erschweren, sich seitlich durchzusetzen.

Sicherheitsexperten sollten ermitteln, wer über Administratorrechte für AD und für virtuelle Umgebungen verfügt, in denen virtuelle Domänencontroller gehostet werden, und wer sich bei Domänencontrollern anmelden kann. Sie sollten Active Directory-Domänen, AdminSDHolder-Objekte und Gruppenrichtlinienobjekte (GPO) auf unangemessene benutzerdefinierte Berechtigungen durchsuchen und sicherstellen, dass sich Domänenadministratoren (AD-Administratoren) niemals mit ihren vertraulichen Anmeldeinformationen bei nicht vertrauenswürdigen Systemen wie Arbeitsstationen anmelden. Die Rechte des Dienstkontos sollten ebenfalls eingeschränkt werden.

Wenn Sie die AD-Sicherheit richtig einstellen, werden viele häufige Angriffe gemildert oder weniger effektiv, sagte Metcalf.

Virtualisierung zur Eindämmung von Angriffen

Microsoft hat in Windows 10 virtualisierungsbasierte Sicherheit (VBS) eingeführt, eine Reihe von Sicherheitsfunktionen, die in den Hypervisor integriert sind. Die Angriffsfläche für VBS unterscheidet sich von der anderer Virtualisierungsimplementierungen, sagte Rafal Wojtczuk, Chief Security Architect bei Bromium.

"Trotz seines begrenzten Umfangs ist VBS nützlich - es verhindert bestimmte Angriffe, die ohne VBS unkompliziert sind", sagte Wojtczuk.

Hyper-V hat die Kontrolle über die Root-Partition und kann zusätzliche Einschränkungen implementieren und sichere Dienste bereitstellen. Wenn VBS aktiviert ist, erstellt Hyper-V eine spezialisierte virtuelle Maschine mit einer hohen Vertrauensstufe, um Sicherheitsbefehle auszuführen. Im Gegensatz zu anderen VMs ist dieser spezialisierte Computer vor der Root-Partition geschützt. Windows 10 kann die Codeintegrität von Binärdateien und Skripten im Benutzermodus erzwingen, und VBS verarbeitet Code im Kernelmodus. VBS ist so konzipiert, dass kein nicht signierter Code im Kernelkontext ausgeführt werden kann, selbst wenn der Kernel kompromittiert wurde. Im Wesentlichen gewährt vertrauenswürdiger Code, der in der speziellen VM ausgeführt wird, Ausführungsrechte in den erweiterten Seitentabellen (EPT) der Stammpartition für Seiten, auf denen signierter Code gespeichert ist. Da die Seite nicht gleichzeitig beschreibbar und ausführbar sein kann, kann Malware auf diese Weise nicht in den Kernelmodus wechseln.

Da das gesamte Konzept von der Fähigkeit abhängt, auch dann weiterzumachen, wenn die Root-Partition kompromittiert wurde, untersuchte Wojtczuk VPS aus der Perspektive eines Angreifers, der bereits in die Root-Partition eingebrochen ist - beispielsweise, wenn ein Angreifer Secure Boot zum Laden umgeht ein trojanisierter Hypervisor.

"Die Sicherheitslage von VBS sieht gut aus und verbessert die Sicherheit eines Systems - sicherlich erfordert es zusätzliche, höchst triviale Anstrengungen, um eine geeignete Sicherheitsanfälligkeit zu finden, die den Bypass ermöglicht", schrieb Wojtczuk im beigefügten Whitepaper.

Aus der vorhandenen Dokumentation geht hervor, dass ein sicherer Start erforderlich ist und VTd und das Trusted Platform Module (TPM) optional sind, um VBS zu aktivieren. Dies ist jedoch nicht der Fall. Administratoren benötigen sowohl VTd als auch TPM, um den Hypervisor vor einer gefährdeten Root-Partition zu schützen. Das einfache Aktivieren von Credential Guard reicht für VBS nicht aus. Es ist eine zusätzliche Konfiguration erforderlich, um sicherzustellen, dass Anmeldeinformationen nicht im Clear in der Root-Partition angezeigt werden.

Microsoft hat große Anstrengungen unternommen, um VBS so sicher wie möglich zu machen, aber die ungewöhnliche Angriffsfläche gibt immer noch Anlass zur Sorge, sagte Wojtczuk.

Die Sicherheitsleiste ist höher

Die Breaker, zu denen Kriminelle, Forscher und Hacker gehören, die daran interessiert sind, was sie tun können, führen mit Microsoft einen aufwändigen Tanz. Sobald die Unterbrecher einen Weg finden, um die Windows-Abwehr zu umgehen, schließt Microsoft die Sicherheitslücke. Durch die Implementierung innovativer Sicherheitstechnologien, die Angriffe erschweren, zwingt Microsoft Breaker, tiefer zu graben, um sie zu umgehen. Windows 10 ist dank dieser neuen Funktionen das sicherste Windows aller Zeiten.

Das kriminelle Element ist bei der Arbeit beschäftigt, und die Geißel der Malware zeigt keine Anzeichen einer baldigen Verlangsamung. Es ist jedoch erwähnenswert, dass die meisten Angriffe heutzutage auf ungepatchte Software, Social Engineering oder Fehlkonfigurationen zurückzuführen sind. Keine Softwareanwendung kann vollkommen fehlerfrei sein, aber wenn die eingebauten Abwehrmechanismen es schwieriger machen, vorhandene Schwachstellen auszunutzen, ist dies ein Sieg für die Verteidiger. Microsoft hat in den letzten Jahren viel getan, um Angriffe auf das Betriebssystem zu blockieren, und Windows 10 ist der direkte Nutznießer dieser Änderungen.

Angesichts der Tatsache, dass Microsoft seine Isolationstechnologien im Windows 10 Anniversary Update verbessert hat, sieht der Weg zur erfolgreichen Nutzung eines modernen Windows-Systems noch schwieriger aus.