Kategori: Cybersäkerhet

Återanvänds den lokala administratörens lösenord i din miljö?

Återanvänds den lokala administratörens lösenord i din miljö?

Windows operativsystem innehåller som standard ett administratörskonto för hanteringssyften vars lösenord är detsamma i många miljöer på flera system.

Varför återanvändning av lösenord är vanligt

Lösenordet för det lokala administratörskontot återanvänds regelbundet och är därför detsamma på flera system inom organisationen. Det kan t.ex. bero på att en image används för alla servrar och en image används för alla arbetsstationer. I den här bilden är det lokala administratörskontot inställt och lösenordet ändras aldrig. Eller så använder organisationen ett skript för att ange ett standardlösenord för varje system.

Om en angripare har administratörsrättigheter till en av dessa maskiner och lyckas återskapa lösenordet eller en krypterad version av det, kan han återanvända det för att få åtkomst till flera eller ibland alla system inom domänen

Översikt över testmiljön

I vår testdomän playground.local användes samma lösenord för den lokala administratören för alla system inom domänen. Den hashade versionen av lösenordet (NTLM-hash) kan hämtas genom att läsa den lokala SAM-databasen på ett av dessa system.
En hash är resultatet av en hashfunktion som omvandlar en sträng till en sträng av bokstäver och siffror. På så sätt kan en applikation verifiera att användaren har angett rätt lösenord utan att lagra lösenordet i klartext.

Det är möjligt att använda denna hash för en ”pass the hash”-attack. Med den här attacken autentiserar angriparen sig med NTLM-hash istället för ett lösenord i klartext. För att demonstrera den här attacken har vi skapat en labbmiljö bestående av en Windows-klient och två Windows-server, inklusive en webbserver och en domänkontrollant. Labbet ser ut på följande sätt:

Genomföra attacken

Vi demonstrerar den här attacken i vårt labb genom att använda ett konto som har lokala administratörsbehörigheter på en arbetsstation. Med hjälp av dessa privilegier kan en angripare dumpa lösenordet för (lokala) användare med hjälp av Invoke-Mimikatz. För att göra det kan följande kommando användas: Invoke-Mimikatz -Command ’”privilege::debug” ”token::elevate” ”lsadump::sam”’

Hashvärdet (48e723f6efb3eff9ae669e239c42fff3) för det lokala administratörskontot kan användas av angriparen för att utföra en ”pass the hash”-attack och försöka autentisera sig som lokal administratör på valfri dator inom domänen. En angripare kan t.ex. göra detta med hjälp av verktyget NetExec.

De orange bokstäverna i bilden ovan visar att vi har lokala administratörsrättigheter på två system. Det innebär att vi har full kontroll över alla system utom domänkontrollanterna. Som standard är det inte möjligt att autentisera sig som lokal administratör på domänkontrollanten, såvida inte AD-återställningsläget är aktiverat. 

Lösning för lösenord för lokal administratör

LAPS (Local Administrator Password Solution) är ett verktyg som används för att hantera lösenord för lokala administratörer. LAPS genererar ett unikt lösenord för varje lokal administratör. Detta lösenord byts sedan som standard ut var trettionde dag. Därefter lagras lösenordet i attributet Ms-Mcs-AdmPwd.

Åtkomst till lösenordet ges genom åtkomsträttigheten Control på attributet. Kontrollåtkomst är en utökad rättighet i Active Directory, vilket innebär att om en användare har behörigheten Alla utökade rättigheter på det attributet eller ett objekt ovanför det, kan han se lösenordet i. Ett exempel visas nedan:

Att spara det okrypterade lösenordet är inte ett problem eftersom fältet där detta inträffar kräver särskilda behörigheter för att läsas. Om en angripare har ett konto som har tillgång till domänkontrollanten för att läsa den eller ett användarkonto med behörigheter, har han mycket större rättigheter än lokala administratörskonton.

Hämta LAPS-lösenord.

Om lösenorden begärs över nätverket skickas de krypterade av LAPS GUI och PowerShell. LAPS GUI ser ut på följande sätt om en behörig användare begär lösenordet:

Det går också att hämta lösenordet med hjälp av PowerShell med följande kommando:

Get-AdmPwdPassword -Datornamn ’computernaam’

Cybertålighet med hjälp av assurance-tjänster

Bygga en cybertålig kultur: Rollen för tjänster inom assurance och advisory

I dagens företagsklimat med höga insatser handlar skapandet av en robust cybertålig kultur mindre om att installera avancerade brandväggar och mer om strategisk framförhållning. För dagens företagsledare ligger utmaningen inte bara i att reagera på hot, utan i att proaktivt bygga in motståndskraft i organisationsstrukturen. Assurance- och rådgivningstjänster är inte bara stödmekanismer – de är strategiska verktyg som omvandlar cybersäkerhet från en nödvändig backend-verksamhet till en affärsfördel i frontlinjen. I det här blogginlägget undersöks hur dessa tjänster integrerar cybertålighet i företagsstrategin och omvandlar potentiella sårbarheter till konkurrensfördelar.

Den strategiska nödvändigheten av cybertålighet

I takt med att den digitala hotbilden utvidgas förändras också hotens karaktär och frekvens. Cybertålighet är på väg att bli en viktig del av den strategiska planeringen för att säkerställa att din organisation kan förutse, reagera på och återhämta sig från cyberincidenter. Denna förmåga är inte bara viktig för att upprätthålla kontinuerlig drift utan också för att skydda ägarnas intressen och skapa förtroende på marknaden.

Hur tjänster inom assurance och advisory bidrar till en cybertålig kultur

Anpassa cybersäkerheten efter företagsmålen

Assurance-tjänster utvärderar och förfinar era cybersäkerhetsåtgärder för att säkerställa att de överensstämmer med era företagsmål. Denna strategiska anpassning omvandlar cybersäkerhet från ett kostnadsställe till en källa av strategiskt värde och gör riskhanteringen till en integrerad del av företagsutvecklingen.

Utveckla ett robust ramverk för styrning

En effektiv styrning av cybersäkerheten integrerar riskhanteringen med de dagliga affärsprocesserna. Rådgivningstjänster bidrar till att skapa ramverk som gör cybersäkerhet till en del av organisationsstyrningen, vilket säkerställer att beslut på alla nivåer skyddar er säkerhetsposition utan att kväva innovation.

Säkerställa efterlevnad och tillämpa bästa praxis

Att navigera i labyrinten av efterlevnad och bästa praxis är en stor utmaning. Assurance-tjänster hjälper inte bara din organisation att följa dessa regler utan uppmuntrar också till att använda bästa praxis som kan ge er ett försprång i förhållande till branschstandarderna. Denna proaktiva hållning minskar riskerna samtidigt som den förbättrar den operativa effektiviteten och skapar förtroende hos kunder och tillsynsmyndigheter.

Utmaningen ligger inte bara i att reagera på hot utan i att proaktivt bygga in motståndskraft i organisationsstrukturen.

Utbilda och stärk er personal

Rådgivningstjänsterna fokuserar också på att utbilda personal på alla nivåer i organisationen så att de kan förstå och hantera cybersäkerhetsrisker på ett effektivt sätt. Detta tillvägagångssätt skapar en delad ansvarskänsla och gör varje medarbetare till en proaktiv deltagare i ert cybersäkerhetsramverk.

Förbättra incidenthantering och återhämtning

Det verkliga testet på motståndskraft är att reagera på och återhämta sig från cyberincidenter. Rådgivningstjänster hjälper till att utveckla snabba och effektiva strategier för incidenthantering, minimera driftstopp och potentiella skador samt utnyttja dessa erfarenheter för att stärka framtida försvar.

Verksamhetsfördelarna med en cybertålig kultur

Att integrera tjänster inom assurance och advisory i er cybersäkerhetsstrategi förbättrar er organisatoriska säkerhet genom att:

✓ Främja proaktiv riskhantering: Flytta fokus från reaktiva säkerhetslösningar till proaktiv riskidentifiering och riskhantering.

✓ Skapa en enhetlig säkerhetsvision: Säkerställa att säkerhetsstrategierna är konsekventa inom alla affärsenheter och på alla nivåer i organisationen.

✓ Bygga upp intressenternas förtroende: Att visa engagemang för omfattande säkerhetsstandarder som stärker intressenternas förtroende.

✓ Uppmuntra till ständiga förbättringar: Främja en kultur av kontinuerlig utvärdering och anpassning, vilket är avgörande för att hålla jämna steg med utvecklingen av cyberhot.

Slutsats

För dagens företagsledare är det viktigt att främja en cybertålig kultur. Assurance- och advisory-tjänster är nyckeln till denna process, eftersom de ger den expertis och tillsyn som krävs för att väva in cybersäkerhet i företagets strategi på ett effektivt sätt. Dessa tjänster skyddar inte bara – de gör det möjligt för ditt företag att blomstra på en digitalt driven marknad och positionerar er organisation som en proaktiv och motståndskraftig marknadsledare.

Hot mot cybersäkerheten: Påskens attack mot leveranskedjan

Avvärjda cybersäkerhetshot: attacken mot leveranskedjan under påskhelgen

IT-säkerhetsbranschen hade en intressant påskhelg. Någon mycket smart person var nära att hacka 20 miljoner internetservrar, men de upptäcktes i sista stund av en kille från San Francisco som heter Andres Freund. Om det var en filminspelning skulle du kalla det långsökt.

Händelsen utspelar sig

Situationen började utvecklas på långfredagen med ett oroande inlägg på Mastodon av Andres Freund, en Microsoft-ingenjör som specialiserat sig på PostgreSQL-databasen med öppen källkod. Freund hade lagt märke till ett ovanligt tidsbeteende på en av sina testservrar: SSH-tjänsten, som används för fjärrinloggning till Linux, använde mycket mer resurser än normalt.

https://mastodon.social/@AndresFreundTec/112180083704606941

Som expert på systemprestanda ville han veta varför, och han visste hur man kunde hitta sådana problem. Han fann att boven i dramat var ett vanligt programvarubibliotek som heter XZ. Det används av många program för datakomprimering.

Anledningen till nedgången var att en bakdörr hade lagts till i XZ, specifikt riktad mot SSH för att göra det möjligt för en angripare att komma åt system med sin egen privata inloggningsnyckel, utan att systemets ägare visste om det.

Den potentiella effekten

Skanning av internet visar 20 miljoner IP-adresser med SSH-tjänsten som lyssnar efter anslutningar. Webbservrar, e-postservrar, infrastrukturservrar, databasservrar, alla typer av servrar. Om programvaran hade spridits till alla servrar skulle angriparna ha kunnat fjärrstyra servrarna så att de gjorde vad de ville. Radera dem, stjäla information som de hanterar i tysthet, ändra data, … vad som helst. It would not be an exaggeration to say that they would have been able to control a large part of the internet, and to listen in on a lot of confidential communications.

Fortunately, Andres runs systems with much more recent software than 99% of us. So this had only just happened, and was not yet included in any mainstream Linux releases. Huge sigh of relief all around. Very lucky escape.

How could this happen?

The backdoor was very cleverly hidden. It can’t be found by looking at the source code for XZ. Somebody added it to a release script, a small program that builds the software, packs it up and sends it off “downstream” to be included in Linux operating system releases. Only after XZ is built from source code is the backdoor code injected into the files that are sent to be run on other systems.

Also, the backdoor is built so that it is not detectable from the network. If XZ is included in SSH, it acts only when a login request is received from someone who has a specific, secret key. Then, and only then, will the backdoor run a command for its owner. If you don’t have that secret key, there is no way to know that a server is vulnerable. Only the server owner could find it, provided, of course, (s)he knows about the issue and knows where to look.

If Andres hadn’t noticed the slight timing issue, this might have taken a very, very long time to be discovered.

Whodunnit

The XZ version with the backdoor was released by somebody calling themselves Jia Tan. It is now believed that this is not a real person.

Lasse Collin is the owner and inventor of XZ. He maintained the software for free, for many years. After being pressured to work harder on his project[1], and suffering from illness, he gave a very friendly new volunteer called Jia Tan access to edit the software and to make releases, and took some well-earned vacation. We now think that the pressure campaign, which started in 2022, was orchestrated so that “Jia Tan” could become the maintainer of XZ and thus be able to release malicious software into the larger internet ecosystem.

Getting control of a widely-used project, developing a complicated backdoor, and hiding it, must have taken serious investment. Some people are saying that some of the large criminal hacking groups can afford to build something like this, but the main suspect would be a national intelligence service. We can’t be sure, of course, but who else would spend years building this, and getting it included into an important piece of internet infrastructure by finding a widely-used project maintained by only one overworked person?

[1] Look at this e-mail exchange from 2022, for example: https://www.mail-archive.com/[email protected]/msg00566.html – “Jigar Kumar” and “Dennis Ens” demanding that Lasse give control of his project to others; conveniently, “Jia Tan” then volunteers

What do I do?

We’re very lucky that this was caught in time. “Jia Tan” was busy just last week pushing Linux maintainers to quickly adopt the latest version of XZ into their main releases, but this had not happened yet. So, unless you are running “bleeding edge”, unstable testing releases of Linux, you are most probably fine. But, update just the same, to make extra sure: updates have now been released that roll back the latest, infected releases of XZ (5.6.0 and 5.6.1).

Also, a recommendation that we at Securance always give to our clients is not to expose services like SSH, that are meant to be used only by a few IT staff, to the open internet. Always limit access in the firewall to internal IP addresses, and perhaps a few home addresses of trusted staff. That way, if a new vulnerability in the service is discovered, attackers simply won’t be able to connect to your servers to exploit it.

Lessons for the future

Supply chain attacks are here to stay, because complicated supply chains will continue to exist. A well-known cartoon puts it like this:

We (internet users) need to support these “random persons” a little more, and be aware of their importance to our security. Lasse Collins was building and maintaining this critical piece of software for us in his spare time, for nothing. And there are many more Lasses out there.

We at Securance support some open source projects whose excellent software we use for free. We will look at supporting more of them with a monthly donation. No matter how small – these can really make a difference.

NIST ramverk för cybersäkerhet 2.0

NIST ramverk för cybersäkerhet 2.0

I ett viktigt steg framåt för att stärka cybersäkerheten i alla organisationer uppdaterade National Institute of Standards and Technology (NIST ) nyligen sitt ramverk för cybersäkerhet (Cybersecurity Framework) till version 2.0. Denna uppdatering är den första större översynen sedan ramverket infördes 2014. Den har ett bredare tillämpningsområde och förbättrade resurser för organisationer som vill stärka sin digitala motståndskraft.

NIST-ramverket är en amerikansk standard som har harmoniserats med Europeiska unionens riktlinjer genom samarbete för att skapa anpassade standardiserade bedömningsregler. Denna anpassning gör NIST:s ramverk för cybersäkerhet särskilt relevant och tillämpligt inom Europa.

Det ständigt föränderliga cybersäkerhetslandskapet

Den digitala tidsåldern medför oöverträffade möjligheter till tillväxt och innovation. Men med dessa framsteg följer också en rad cybersäkerhetshot som utvecklas i en alarmerande takt. Från sofistikerade nätfiskeattacker till komplexa ransomware-hot. Dagens företag kämpar ständigt för att skydda sina digitala tillgångar och behålla kundernas förtroende.

Därför har det blivit nödvändigt att införa ett omfattande ramverk för cybersäkerhet. NIST CSF 2.0 fungerar som en strategisk vägledning för organisationer när det gäller att identifiera, skydda, upptäcka, reagera på och återhämta sig från cybersäkerhetsincidenter. Genom att anta detta ramverk kan organisationer inte bara minska risken för cyberattacker utan också bygga upp en motståndskraftig infrastruktur. Denna grund stöder långsiktig tillväxt och stabilitet, vilket säkerställer en trygg och välmående framtid. tillväxt och stabilitet.

Viktiga uppdateringar av NIST:s ramverk för cybersäkerhet

Universell tillämplighet: Till skillnad från sin föregångare sträcker sig CSF 2.0 utanför sektorerna för kritisk infrastruktur. Från och med nu ger den vägledning för organisationer av alla storlekar och branscher. Detta inkluderande tillvägagångssätt erkänner det universella hotet från cyberattacker och behovet av en enhetlig försvarsmekanism.

Ökat fokus på styrning: Med styrning i centrum betonar det reviderade ramverket vikten av strategiskt beslutsfattande om cybersäkerhet. Den betonar de ledande befattningshavarnas roll när det gäller att integrera cybersäkerhetsaspekter med andra viktiga aspekter av affärsverksamheten, t.ex. ekonomi och rykteshantering.

Rikare resurser för implementering: NIST har introducerat en rad resurser, inklusive snabbstartsguider, framgångshistorier och en sökbar katalog med informativa referenser. Dessa verktyg är utformade för att underlätta antagandet av ramverket och ge organisationer skräddarsydda vägar för att förbättra sina cybersäkerhetsrutiner.

Utveckling i samarbete: Uppdateringen är resultatet av omfattande samråd och feedback från ett brett spektrum av intressenter. Det säkerställer att ramverket tar upp aktuella utmaningar och antar bästa praxis för cybersäkerhetsförvaltning.

Vikten av ett robust (NIST) ramverk för cybersäkerhet

Att implementera ett omfattande ramverk för cybersäkerhet är inte längre valfritt, det har blivit en nödvändighet. NIST CSF 2.0 fungerar som en strategisk vägledning för organisationer när det gäller att identifiera, skydda, upptäcka, reagera på och återhämta sig från cybersäkerhetsincidenter. Genom att anta detta ramverk kan organisationer inte bara minska risken för cyberattacker utan också bygga upp en motståndskraftig infrastruktur. Detta främjar långsiktig tillväxt och stabilitet.

Implementera NIST CSF 2.0 i din organisation

Att anta NIST Cybersecurity Framework kräver ett skräddarsytt tillvägagångssätt, ett som är i linje med din organisations specifika behov och utmaningar. Det börjar med en analys av ert nuvarande status quo, följt av identifiering av förbättringar och utveckling av en plan för att genomföra dem. Att involvera alla nivåer i organisationen i denna process är avgörande för att främja en kultur av medvetenhet om cybersäkerhet och motståndskraft.

Slutsats

NIST Cybersecurity Framework 2.0 är ett bevis på den föränderliga bilden av cybersäkerhetshot och behovet av anpassningsbara, inkluderande strategier för att bekämpa dem. Genom att anamma detta uppdaterade ramverk kan organisationer skydda sig mot nuvarande och nya hot. Dessutom kan de främja en cybersäkerhetskultur som genomsyrar alla nivåer av verksamheten.

För vd:ar och chefer som vill skydda sina organisationer mot digitala hot ger CSF 2.0 en strategisk färdplan för att uppnå en robust cybersäkerhetsställning. Resan mot en säker digital framtid börjar med att förstå och genomföra de principer som beskrivs i detta banbrytande ramverk.

Utforska hur NIST:s CSF 2.0 kan förändra din organisations strategi för cybersäkerhet.

Utforska hur NIST:s ramverk för cybersäkerhet 2.0 kan förändra din organisations strategi för cybersäkerhet

Kontakta oss gärna för att utforska hur NIST cybersäkerhet kan gynna din organisation. Våra experter på rådgivning och cybersäkerhet hjälper dig gärna.