Beheer

Security
Betere beveiliging

Beter beveiligd voor weinig geld

De 5 zwakke plekken die hackers het eerst uitproberen - en vaak met succes.

© Pixabay CC0
25 augustus 2016

Het bedrijf - dat zich noemt naar de beroemde en later beruchte lijfwacht van de Romeinse keizers - onderzocht de meest succesvolle aanvalsmethoden die zijn medewerkers de afgelopen drie jaar bij ruim honderd tests bij zijn klanten hanteerden. De pentesters die het daarbij inzette, heeft Praetorian gerecruteerd uit kringen van hackers en voormalige cyberspeurders van NSA en CIA; mannen en vrouwen, kortom, die van wanten weten.

Liever niet via softwarebugs

Deze pentesters zijn vrij in de keuze van hun wapens. Maar ze gebruiken bij voorkeur geen kwetsbare plekken in de software. Je loopt dan altijd het risico dat je malware toch opgemerkt wordt, al of niet doordat die problemen en storingen uitlokt op de doelsystemen. Datzelfde geldt voor de scans om te bepalen waar de kwetsbare plekken zitten. Daarom zoeken de specialisten liever eerst naar andere methodes om binnen te komen. En dat blijkt zo makkelijk te gaan, dat je nauwelijks nog kwetsbare software nodig hebt om binnen te geraken.

Praetorian was aanvankelijk van plan een top tien samen te stellen. Maar het kwam al snel tot de conclusie dat vijf zwakheden er ver bovenuit stegen. Tegenmaatregelen tegen die 5 zijn het meest effectief. En ze hoeven bovendien niet veel geld te kosten.

De 5 zwakste plekken

De 5 meest succesvolle aanvalsvectoren in Praetorians onderzoek waren:

  1. Zwakke wachtwoorden; slagingskans 66 %
    De meeste bedrijven hebben geen goede controle op de sterkte van wachtwoorden; Active Directory van Microsoft voldoet op dat punt niet, omdat het allen naar entropie kijkt. 'Wachtwoord1!'en 'Zomer2016' worden daarom niet geweerd, terwijl dat wel zou moeten.
    Het probleem wordt verergerd doordat de rechten vaak onvoldoende begrensd zijn. Beheerdersrechten zijn heel gewoon geworden om medewerkers niet te hinderen bij het installeren van applicaties. Medewerkers hebben vaak ook zonder goede reden toegang tot tools als Powershel en WMI, waardoor via hun pc makkelijk allerlei systeemopdrachten zijn uit te voeren in de rest van het netwerk.
     
  2. Afluisteren van inlogpogingen: slagingskans 64 %
    Door zich toegang te verschaffen tot het netwerk kan de hacker meeluisteren met inlogpogingen op lokale applicaties of netwerkvolumes; als hij die weet te registreren, kan hij ze vervolgens afspelen om zelf toegang te krijgen of proberen ze offline te kraken.
     
  3. Pass the hash: slagingskans 61 %
    Voor systemen wordt vaak hetzelfde lokale beheerderswachtwoord gehanteerd. Als een hacker erin slaagt de gehashte variant van een beheerderswachtwoord  te bemachtigen, kan hij met dat gegeven toegang krijgen tot alle systemen die dat wachtwoord gebruiken - zonder dat hij de hash eerst hoeft te ontcijferen.
     
  4. Het opsporen van wachtwoorden in het geheugen: slagingskans 59 %
    Windows-versies ouder dan Windows 8.1 en Windows Server 2012 R2 slaan inloggegevens via het LSASS-proces in leesbare tekst op in het geheugen. Dat is alleen toegankelijk met  toegang als lokale beheerder of op systeemniveau. Gespecialiseerde hacktools zoals Mimikatz maken deze beveiliging echter minder robuust dan je zou aannemen.
     
  5. Onvoldoende controle op netwerktoegang: slagingskans 52 %
    Weinig bedrijven hanteren controlemaatregelen die netwerktoegang beperken tot wat uit bedrijfsoogpunt strikt noodzakelijk is. Vanuit een enkel gehackt systeem kan een hacker daardoor te makkelijk bedrijfskritische systemen bereiken.

Bijna alle geteste bedrijven was op meer dan één van deze punten kwetsbaar. 82 procent had er zelfs 3 of meer. Het gemiddelde lag op 4,47.

Eenvoudige tegenmaatregelen

De zesde aanvalsvector - die Praetorian niet benoemt - had een slagingskans van maar 14 procent. Vandaar dat het organisaties adviseert om eerst maar eens deze 5 aan te pakken. En daarbij kan men het best beginnen met nummer 3 en 4, omdat die het makkelijkst onschadelijk te maken zijn. Pass the hash-aanvallen zijn goeddeels uit te bannen door op alle werkstations en servers unieke wachtwoorden te gebruiken. Dat is heel eenvoudig te doen wanneer men gebruikmaakt van Microsofts Local Administrator Password Solution-tool. Dit gratis hulpmiddel slaat wachtwoorden namelijk op in de Active Directory, zodat er geen aparte registratie nodig is om ze te onthouden.

Het tegengaan van opsporingspogingen van leesbare wachtwoorden in het geheugen is ook heel eenvoudig. Microsoft heeft daar een beveiligingsbulletin aan gewijd. Na opvolging van dat advies dient men nog een wijziging in de Registry aan te brengen, zegt Praetorian, en wel de volgende:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control SecurityProviders\WDigest UseLogonCredential: Value 0 (REG_DWORD)

Twofactor-authenticatie

Aanvalsmethode 1 bestrijden vergt aanscherping van het wachtwoordbeleid. Eerste maatregel zou invoering van twofactor-authenticatie moeten zijn bij inloggen van buitenaf of als beheerder. Daarnaast adviseert Praetorian om de minimale wachtwoordlengte te verhogen naar 15 karakters. Het is zich er kennelijk wel van bewust dat dat de gebruikers sterk belast; Praetorian geeft in overweging ze daarna niet vaker dan eens in het halfjaar te dwingen het wachtwoord te wijzigen.

Het tegengaan van afluisterpogingen op het netwerk heeft wat meer om de hakken. Dat vraagt onder meer om het vastleggen van alle toegestane componenten in de DNS-servers en het uitproberen of men het zonder LLMNR en Netbios kan stellen. Men zou het netwerk ook moeten monitoren op dit type aanval.

Het meeste werk is het begrenzen van de netwerkcontrole, vooral ook omdat men voor het segmenteren van het netwerk een grondige inventarisatie moet maken van wie waar bij moet kunnen. Op basis daarvan moet men Access Control Lists maken die hun weerslag moeten krijgen in de netwerkarchitectuur.

Meer informatie is te lezen in het rapport How to Dramatically Improve Corporate IT Security without Spending Millions, dat na opgave van naam en mailadres gratis te downloaden is.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!