{"id":2622,"date":"2025-04-04T09:44:31","date_gmt":"2025-04-04T09:44:31","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=2622"},"modified":"2025-04-04T09:44:31","modified_gmt":"2025-04-04T09:44:31","slug":"privilegierte-zugange-werden-zum-sicherheitsrisiko","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=2622","title":{"rendered":"Privilegierte Zug\u00e4nge werden zum Sicherheitsrisiko"},"content":{"rendered":"<div>\n<div class=\"grid grid--cols-10@md grid--cols-8@lg article-column\">\n<div class=\"col-12 col-10@md col-6@lg col-start-3@lg\">\n<div class=\"article-column__content\">\n<div class=\"container\"><\/div>\n<div class=\"extendedBlock-wrapper block-coreImage undefined\">\n<p>Kriminelle bevorzugen Phishing als Erstzugriffsmethode und nutzen legale Tools f\u00fcr unauff\u00e4llige Angriffe auf sensible Systeme, wie eine aktuelle Studie herausfand.<\/p>\n<p class=\"imageCredit\">shutterstock \u2013 Olivier Le Moal<\/p>\n<\/div>\n<p>Der Missbrauch legitimer <a href=\"https:\/\/www.csoonline.com\/article\/3493543\/was-ist-privileged-access-management.html\">privilegierter Zug\u00e4nge<\/a> (legitimate privileged access) nimmt zu . Wie der Cisco Talos\u2018 <a href=\"https:\/\/blog.talosintelligence.com\/content\/files\/2025\/03\/2024YiR-report.pdf\">Jahresr\u00fcckblick 2024<\/a> herausfand, nutzten Angreifer immer \u00f6fter gestohlene Identit\u00e4ten f\u00fcr ihre Attacken, darunter auch Ransomware-Erpressungen. Daf\u00fcr missbrauchen die Hacker<\/p>\n<p>Anmeldedaten,<\/p>\n<p>Tokens,<\/p>\n<p>API-Schl\u00fcssel und<\/p>\n<p>Zertifikate.<\/p>\n<p>Angriffe dieser Art waren zuletzt f\u00fcr \u00fcber die H\u00e4lfte aller Sicherheitsverletzungen verantwortlich. Gestohlene Zugangsdaten erm\u00f6glichten Angreifern initialen Zugang zu Systemen ihrer Opfer und dort intern weitere laterale Bewegungen. In \u00fcber 60 Prozent der untersuchten Cyber-Vorf\u00e4lle wurden Identit\u00e4ten kompromittiert, bei <a href=\"https:\/\/www.csoonline.com\/article\/3849350\/ransomware-attacke-auf-smc-europa.html\">Ransomware<\/a> sogar in sieben von zehn F\u00e4llen.<\/p>\n<h2 class=\"wp-block-heading\"><strong>Erstzugang mit g\u00fcltigen Konten<\/strong><\/h2>\n<p>Ransomware-Banden nutzen Cisco zufolge gestohlene Anmeldedaten f\u00fcr den Erstzugang zu Netzwerken, oft \u00fcber <a href=\"https:\/\/www.csoonline.com\/article\/3492404\/untergrund-jobrollen-das-cybercrime-who-is-who.html\">Initial Access Broker<\/a> (IABs). Diese Daten werden im Dark Web schon ab zehn Dollar verkauft, hochwertige Zug\u00e4nge k\u00f6nnen allerdings bis zu 3.000 Dollar kosten. <a href=\"https:\/\/www.csoonline.com\/article\/3952537\/hacker-stiehlt-kundendaten-von-samsung-deutschland.html\">Infostealer<\/a>-Malware extrahiert hierf\u00fcr Passw\u00f6rter, Session-Tokens und Zertifikate von infizierten Ger\u00e4ten. Der Vorteil gestohlener Anmeldedaten liegt darin, dass sie einfacher zu nutzen sind als Schwachstellen oder von manipulierten Nutzern installierte Malware.<\/p>\n<p>Laut dem Bericht<\/p>\n<p>nutzte jeder F\u00fcnfte Ransomware-Angreifer bekannte Schwachstellen,<\/p>\n<p>12 Prozent erfolgten opportunistisch und<\/p>\n<p>Phishing war mit fast 25 Prozent eine der h\u00e4ufigsten Erstzugriffsmethoden.<\/p>\n<p>Angreifer tarnen sich hierf\u00fcr als bekannte Marken wie Microsoft, Apple oder Amazon beziehungsweise unternehmensspezifische Dienste wie DHL, Confluence oder SharePoint Online.<\/p>\n<p>Die h\u00e4ufigste Phishing-Technik basiert auf b\u00f6sartigen Links mit 58 Prozent, gefolgt von infizierten Anh\u00e4ngen in einem Viertel der F\u00e4lle und Voice-Phishing mit 17 Prozent.<\/p>\n<h2 class=\"wp-block-heading\"><strong>Legale Tools f\u00fcr laterale Bewegungen<\/strong><\/h2>\n<p>Angreifer mit kompromittierten Zugangsdaten k\u00f6nnen sich oft unauff\u00e4llig im Netzwerk bewegen und so nach und nach \u00a0auf verschiedene interne Systeme zugreifen. Fast die H\u00e4lfte der Identit\u00e4tsangriffe zielte auf <a href=\"https:\/\/www.csoonline.com\/article\/3494704\/lokales-active-directory-unter-beschuss-effiziente-absicherung-gegen-ad-angriffe.html\">Active Directory<\/a> (AD), ein F\u00fcnftel auf Cloud-Anwendungen.<\/p>\n<p>Das Tool Mimikatz wird hierf\u00fcr h\u00e4ufig verwendet, um Anmeldeinformationen zu extrahieren. Angreifer nutzen dar\u00fcber hinaus legale Tools wie PsExec, AnyDesk sowie das Remote Desktop Protocol (RDP) f\u00fcr laterale Bewegungen. Sie zielen auf Local-Security-Authority-Subsystem-Service- (LSASS-)Daten, SAM-Datenbanken und zwischengespeicherte Anmeldeinformationen ab. Hierf\u00fcr missbrauchen sie auch Techniken wie DCSync, um Zugriff auf Dom\u00e4nen-Controller zu erlangen.<\/p>\n<h2 class=\"wp-block-heading\"><strong>API-Schl\u00fcssel und Sitzungstokens als neue Angriffsziele<\/strong><\/h2>\n<p>Als die am weitesten verbreitete Authentifizierungs- und Autorisierungsl\u00f6sung in der Unternehmens-IT ist das Active Directory (AD) eine Goldgrube f\u00fcr Angreifer. F\u00fcr Unternehmen ist es daher von entscheidender Bedeutung, bei der Konfiguration und dem Entwurf von Sicherheitsrichtlinien f\u00fcr Active Directory die Best Practices der Branche zu befolgen.<\/p>\n<p>Zu verhindern gibt es viel: Angreifer nutzen zum Beispiel die Verkn\u00fcpfung von Azure Active Directory mit lokalen AD-Installationen, um zwischen Cloud- und lokalen Netzwerken zu wechseln und erweitern die zu sch\u00fctzenden Anmeldeinformationen um API-Schl\u00fcssel und Sitzungstokens.<\/p>\n<p>Tools wie ROADtools und AAAInternals erm\u00f6glichen es den Kriminellen zudem, Microsoft Entra ID-Umgebungen zu durchsuchen und Befehle auszuf\u00fchren. Hacker missbrauchen dar\u00fcber hinaus fehlende oder falsch konfigurierte MFA, etwa durch Push-Spray-Angriffe (MFA-Bombing) oder Phishing-Kits, die Opfer zur Eingabe von MFA-Codes verleiten.<\/p>\n<h2 class=\"wp-block-heading\"><strong>100.000 \u201eGehilfen\u201c durch kompromittiertes Administratorkonto<\/strong><\/h2>\n<p>In einem von Talos IR untersuchten Beispiel kompromittierten Cyberkriminelle eine Universit\u00e4t mit mehr als 100.000 Nutzern: Sie brachten einen Systemadministrator dazu, auf einen Authentifizierungslink zu klicken, der das Device des Angreifers zur MFA-zugelassenen Liste der Universit\u00e4t hinzuf\u00fcgte.<\/p>\n<p>Das Administratorkonto war durch einen fr\u00fcheren Einbruch oder IAB bereits kompromittiert. Die Hacker nutzten das Konto, um unter anderem Phishing-E-Mails zu versenden. Ein weiteres Risiko war die hohe Anzahl an Administrator-Konten von externen Auftragnehmern, die offen im Zugriff der Cybergangster lagen.<\/p>\n<p>Ein weiterer Unsicherheitsfaktor sind zudem mehr und mehr KI-gest\u00fctzte Phishing-Techniken, welche Angriffe zunehmend raffinierter und schwerer erkennbar machen.<\/p>\n<h2 class=\"wp-block-heading\"><strong>MFA f\u00fcr alle Konten<\/strong><\/h2>\n<p>Die Experten empfehlen deshalb, MFA f\u00fcr alle Konten zu aktivieren, insbesondere bei VPN-Konten, und weisen darauf hin, dass MFA korrekt konfiguriert und verd\u00e4chtige Aktivit\u00e4ten \u00fcberwacht werden m\u00fcssen. Zudem sollten Unternehmen Benutzer \u00fcber MFA-Ersch\u00f6pfungsangriffe aufkl\u00e4ren, strengere Schwellenwerte f\u00fcr MFA-Anfragen einf\u00fchren und h\u00f6here Sicherheitsfaktoren wie Challenge-Response-Authentifizierung aktivieren.<\/p>\n<p>Die Registrierung neuer MFA-Ger\u00e4te sollte zudem kontinuierlich \u00fcberwacht und strengeren Richtlinien unterzogen werden.<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"<p>Kriminelle bevorzugen Phishing als Erstzugriffsmethode und nutzen legale Tools f\u00fcr unauff\u00e4llige Angriffe auf sensible Systeme, wie eine aktuelle Studie herausfand. shutterstock \u2013 Olivier Le Moal Der Missbrauch legitimer privilegierter Zug\u00e4nge (legitimate privileged access) nimmt zu . Wie der Cisco Talos\u2018 Jahresr\u00fcckblick 2024 herausfand, nutzten Angreifer immer \u00f6fter gestohlene Identit\u00e4ten f\u00fcr ihre Attacken, darunter auch Ransomware-Erpressungen. [&hellip;]<\/p>\n","protected":false},"author":0,"featured_media":2623,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-2622","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/2622"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2622"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/2622\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/2623"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2622"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2622"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2622"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}