Unsere Security Analyst*innen im usd HeroLab decken während ihrer Penetrationstests (Pentests) immer wieder Einfallstore auf, die erhebliche Risiken für die Unternehmenssicherheit darstellen. Dabei begegnen ihnen vermehrt die gleichen Schwachstellen. Unsere Blogserie „Top 3 Schwachstellen“ stellt diese dar und gibt Ihnen Tipps für die Vermeidung – für #moresecurity über alle IT-Assets.
Heute betrachten wir die drei häufigsten sicherheitskritischen Schwachstellen, die unsere Analyst*innen bei Penetrationstests von Workstations und Firmen-Notebooks in den vergangenen Jahren identifizieren konnten.
Warum Pentests von Workstations und Firmen-Notebooks?
Der Begriff Workstation umfasst im Kontext unserer Pentests ein breites Spektrum an Endgeräten. Ob Laptop, Desktop oder Terminal-Geräte - Workstations und Firmen-Notebooks sind in der Regel der primäre Zugangspunkt für Mitarbeiter*innen oder Kunden zu Unternehmensressourcen, Daten und Anwendungen. Da Workstations oft auch außerhalb des Unternehmens genutzt werden, beispielsweise im Homeoffice oder auf Geschäftsreisen, sind sie ein attraktives Ziel für Angriffe.
Im Gegensatz zu reinen Anwendungs- oder System Pentests kommt bei Workstations die physische Komponente hinzu, was zusätzliche Herausforderungen mit sich bringt. Da kommen Fragen auf wie: Sind die Daten auf einem gestohlenen Laptop sicher? Ist es möglich, über einen angemeldeten Nutzer ins Unternehmensnetzwerk vorzudringen? Können Unbefugte Code als Administrator ausführen und Schadsoftware installieren? Bei unseren Pentests von Workstations und Firmen-Notebooks konzentrieren wir uns daher auf die technischen Möglichkeiten, die Endgeräte in diesen verschiedenen Szenarien abzusichern.
Verwundbare Software
Veraltete Software sowie Software mit bekannten Schwachstellen begegnen unseren Analyst*innen häufig. Dies überrascht nicht, da auf Workstations in der Regel viele für den Arbeitsalltag relevante Tools installiert sind. Unternehmen möchten ihren Mitarbeiter*innen ermöglichen, effektiv und flexibel ihrer jeweiligen Tätigkeit nachzugehen. Eine Workstation besteht daher aus einem Zusammenspiel unterschiedlichster Software-Komponenten. Diese Komplexität birgt jedoch auch die größte Gefahr für Firmen-Notebooks. Von einem ungepatchten Betriebssystem über veraltete Gerätetreiber bis hin zu neuen, noch wenig getesteten KI-Tools – jede dieser Komponenten kann potenziell eine Schwachstelle enthalten.
Während viele große Unternehmen klare Richtlinien für Betriebssystem-Updates haben, wird sowohl nachinstallierte Drittanbieter-Software als auch firmeneigene Software oft übersehen. In vielen unserer Projekte haben wir festgestellt, dass Software auf den Geräten installiert war, die eine Privilege Escalation ermöglicht. Diese Schwachstelle erlaubt es einem Nutzer mit eingeschränkten Rechten, Code als Administrator auszuführen und so die Kontrolle über das gesamte Gerät zu übernehmen. Ist das Gerät Teil einer Active Directory-Domäne, könnten unter Umständen Zugangsdaten anderer Accounts ausgelesen werden. Selbst Anti-Viren-Software mit derartigen Schwachstellen wurde während einer Analyse entdeckt. Gerade bei Software, die für ihre Funktionalität standardmäßig Administratorrechte benötigt, ist das Risiko einer Ausnutzung besonders hoch.
Sicherheitstipp: Als Gegenmaßnahme empfehlen wir, installierte Software stets aktuell zu halten und regelmäßig Updates sowie Sicherheits-Patches einzuspielen. Ein einheitliches Updatemanagement kann jedoch nur sicher funktionieren, wenn die installierte Software zentral verwaltet wird. Die auf Workstations benötigte Software sollte daher über ein zentrales Download-Portal bereitgestellt werden.
Unsichere Berechtigungen
So vielfältig wie die installierte Software sein kann, so unterschiedlich können auch die Installationsprozesse ablaufen. Während einige Softwareprodukte zentral verwaltet werden, werden andere manuell heruntergeladen und installiert. In unseren Analysen stellen wir immer wieder fest, dass dabei Dateien und Verzeichnisse mit unsicheren Berechtigungen konfiguriert wurden. Eine unsichere Berechtigung liegt vor, wenn ein normaler Nutzer in ein Verzeichnis schreiben kann, das nur lesenden Zugriff erlauben sollte. Diese Fehlkonfiguration ermöglicht es beispielsweise, Konfigurationsdateien oder ausführbare Dateien zu ändern. Dies kann wiederum dazu führen, dass ein Dienst mit erhöhten Rechten die manipulierten Dateien einliest oder ausführt.
Aber auch rein lesender Zugriff sollte nicht überall möglich sein, insbesondere nicht in Verzeichnissen, in denen sensible Daten gespeichert werden. Oft haben normale Nutzer Zugriff auf Netzwerkfreigaben. Durch unsicher konfigurierte Berechtigungen können an dieser Stelle Passwörter und vertrauliche Dokumente ausgelesen werden.
Sicherheitstipp: Um solche Risiken zu minimieren, sollten Berechtigungen regelmäßig überprüft und restriktiv angepasst werden, damit nur autorisierte Nutzer Zugriff auf sensible Daten im Unternehmen erhalten.
Fehlende Härtungsmaßnahmen
Auch ohne viel installierte Software und trotz restriktiver Berechtigungen gibt es über die Basiskonfiguration eines Betriebssystems hinaus Stellschrauben, um die Sicherheit weiter zu erhöhen. Die Härtung umfasst dabei die systematische Reduzierung der Angriffsfläche. Selbst wenn es verwundbare Komponenten gibt, macht ein gut gehärtetes System es Angreifern deutlich schwerer, Sicherheitslücken erfolgreich auszunutzen. Die Umsetzung von Härtungsmaßnahmen sollte Bestandteil des Sicherheitskonzepts für Workstations sein.
Sicherheitstipp: Durch Maßnahmen wie die Deaktivierung nicht benötigter Dienste, das Einschränken von Remote-Zugriffsmöglichkeiten und das Konfigurieren sicherer Netzwerkeinstellungen lässt sich das Risiko weiter reduzieren. Auch die Implementierung von Protokollierungs- und Monitoring-Tools, die verdächtige Aktivitäten überwachen, trägt zur Früherkennung potenzieller Bedrohungen bei. Zusätzlich können Sicherheitseinstellungen aktiviert werden, die etwa die Ausführung unbekannter Programme und Skripte verhindern oder zusätzliche Schutzmechanismen für Zugangsdaten implementieren.
Fassen wir noch einmal zusammenfassen
Insgesamt zeigt sich, dass Workstations und Firmen-Notebooks oftmals durch eine Kombination aus verwundbarer Software, unsicheren Berechtigungen und fehlenden Härtungsmaßnahmen anfällig für Angriffe sind. Eine konsequente und regelmäßige Absicherung dieser Bereiche ist entscheidend, um die Sicherheit und Integrität der Unternehmensressourcen langfristig zu gewährleisten.
Die Durchführung von Pentests ist eine unserer Kernkompetenzen. Unsere Penetrationstests von Workstations und Firmen-Notebooks sind speziell darauf ausgerichtet, die in diesem Artikel aufgeführten und andere Schwachstellen aufzudecken und zu entschärfen. Fachgerecht ausgeführte Pentests bleiben eines der wichtigsten Tools, die eigene Sicherheit und Widerstandsfähigkeit gegenüber sich entwickelnden Cyber-Bedrohungen zu verbessern. Kontaktieren Sie uns, wir helfen Ihnen gern.
