A look at why identity security is failing in the age of deepfakes and AI-driven attacks, and how biometrics, MFA, PAD, and high-assurance verification must evolve to deliver true, phishing-resistant authentication.
The post How AI Threats Have Broken Strong Authentication appeared first on Security Boulevard.
Akira ransomware is exploiting MFA push-spam, weak VPN security and identity gaps. Learn why these attacks succeed and the counter-playbook defenders must deploy now.
The post The Akira Playbook: How Ransomware Groups Are Weaponizing MFA Fatigue appeared first on Security Boulevard.
how JWTs secure AI agents and autonomous systems. Explore best practices for authenticating non-human identities using modern OAuth and token flows.
The post JWTs for AI Agents: Authenticating Non-Human Identities appeared first on Security Boulevard.
Für Cyberkriminelle stellt das Active Directory (AD) ein wertvolles Ziel dar. Sie nehmen es regelmäßig ins Visier, um ihre Berechtigungen auszuweiten und den Zugriff zu erweitern. Leider ist das AD für den Geschäftsbetrieb unverzichtbar und muss daher für alle Benutzer eines Unternehmens leicht zugänglich sein. Das erschwert Schutzmaßnahmen zusätzlich. Laut Microsoft werden täglich mehr als 95 Millionen AD-Konten angegriffen. Dies macht das Ausmaß des Problems deutlich.
Schutzmaßnahmen für das AD sind zwar eine Herausforderung, lassen sich mit den richtigen Tools und Taktiken aber durchaus bewerkstelligen. Nachfolgend finden Sie zehn Tipps, mit denen Unternehmen ihr Active Directory effektiver vor häufigen aktuellen Angriffstaktiken schützen können.
Sobald die Angreifer den Perimeterschutz überwunden und sich im Netzwerk festgesetzt haben, führen sie Erkundungen durch, um potenziell wertvolle Ressourcen zu identifizieren und festzustellen, wie sie an diese gelangen können. Am besten eignen sich dafür Angriffe auf das AD, weil sich diese als normale Geschäftsaktivitäten tarnen lassen und dadurch nur selten erkannt werden.
Eine Lösung, die die Auflistung von Berechtigungen, delegierter Administratoren und Dienstkonten erkennen und verhindern kann, ermöglicht es dem Sicherheitsteam, Angreifer in den ersten Phasen eines Angriffs aufzuspüren. Zudem können Angreifer mit gefälschten Domänenkonten und Anmeldedaten auf Endpunkten getäuscht und anschließend auf Köderobjekte umgeleitet werden.
Häufig speichern Benutzer ihre Anmeldedaten in ihren Workstations. Meist geschieht dies versehentlich, mitunter aber auch absichtlich – in der Regel aus Bequemlichkeit. Angreifer wissen das und nehmen diese gespeicherten Anmeldedaten ins Visier, um sich damit Zugriff auf die Netzwerkumgebung zu verschaffen. Mit den richtigen Anmeldedaten können sie viel Schaden anrichten. Zudem suchen sie immer nach einer Möglichkeit, ihre Zugriffsrechte auszuweiten.
Unternehmen können Angreifern den Weg ins Netzwerk erschweren, indem sie gefährdete privilegierte Konten identifizieren, Konfigurationsfehler beheben und gespeicherte Anmeldedaten, freigegebene Ordner sowie andere Schwachstellen entfernen.
Pass-the-Ticket-Angriffe (PTT) sind äußerst effektiv, da sie Angreifern laterale Bewegungen im Netzwerk und die Erweiterung von Berechtigungen ermöglichen. Da Kerberos ein zustandsloses Protokoll ist, lässt es sich leicht missbrauchen, sodass Angreifer innerhalb des Systems problemlos Tickets fälschen können. Golden Ticket- und Silver Ticket-Angriffe sind die gravierendste Form von PTT-Angriffen, mit denen Domänen kompromittiert und Persistenz erzielt werden soll.
Um sich davor zu schützen, müssen Unternehmen anfällige Kerberos-TGTs (Ticket Granting Tickets) und -Dienstkonten erkennen können, um Konfigurationsfehler, die PTT-Angriffe ermöglichen könnten, zu identifizieren und davor zu warnen. Zudem kann eine Lösung wie Singularity Identity die Nutzung gefälschter Tickets auf Endpunkten verhindern.
Mit Kerberoasting-Angriffen können Angreifer auf einfache Weise privilegierten Zugriff erlangen, während DCSync- und DCShadow-Angriffe dazu dienen, Persistenz in der Domäne eines Unternehmens zu erzielen.
Das Sicherheitsteam muss in der Lage sein, das AD kontinuierlich zu überwachen und AD-Angriffe in Echtzeit zu analysieren. Zudem muss es vor Konfigurationsfehlern gewarnt werden, die zu solchen Angriffen führen könnten. Außerdem muss eine Lösung Cyberkriminelle auf Endpunktebene davon abhalten, Konten auszukundschaften, und das Risiko für diese Angriffe somit minimieren.
Häufig nehmen Angreifer in Skripten gespeicherte Kennwörter ins Visier, die im Klartext oder in umkehrbarer Verschlüsselung vorliegen. Oder sie nutzen Gruppenrichtliniendateien aus, die sich in Domänenfreigaben wie Sysvol oder Netlogon befinden.
Eine Lösung wie Ranger AD hilft beim Auffinden dieser Kennwörter, damit das Sicherheitsteam Risiken beseitigen kann, bevor Angreifer sie ausnutzen. Zudem bieten Lösungen wie Singularity Identity Mechanismen, mit denen falsche Sysvol-Gruppenrichtlinienobjekte im Produktions-AD bereitgestellt werden können, die Angreifer täuschen und von Produktionsressourcen ablenken.
Angreifer können das SID-Verlaufsattribut (Windows Sicherheits-ID) mithilfe der SID-Injektionstechnik ausnutzen und sich dadurch lateral in der AD-Umgebung bewegen sowie ihre Zugriffsrechte erweitern.
Um dies zu verhindern, müssen Sie Konten identifizieren, für die im SID-Verlaufsattribut und dazugehörigen Berichten bekannte privilegierte SID-Werten festgelegt sind.
Delegierung ist eine AD-Funktion, mit der Benutzer oder Konten ein anderes Konto imitieren können. Wenn beispielsweise ein Benutzer eine Web-Anwendung aufruft, die auf einem Web-Server gehostet ist, kann die Anwendung die Anmeldedaten des Benutzers imitieren, um damit auf Ressourcen zuzugreifen, die auf einem anderen Server gehostet sind. Jeder Domänenrechner mit uneingeschränkter Delegierung kann sich mit den entsprechenden Anmeldedaten bei jedem anderen Service in der Domäne als ein Benutzer ausgeben. Leider missbrauchen Angreifer diese Funktion, um sich damit Zugang zu anderen Netzwerkbereichen zu verschaffen.
Durch die kontinuierliche Überwachung von AD-Schwachstellen und Delegierungsrisiken kann das Sicherheitsteam diese Schwachstellen identifizieren und beheben, bevor sie ausgenutzt werden können.
Apropos Delegierung: Privilegierte Konten mit uneingeschränkter Delegierung können unmittelbar zu Kerberoasting- und Silver Ticket-Angriffen führen. Daher müssen Unternehmen privilegierte Konten mit aktiver Delegierung erkennen und deren Aktivitäten protokollieren können.
Mit einer umfassenden Liste privilegierter Benutzer, delegierter Administratoren und Dienstkonten kann sich das Sicherheitsteam einen Überblick über potenzielle Schwachstellen verschaffen. In diesem Fall ist Delegierung nicht automatisch schlecht, denn die Funktion wird häufig für bestimmte Abläufe benötigt. Das Sicherheitsteam kann Angreifer jedoch mittels Tools wie Singularity Identity davon abhalten, diese Konten aufzuspüren.
Die Active Directory-Domänendienste (Active Directory Domain Services, AD DS) nutzen das AdminSDHolder-Objekt und den SDProp-Prozess (Security Descriptor Propagator, Propagierung der Verzeichnisdienst-Sicherheit), um privilegierte Benutzer und Gruppen zu schützen. Das AdminSDHolder-Objekt besitzt eine besondere Zugriffssteuerungsliste (Access Control List, ACL), die die Berechtigungen der Sicherheitsprinzipale regelt, die zu den integrierten privilegierten AD-Gruppen gehören. Um sich lateral zu bewegen, fügen Angreifer Konten zum AdminSDHolder hinzu und erhalten somit den gleichen privilegierten Zugriff wie andere geschützte Konten.
Tools wie Ranger AD schützen Unternehmen vor diesen Aktivitäten, da sie ungewöhnliche Konten in der AdminSDHolder-Zugriffssteuerungsliste erkennen und davor warnen.
Im AD nutzen Unternehmen Gruppenrichtlinien zur Verwaltung mehrerer operativer Konfigurationen. Dabei werden Sicherheitseinstellungen für die jeweilige Umgebung festgelegt und häufig auch Administratorgruppen konfiguriert. Zudem umfassen die Richtlinien Skripte zum Starten und Herunterfahren. Administratoren konfigurieren sie, um auf jeder Ebene unternehmensspezifische Sicherheitsanforderungen einzurichten, Software zu installieren sowie Datei- und Registrierungsberechtigungen festzulegen. Leider können Angreifer diese Richtlinien verändern und damit Persistenz im Netzwerk erzielen.
Wenn Änderungen an den Standardgruppenrichtlinien überwacht werden, kann das Sicherheitsteam Angreifer schnell erkennen und auf diese Weise Sicherheitsrisiken minimieren sowie privilegierten Zugriff auf das AD verhindern.
Unternehmen, die die gängigen Taktiken von AD-Angriffen kennen, können sich besser davor schützen. Bei der Entwicklung von Tools wie Ranger AD und Singularity Identity haben wir viele Angriffsvektoren berücksichtigt und zudem ermittelt, wie diese am besten erkannt und abgewehrt werden können.
Mit diesen Tools können Unternehmen effektiv Schwachstellen identifizieren, böswillige Aktivitäten frühzeitig erkennen und Sicherheitszwischenfälle beheben, bevor Eindringlinge ihre Zugriffsrechte erweitern und ein kleiner Angriff zu einer weitreichenden Kompromittierung wird. Der Schutz des Active Directory ist eine Herausforderung, die sich jedoch dank moderner AD-Schutzlösungen bewältigen lässt.
The post Die 10 besten Methoden zum Schutz des Active Directory appeared first on SentinelOne DE.
Popeax is a member of the Synack Red Team.
Often people think security research requires deep knowledge of systems and exploits, and sometimes it does, but in this case all it took was some curiosity and a Google search to find an alarmingly simple exploit using default credentials.
On a recent host engagement, I discovered an unusual login page running on port 8080, a standard but less often used HTTP port. The login page did not resemble anything I had encountered in the thousands of login pages across hundreds of client engagements.
Nothing new. Even for a seasoned member of the Synack Red Team (SRT), it isn’t unusual to discover commercial products that one hasn’t seen before.
The login page clearly showed the product as some type of IBM server. In the URL, I noticed the string “profoundui.” A quick Internet search identified an IBM resource that stated:
“Profound UI is a graphical, browser-based framework that makes it easy to transform existing RPG applications into Web applications, or develop new rich Web and mobile applications that run on the IBM i (previously known as the AS/400, iSeries, System i) platform using RPG, PHP, or Node.js.”
Given these facts, I Googled for “IBM AS/400 default password” and found IBM documentation that listed default AS/400 credentials.
As any elite hacker would do, I copied and pasted all six default usernames and passwords into the login form.
Sure enough the last set of credentials worked with user QSRVBAS and password QSRVBAS.
It was beyond the scope of the engagement to proceed any further to see how much access was possible. The vulnerability was documented in the report that was given to the client to be remediated.
After a few days, the client requested a patch verification of the vulnerability using Synack’s patch verification workflow. This workflow allows a client to request the SRT to verify an implemented patch within the Synack Platform. After receiving the patch verification request, I quickly verified the vulnerability was no longer exploitable.
It is hard to believe, but even today commercial products still ship and are installed with default credentials. Often the onus is on the end user to be aware they must change the credentials and lock the default accounts.
The ingenuity and curiosity of the SRT cannot be replicated by scanners or automated technology. The SRT members are adept at finding this type of vulnerability in custom and commercial applications, even while running in obscure locations, which leads to exploitable vulnerabilities being surfaced to the customer.
The post Exploits Explained: Default Credentials Still a Problem Today appeared first on Synack.
The dark side of the Internet, also known as the “dark web,” is an unregulated part of the Internet. In this way, the dark web can open doors to illegal activity. From credential theft to credit card fraud, there are no limits to what’s possible on the dark web. Luckily, there are steps you can […] EXECUTIVE SUMMARY:
The 3D printing enterprise suffered a mass data breach, losing custody of 228,000 subscribers’ data. Although the breach occurred in October of 2020, breach notification provider ‘Have I Been Pwned’ states that present circulation of this data in underground dark web communities could be problematic. The 3D printing group, known as Thingiverse, states that it is “taking this matter very seriously.”
Thingiverse, whose parent company is MakerBot, was developed for the maker community, which sees enthusiastic participation in Silicon Valley and beyond. Thingiverse serves as a repository where ‘makers’ can post 3D print model designs. As of two years ago, the platform reported more than two million registered users and facilitated more than 340 million object downloads. Since then, Thingiverse has expanded to new user populations and grown exponentially.
In addition to offering over 1.5 million design files, the site provides options for design customization via a Customizer tool, or via OpenSCAD. The platform also permits the uploading of models under the GNU General Public or Creative Commons licenses. In turn, the platform has transformed into a forum for certain kinds of creative types who wish to share and discuss work.
Nonetheless, the open nature of the platform renders it vulnerable to cyber breaches. In December of 2017, a bug within the comments section of the site enabled bad actors to quietly mine cryptocurrencies. The perpetrators leveraged the CPU power of visitors’ devices to solve certain mathematical problems required for mining Bitcoin and other forms of crypto.
This crypto mining episode in MakerBot’s history was eventually resolved. Security issues enabling the crypto mining were righted. User data was never compromised and those responsible for the hijacking were banned from the platform.
In contrast, the data breach at-hand involves 255 million lines of data and includes usernames, physical addresses and persons’ legal names. As noted earlier, 228,000 pieces of data are involved. And, according to Troy Hunt, who runs Have I Been Pwned, “228k is also just the unique *real email addresses*; on top of that are well over 2M addresses in the form of webdev+[username] @makerbot.com, alongside password hashes. The highest ID in the users table 2,857,418 so the scope is much bigger.”
Cyber security expert Troy Hunt first received information about this data breach by another cyber aficionado. After investigating the information cache on October 1st of 2021, the pair verified its validity and identified the source of the issue. Shortly thereafter, MakerBot, the parent company for Thingiverse, was contacted directly.
The company did not provide a swift response to the security incident report, prompting the white hat cyber investigators to Tweet about the breach. A spokesperson for MakerBot stated that teams attribute the leak to an internal human error. Members of the Thingiverse community are encouraged to update passwords as a precautionary measure. MakerBot also apologized for the incident and regrets any user inconveniences.
Cyber security breaches are growing increasingly common. In the past decade, more than 4 billion records have been stolen or leaked. A data breach can happen within any organization. Get breach prevention insights here. Also, be sure to read our article titled How to Improve Security After a Data Breach. Lastly, for more cyber security and business insights, analysis and resources, sign up for the Cyber Talk newsletter.
The post This data breach dumped thousands of files on the dark web appeared first on CyberTalk.
Login