Mögliche Angreifer können sich zur Ausnutzung aktueller Lücken zum Metasploit-Framework greifen, siehe Bild 1. Dabei handelt es sich um eine Sammlung von Programmen, die eigentlich dazu gedacht ist, Penetrationstests durchzuführen und die Sicherheit von Servern gegenüber bekannten Schwachstellen zu prüfen. Es läuft unter Unix-Betriebssystemen, kann aber zusammen mit dem Posix-Layer Cygwin auch unter Windows betrieben werden. Dafür gibt es einen fertigen Installer. Für die Nutzung des Metasploit-Frameworks sind keine Admin-Rechte erforderlich.
Das Framework unterscheidet zwischen Exploits und Payloads. Ein Exploit ist Programmcode, der eine Schwachstelle ausnutzt. Das Framework wird täglich um aktuelle Exploits ergänzt. Anhand des Namens lässt sich meist der zugehörige Microsoft-Security-Bulletin ablesen, siehe Bild 2.
Jeder Exploit kann mit einem Payload kombiniert werden, der die Fernsteuerung eines fremden Servers erlaubt. Für Windows-Rechner ist Meterpreter (PDF) besonders beliebt. Es erlaubt verschiedene Angriffe, etwa den Dump der gesamten Password-Hash-Datenbank des kompromittierten Rechners. Außerdem lässt sich jeder beliebige Prozess starten, beispielsweise cmd.exe, um eine Kommandozeile auf dem fremden Rechner zu bekommen, siehe Bild 3. Damit hat der Angreifer Zugriff auf alle Daten.
Auch wenn ein Server nicht aus dem Internet erreichbar ist, sollte man ihn immer auf dem neuesten Patchstand halten. Das Metasploit-Framework wird zwar mit der Kommandozeile bedient, dennoch kommen damit auch weniger versierte Benutzer zurecht. Dazu müssen sie nur eine Liste mit Kommandos abtippen, die sie von einem professionellen Angreifer erhalten haben.
- Der Feind im Haus: Wenn Mitarbeiter Daten stehlen
- Ungepatchte Intranetserver mit Metasploit angreifen
- So kommen illoyale Mitarbeiter an Passwörter von Kollegen
- Verschlüsselte Passwörter bieten in Windows-Netzwerken kaum Schutz
- So verschaffen sich Spione Hintertüren in Firmennetze
- So verschleiern Angreifer Hintertüren durch Tunnelung
- Fazit
Neueste Kommentare
1 Kommentar zu Der Feind im Haus: Wenn Mitarbeiter Daten stehlen
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Erst mal gründlich schlau machen!
„Das Beispiel Conficker zeigt, dass viele Unternehmen ihre Intranet-Server nicht regelmäßig updaten.“
Dieser Satz zeigt leider die Unwissenheit des Autors. Auch in einem System bei dem alle Windows-Updates eingespielt sind, kann sich der Conficker Wurm über Administrative Netzwerkfreigaben weiterverbreiten. Das -auch von Microsoft- vielbeschworene Windows-Update hilft nur gegen das Eindringen von außen (übers Internet).