FBI warnt vor Windows 7 und TeamViewer

Nach dem Vorfall in Oldsmar, einer kleinen Stadt in Florida, bei dem sich ein unbekannter Angreifer Zugang zum Netzwerk einer Wasseraufbereitungsanlage verschaffte und die Dosierung von Chemikalien auf ein gefährliches Niveau veränderte, hat das FBI am Dienstag eine Warnung verschickt, in der es auf drei Sicherheitsprobleme aufmerksam macht, die nach dem Hack der letzten Woche im Netzwerk der Anlage aufgetreten sind.

Der als „Private Industry Notification“ oder FBI-PIN bezeichnete Alarm warnt vor der Verwendung von veralteten Windows 7-Systemen, schlechten Passwörtern und der deutschen Desktop-Sharing-Software TeamViewer und fordert private Unternehmen sowie Bundes- und Regierungsorganisationen auf, interne Netzwerke und Zugangsrichtlinien entsprechend zu überprüfen.

Die FBI-PIN nennt ausdrücklich TeamViewer als Desktop-Sharing-Software als Sündenbock, nachdem die App als Einstiegspunkt der Angreifer in das Netzwerk der Wasseraufbereitungsanlage in Oldsmar bestätigt wurde.

Einem Bericht von Reuters zufolge sagten Beamte, dass sich der Eindringling am vergangenen Freitag bei zwei Gelegenheiten über TeamViewer mit einem Computer im Netzwerk der Wasseraufbereitungsanlage in Oldsmar verbunden hat.

Im zweiten Fall übernahm der Angreifer aktiv die Kontrolle über die Maus des Betreibers, bewegte sie auf dem Bildschirm und nahm Änderungen an den Natriumhydroxid-Werten vor, die dem Trinkwasser zugefügt wurden.

Obwohl der Betreiber die vom Hacker vorgenommenen Änderungen fast sofort wieder rückgängig machte, wurde der Vorfall sofort zu einem Streitpunkt und einer Diskussion unter Sicherheitsexperten.

Einer der häufigsten Punkte, der in Online-Diskussionen angesprochen wurde, war die Verwendung der TeamViewer-App, um auf Ressourcen der kritischen US-Infrastruktur zuzugreifen.

Mehrere bekannte Sicherheitsexperten kritisierten Unternehmen und Mitarbeiter, die die Software häufig für Remote-Arbeiten nutzen, und bezeichneten sie als unsicher und unzureichend für die Verwaltung sensibler Ressourcen.

Auch das Kölner Systemhaus Telonic schließt sich den Kritikern an:  „Diese Manipulation in den USA zeigt in erster Linie, wie einfach und schnell sich Hacker Zutritt verschaffen können und ist daher eher als Warnung zu sehen. Die Folgen können immens sein, und die Einfallstore sind durch das Home Office noch mannigfaltiger geworden“, warnt Andreas Schlechter, Geschäftsführer von Telonic.

Marty Edwards, Vice President of Operational Technology Security bei Tenable, kommentiert: „Der Angriff auf die Wasseraufbereitungsanlage der Stadt Oldsmar ist das, woraus Operations Technology (OT)-Albträume gemacht sind. Im Falle eines erfolgreichen Angriffs wären die Schäden katastrophal gewesen. Diese  Geschichte zeigt, wie schnell und verdeckt eine subtile und potenziell tödliche Veränderung vorgenommen werden kann. Genau aus diesem Grund warnt die Sicherheitscommunity seit mehr als zehn Jahren vor den steigenden Bedrohungen für OT.

Die Tage der isolierten OT-Netzwerke sind längst vorbei. An ihre Stelle ist eine hochdynamische und komplexe Umgebung aus intelligenter OT-Technologie, moderner IT und allem, was dazwischenliegt, getreten. Angreifer machen sich diese konvergenten Netzwerke zunutze, um sich seitlich von einem System zum anderen zu bewegen. Dies macht die Kompromittierung auch nur eines einzigen Geräts noch gefährlicher.

Glücklicherweise waren die Anlagenbetreiber in der Lage, die unbefugten Änderungen an den Natriumhydroxid-Werten sofort zu erkennen. Hätten sie nicht schnell gehandelt, hätte diese Geschichte ganz anders ausgehen können. Alle Betreiber kritischer Infrastrukturen – wie die Wasserversorgung – müssen in die Menschen, Prozesse und Technologien investieren, die erforderlich sind, um diese Systeme sicher zu halten. Dies war nicht der erste Angriff dieser Art und es wird sicher nicht der letzte sein.“

Während der PIN-Alarm des FBI keinen kritischen Ton oder Standpunkt gegen TeamViewer einnimmt, möchte das FBI, dass Organisationen des Bundes und der Privatwirtschaft die App zur Kenntnis nehmen.

„Abgesehen von seinen legitimen Einsatzmöglichkeiten erlaubt TeamViewer Cyber-Akteuren die Fernsteuerung von Computersystemen und das Ablegen von Dateien auf den Computern der Opfer, was es funktional ähnlich zu Remote Access Trojanern (RATs) macht“, so das FBI. „Die legitime Nutzung von TeamViewer macht die anomale Aktivität für Anwender und Systemadministratoren jedoch weniger verdächtig im Vergleich zu typischen RATs.“

Die FBI-Warnung fordert Unternehmen nicht ausdrücklich auf, TeamViewer oder andere Desktop-Sharing-Software zu deinstallieren, warnt aber davor, dass TeamViewer und ähnliche Software missbraucht werden kann, wenn Angreifer Zugriff auf die Zugangsdaten von Mitarbeitern erhalten oder wenn Remote-Access-Konten (wie die für den Windows-RDP-Zugang) mit schwachen Passwörtern gesichert sind.

Darüber hinaus warnt die FBI-Warnung auch vor der weiteren Verwendung von Windows 7, einem Betriebssystem, das am 14. Januar 2020 das Ende seiner Lebensdauer erreicht hat – ein Thema, vor dem das FBI US-Unternehmen bereits im letzten Jahr gewarnt hat.

Dieser Teil der Warnung wurde aufgenommen, weil die Wasseraufbereitungsanlage in Oldsmar noch Windows 7-Systeme in ihrem Netzwerk verwendete.

Obwohl es keine Beweise gibt, die darauf hindeuten, dass die Angreifer Windows 7-spezifische Fehler ausgenutzt haben, sagt das FBI, dass die weitere Verwendung des alten Betriebssystems gefährlich ist, da das Betriebssystem nicht unterstützt wird und keine Sicherheitsupdates erhält, was viele Systeme derzeit Angriffen über neu entdeckte Schwachstellen aussetzt.

Ein heute veröffentlichter Bericht von Cyberscoop weist jedoch auf die Tatsache hin, dass die Anlage in Oldsmar, wie auch viele andere Wasseraufbereitungsanlagen in den USA, oft unterfinanziert und personell unterbesetzt ist.

Während das FBI aus guten Gründen vor dem Einsatz von Windows 7 warnt, sind viele Unternehmen und US-Bundes- und Landesbehörden möglicherweise nicht in der Lage, etwas dagegen zu unternehmen, es sei denn, das obere Management investiert ernsthaft in die Modernisierung der IT-Infrastruktur, was vielerorts in nächster Zeit nicht zu erwarten ist.

In diesen Fällen empfiehlt das FBI eine Reihe von grundlegenden Sicherheits-Best-Practices, um die Bedrohungen einzudämmen, wie z. B.:

Verwenden Sie eine Multi-Faktor-Authentifizierung;

Verwenden Sie starke Passwörter, um die Anmeldeinformationen für das Remote Desktop Protocol (RDP) zu schützen;

Sicherstellen, dass Virenschutz, Spamfilter und Firewalls auf dem neuesten Stand, richtig konfiguriert und sicher sind;

Überprüfen Sie Netzwerkkonfigurationen und isolieren Sie Computersysteme, die nicht aktualisiert werden können;

Überprüfen Sie Ihr Netzwerk auf Systeme, die das Remote Desktop Protocol (RDP) verwenden, schließen Sie ungenutzte RDP-Ports, wenden Sie wo immer möglich eine Zwei-Faktor-Authentifizierung an und protokollieren Sie RDP-Anmeldeversuche;

Überprüfen Sie Protokolle für alle Remote-Verbindungsprotokolle;

Schulung von Anwendern, um Social-Engineering-Versuche zu erkennen und zu melden;

Identifizieren und sperren Sie den Zugriff von Anwendern, die ungewöhnliche Aktivitäten zeigen;

Halten Sie die Software auf dem neuesten Stand.

Update:

Mittlerweile hat TeamViewer eine Stellungnahme abgegeben:

„Das FBI hat am Dienstag ein Memo innerhalb der Sicherheits-Community verteilt und darin Bezug genommen auf den Fall der Wasseraufbereitungsanlage in Oldsmar. Dieses Memo liegt TeamViewer vor, aber wir respektieren die Geheimhaltungsstufe, mit der es versendet wurde und sehen daher davon ab, es weiter zu verteilen oder daraus zu zitieren. In dem Dokument warnt das FBI jedoch nicht pauschal vor der Nutzung von TeamViewer, sondern vor unsicherer Konfiguration von Remote Access Tools in Kombination mit veralteten, nicht mehr unterstützten Betriebssystemen und unvorsichtigem Umgang mit Passwörtern, da dies zu missbräuchlicher Verwendung der grundsätzlich legitimen Software führen kann. Diese Sichtweise teilen wir voll und ganz. Als global führender Anbieter von Konnektivitätslösungen haben wir höchste Sicherheitsmaßnahmen im Einsatz und bieten modernste Authentifizierungsmechanismen an. Außerdem empfehlen wir generell einen sehr vorsichtigen Umgang mit Passwörtern. Zudem hat TeamViewer in den letzten Jahren mit TeamViewer Tensor explizit eine Lösung für Großkunden und Unternehmen mit besonders hohen Sicherheitsanforderungen entwickelt, die aufgrund eines granularen Rollen- und Rechtesystems ermöglicht, dass TeamViewer-Verbindungen innerhalb von Organisationen transparent gemanaged werden können.

 TeamViewer ist mit den zuständigen US-Strafverfolgungsbehörden in enger Abstimmung bezüglich der Wasseraufbereitungsanlage in Oldsmar. Basierend auf einem kooperativen Informationsaustausch haben sorgfältige technische Analysen jedoch keine Hinweise auf verdächtige Verbindungen über unsere Plattform ergeben. Wir beobachten die Situation weiterhin sehr genau und tun unser Möglichstes, um die Ermittlungen zu unterstützen.“