Mehrstufige Suche nach Windows-Schwachstellen im Unternehmen

Schwachstellen-Scans optimieren

Das Scannen nach Windows-Schwachstellen sollte mehr als nur ein Häkchen in einer Box auf einer Checkliste sein. Sie sollten sich deswegen ausführlich mit den Tools für Schwachstellen-Scans beschäftigen, so dass Sie genau wissen, wie sie bedient werden müssen, um verlässliche Ergebnisse zu erzielen.

Außerdem sollten Sie die Nutzerrollen in Ihrem Unternehmen genau kennen und verstehen, so dass klar ist, wie sie sich auf das Ergebnis authentifizierter Scans auswirken. Das Durchführen authentifizierter Scans als Standardnutzer in einer Domain führt zu komplett anderen Ergebnissen, als wenn Sie diese mit Admin-Rechten ausführen. Es ist deswegen ratsam, beide Arten von Scans vorzunehmen.

Wenn dagegen nur begrenzte Scans nach Schwachstellen durchgeführt werden können, sollten die Ergebnisse eindeutig markiert werden. Das trifft etwa dann zu, wenn keine Scans mit den Rechten eines Domänen-Admins möglich sind. Wenn Sie jedoch die größtmögliche Zahl an Windows-Schwachstellen aufdecken wollen, dann sollten Sie sowohl mit lokalen als auch mit Domänen-basierten Admin-Rechten scannen.

Authentifizierte versus nicht authentifizierte Scans

Die IT-Abteilung sollte sowohl Scans nach Schwachstellen mit Authentifizierung als auch ohne durchführen. Nur so lässt sich die maximale Zahl von Lücken finden. Alles andere ist nicht ausreichend.

Wenn Scans ohne Authentifizierung durchgeführt werden, kann sich das dazu verwendete Tool nicht an einem Windows-System anmelden. Dadurch sieht es nur, was ein Außenstehender sehen würde. Im Gegensatz dazu zeigt ein authentifizierter Scan, was ein so genannter Trusted User sieht, also was Ihre Mitarbeiter und Kollegen vorfinden. Dazu wird ein Nutzername sowie ein zugehöriges Passwort benötigt, damit sich der Scanner an jedem Windows-System anmelden und dort eine deutlich intensivere Suche nach Schwachstellen durchführen kann.

Die Ergebnisse von authentifizierten und nicht authentifizierten Scans unterscheiden sich erheblich. Deswegen ist es ratsam, zwischen beiden Scan-Varianten zu wechseln.

Zum Beispiel werden bei einem nicht authentifizierten Scan nach Sicherheitslöchern in Windows-Systemen häufig die folgenden Lücken entdeckt:

• Eine vergleichsweise kleine Zahl an fehlenden Windows-Patches. Dazu gehört allerdings auch das Update zur Sicherheitslücke MS17-010, die als Eternal Blue bekannt wurde und die in zahlreichen Ransomware-Attacken ausgenutzt wird. Neben dieser Lücke werden aber selten andere große und schwerwiegende Patch-Fehler entdeckt.
• Freigaben im Netzwerk, die für jeden zugänglich sind, der mit seinem Computer mit dem Netz verbunden ist.
• Schwache Windows-Passwörter sowie aktivierte FTP-Dienste (File Transfer Protocol).

Bei einem authentifizierten Scan nach Windows-Schwachstellen sehen die Ergebnisse dagegen komplett anders und weit bedrohlicher aus. Neben den bereits genannten Resultaten werden nicht selten auch folgende Schwachstellen aufgespürt:

• Viele weitere fehlende Patches für Windows und andere Anwendungen von Microsoft. Sie lassen sich zum Beispiel mit Hilfe von Metasploit leicht ausnutzen, um volle Zugriffsrechte aus der Ferne zu erlangen.
• Fehlende Updates für zahlreiche Programme von Drittanbietern. Beispiele dafür sind der Adobe Reader, Java und Mozilla Firefox. Dadurch können erhebliche Probleme auf den Endpoints auftreten, wenn die Angreifer Zero-Day-Malware einsetzen. 
• Netzwerkfreigaben, auf die nur eingeloggte Anwender zugreifen können. Sie enthalten oft zahlreiche sensible Informationen aus dem jeweiligen Unternehmen.
• Mangelhafte Richtlinien für Windows-Passwörter in der gesamten Domäne. Dazu gehören zu schwache Vorgaben für Passwörter sowie ein fehlende automatische Sperre, wenn ein Eindringling entdeckt wird.

Schwachstellen-Scans sind keine einfache Aufgabe

In anderen Berufen, wenn etwa der Einsatz eines speziellen Messgerätes oder eines Oszilloskops erforderlich ist, werden die Mitarbeiter in der Regel ausführlich geschult. In manchen Fällen muss das Personal sogar zertifiziert werden, wenn komplexe Geräte produktiv genutzt werden sollen. In der Informationstechnik und in der IT-Sicherheit ist dies häufig nicht der Fall. Es ist äußerst wahrscheinlich, dass die meisten Mitarbeiter, die Schwachstellen-Scans durchführen, nie an einer Schulung oder einem anderen formellen Training für die verwendete Software teilgenommen haben.

Das liegt unter anderem daran, dass die meisten Hersteller den Eindruck erwecken, dass ihre Werkzeuge sich ganz einfach und ohne großartige Einarbeitung mit der Maus bedienen lassen. In den meisten Fällen trifft das in der Praxis aber nicht zu. Normalerweise sind zahlreiche Optionen vorhanden, die einen mehr oder weniger großen Einfluss auf die Ergebnisse der Scans haben. Dazu gehören auch Einstellungen, die bestimmen, welche Arten von Scans überhaupt durchgeführt werden und wie dann die Ergebnisse aufbereitet werden können. Die Suche nach Schwachstellen ist alles andere als trivial. Die meisten Menschen behandeln sie aber so.

Nur wenn sich die IT-Abteilung dieser Probleme bei der Suche nach Sicherheitslücken in Windows-Systemen bewusst ist und die Unterschiede zwischen authentifizierten und nicht authentifizierten Scans genau kennt, lassen sich solide Ergebnisse erreichen, die alle in sie gesetzten Erwartungen auch wirklich erfüllen. Die Art der durchgeführten Tests muss dabei immer wieder angepasst werden, um die vorhandenen Windows-Systeme auch tatsächlich von allen Seiten auf Schwachstellen abzuklopfen. Genau dies erledigen sonst Ihnen weniger wohlgesonnene Zeitgenossen für Sie.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!