360° Penetrationstest: Kritische Schwachstellen im internen Netzwerk
360° Penetrationstest: Kritische Schwachstellen im internen Netzwerk
Viele Unternehmen lassen bereits ihre extern erreichbaren IT-Systeme regelmäßig auf Schwachstellen untersuchen und erhöhen damit ihre Resilienz gegenüber Angriffen aus dem Internet. Doch wie steht es um die interne Sicherheit des Firmennetzwerks, wenn ein Angreifer z. B. über Phishing einen Mitarbeiter-PC kompromittiert? Immerhin ist dies noch immer die häufigste Ursache für einen erfolgreichen Hackerangriff1.
In der Praxis offenbaren unsere internen Penetrationstests (in kurz: Pentest) oft gravierende und einfach zu findende Schwachstellen, welche Ransomware-Angriffe begünstigen und zu einer Kompromittierung des gesamten Firmennetzwerks führen können. Daher wollen wir mit diesem Artikel einen Einblick in einen Pentest geben, mit dem wir bereits vielen Kunden helfen konnten, ihr Sicherheitsniveau zu optimieren: Der 360° Pentest im internen Netzwerk.
Für wen ist ein 360° Pentest geeignet?
Unser 360° Pentest richtet sich an Unternehmen, die sich einen ersten Sicherheitseindruck im internen Netzwerk verschaffen wollen und bisher wenig Erfahrung mit professionellen Pentests gesammelt haben. Ein 360° Pentest fängt dort an, wo ein Schwachstellenscanner (z. B. Nessus oder Qualys) aufhört.
Hierbei werden möglichst viele sicherheitsrelevante Themenfelder im internen Netzwerk aus Sicht eines Angreifers betrachtet, die unserer Erfahrung nach häufig ausgenutzt werden. Er eignet sich aus diesem Grund ebenfalls für Unternehmen, die bisher nur einzelne Themenfelder im internen Netzwerk berücksichtigt haben (z. B. Schwachstellenscan oder Active Directory Audit), jedoch noch keinen Gesamteindruck erlangen konnten.
Welche Schwachstellen finden wir?
Der Pentest erfolgt sowohl aus Sicht eines unauthentifizierten Angreifers (Putzkraft-Szenario) als auch eines authentifizierten Angreifers (z.B. kompromittierter Mitarbeiter-PC). Dadurch werden Angriffspfade und Schwachstellen aus beiden Angreiferperspektiven aufgedeckt.
Der Fokus liegt auf der Identifikation der wichtigsten und kritischsten Schwachstellen, deren Behebung ein hohes Kosten-Nutzen-Verhältnis mit sich bringen. Dies betrifft vor allem Schwachstellen, durch die ein Angreifer sich im Netzwerk ausbreiten, auf Systeme zugreifen und seine Rechte erhöhen kann.
Folgende Themenfelder werden typischerweise bei einem 360° Pentest betrachtet:
- Active Directory & Passwortsicherheit
- Netzlaufwerksicherheit
- Patch Management & bekannte Schwachstellen
- Netzwerksegmentierung
Wir betrachten die verschiedenen Themenfelder und deren Schwachstellen hierbei nicht isoliert, sondern zeigen zudem auf, welche Angriffspfade sich durch eine Kombination der Schwachstellen ergeben können.
Sie möchten konkreter wissen, welche Schwachstellen und Angriffspfade wir in einem 360° Pentest ermitteln?
Hier ein Beispiel aus der Praxis:
Im Rahmen einer Netzlaufwerkanalyse wurde ein unsicher konfiguriertes Netzlaufwerk identifiziert, das den Zugriff ohne Anmeldedaten erlaubt. Die Analyse der auf dem Netzlaufwerk verwalteten Dateien führt zur Identifikation eines PDF-Dokuments, welches unter anderem das Klartextpasswort “SupportHans!64528” beinhaltet. Für das ebenfalls hinterlegte Benutzerkonto “hans” ist das entsprechende Passwort jedoch nicht mehr gültig - die getestete Anmeldung schlägt fehl.
Allerdings wird dieses Passwort in einer späteren Testphase im Rahmen eines sogenannten Passwort-Spray-Angriffs berücksichtigt. Hierbei werden die im Active Directory verwalteten Passwörter punktuell auf gängige schwache Passwörter, wie beispielsweise <FIRMENNAME>2024 überprüft. Beim Passwort-Spray-Angriff mit dem Passwort “SupportHans!64528” stellt sich heraus, dass ein administratives Benutzerkonto “hans_admin” dasselbe Passwort verwendet. Es handelt sich in diesem Fall um ein zusätzliches, administratives Benutzerkonto für den bereits bekannten Benutzer “hans” aus dem PDF-Dokument - ein klassischer Fall von Passwort-Wiederverwendung.
Im Rahmen einer weiteren Testphase werden gefährliche Privilegien im Active Directory untersucht. Hierbei fällt für den bereits kompromittierten Benutzer “hans_admin” auf, dass dieser zwar lediglich für Clientsysteme Administratorrechte besitzt, jedoch zusätzlich auch über die Berechtigungen zum Zurücksetzen von Passwörtern für bestimmte andere Benutzer verfügt. Dies ist eine beliebte Berechtigung unter Supportbenutzern, um für Mitarbeiter bei Bedarf neue Passwörter zu vergeben. In diesem Fall wurde jedoch darauf verzichtet, höher privilegierte Benutzer hiervon auszuschließen. Dadurch kann ein Angreifer im Kontext dieses vermeintlich niedrig privilegierten Administrators höher privilegierte Administratoren angreifen. Durch die Verkettung der unterschiedlichen Schwachstellen ist es so möglich, dass der Angreifer das Passwort eines Domain Admins nun zurücksetzt und damit die gesamte Domäne und alle darin verwalteten IT-Systeme kompromittieren kann.
Zudem ergaben die Überprüfungen der Netzwerksegmentierung, dass potentielle Angreifer aus dem Gäste-WLAN auf das interne Netzwerk zugreifen können. Der Zugriff auf das Gäste-WLAN wird zudem über ein einfach zu erratenes Passwort abgesichert. Die vorgestellte Angriffskette ist somit auch ausgehend aus dem Gäste-WLAN möglich, wobei die Ausnutzbarkeit zudem durch das schwache Passwort erhöht wird.
Wer führt den 360° Pentest durch?
Als fernao security force führen wir für unsere Kunden komplexe und professionelle Angriffssimulationen auf die gesamte Unternehmens-IT-Infrastruktur im Rahmen von Red Team Assessments, TIBER und TLPT durch. Diese Assessments werden oftmals verdeckt und „leise“ durchgeführt, sodass sie möglichst praxisnah erfolgen und auch die Prozesse zur frühzeitigen Angriffserkennung evaluieren. Diese Expertise nutzen wir auch in unseren 360° Pentests. Lediglich die Zielsetzung und die Vorgehensweisen unterscheiden sich hierbei.
Ist der 360° Pentest das Richtige für Sie?
Der 360° Pentest grenzt sich von anderen Security-Assessments ab, da er weder eine reine Simulation eines Hackerangriffs darstellt (Red Teaming) noch das Ziel verfolgt, einen bestimmten Themenbereich möglichst vollumfassend zu betrachten (z. B. AD Audit oder Schwachstellen-Assessment). Er bedient sich jedoch an Herangehensweisen beider Durchführungsformen und ermöglicht eine kosteneffizientere Bewertung des Sicherheitsniveaus für das gesamte interne Netzwerk, ohne auf relevante Themenbereiche zu verzichten.
Unser 360°-Ansatz bietet folgende Vorteile:
- Abdeckung mehrerer sicherheitsrelevanter Themenfelder
- Identifikation der wichtigsten und kritischsten Probleme
- Kontextbezogene Berücksichtigung von Schwachstellen
- Kosteneffiziente Bewertung des Sicherheitsniveaus
Andere Herangehensweisen sind womöglich besser geeignet, falls Sie
- Ihre sicherheitsrelevanten Baustellen aus vergangenen Pentests bereits kennen
- eine möglichst realitätsnahe und zielgerichtete Angriffssimulationen benötigen
- Ihre Angriffserkennung optimieren wollen (Blue Team)
- eine vollumfängliche Sicherheitsbeurteilung bestimmter Systeme oder Netzwerke benötigen
Diese Ziele sowie Ausgangslagen deuten auf ein bereits erhöhtes Sicherheitsniveau hin. Um den Reifegrad in diesen Fällen noch weiter zu erhöhen, bieten wir weitere maßgeschneiderte Security-Assessments an. Melden Sie sich gerne für ein persönliches Beratungsgespräch bei uns, damit wir einen geeigneten Ansatz für Ihr Unternehmen evaluieren können.
Was erhalte ich nach einem 360° Pentest?
Nach einem 360° Pentests erhalten Sie von uns einen Bericht, der alle ermittelten Schwachstellen logisch gruppiert und mit einem nachvollziehbaren Risiko für eine anschließende Priorisierung einstuft. Jede beschriebene Schwachstelle enthält Hintergrundinformationen, eine detaillierte Beschreibung inkl. Proof-of-Concept sowie konkrete Handlungsempfehlungen, um das Sicherheitsniveau zu erhöhen.
In der Management Summary erhalten Sie zudem eine Zusammenfassung der grundlegenden Probleme und eine Bewertung des allgemeinen Sicherheitsniveaus unter Berücksichtigung aller Themenbereiche. Der Bericht wird durch ein Excel-Tracking-Sheet ergänzt, das bei der Schwachstellenbehebung und weiteren Nachbereitung unterstützt.
Nach dem Pentest werden im Rahmen einer Abschlussbesprechung alle Schwachstellen durch unsere Berater vorgestellt und entsprechende Maßnahmen mit Ihnen diskutiert.
Was kostet mich ein 360° Pentest?
Wir rechnen nach tatsächlichem Aufwand ab. Erfahrungsgemäß sollten Sie für diesen Test ca. 12.000€ einplanen.
Fazit
Der 360° Pentest hilft Ihnen dabei, Ihr Sicherheitsniveau zu optimieren und Ihre Resilienz gegenüber potenziellen Hackerangriffen zu stärken. Der Ansatz zeichnet sich durch die Abdeckung mehrerer sicherheitsrelevanter Bereiche im internen Netzwerk aus sowie die kontextbezogene Berücksichtigung und Bewertung von Schwachstellen. Abhängig von Ihren Zielen und der jeweiligen Ausgangslage kann die fernao security force Ihnen zudem fortführende Leistungen und Services anbieten. Bei Fragen zu unserem 360° Netzwerk Pentest oder anderen Security-Assessments beraten wir Sie gerne in einem persönlichen Gespräch.
Weitere Informationen zu unseren Pentests finden Sie hier!
Das könnte Sie auch interessieren:
Webinar: “Ist mein Unternehmen sicher? Im Visier von Hackern. Wie man sich schützen kann.”
Webinar