Abschlussbericht Südwestfalen-IT Ransomware-Vorfall
Vom Zustand der Republik.
Ein Leser machte mich auf einen Blogartikel von Tomas Jakobs bei Jakobs Systems über den Abschlussbericht der Ransomware-Attacke bei der Südwestfalen IT aufmerksam. Die hatten sich den – vertraulichen – Abschlussbericht angesehen, der – offiziell – nicht öffentlich zugänglich ist.
Deshalb beziehe ich mich mal auf den Blogartikel und nicht auf den Abschlussbericht. Ich stimme in vielem zu, aber ein paar Details – nicht technische, sondern Wertungen – sehe ich etwas anders.
Beim gemütlichen Lesen des Abschlussberichtes des Ransomware Vorfalles bei der Südwestfalen IT (SIT) komme ich aus dem Kopfschütteln nicht raus. Neben den haarsträubenden Managementfehlern offenbart dieser weder Incident-Management noch eine gelebte Sicherheits-Kultur. Das i-Tüpfelchen bildet die Hinterlegung des Domänen-Administrator Passwortes in einer Gruppenrichtlinie.
Ja. Das riecht nach der üblichen Praxis in der deutschen Realität. Sicherheit wird als Schikane und unwichtig aufgefasst, so ein Thema von Freaks, die sich wichtig machen und patriarchalisch auftreten wollen.
Es wurde festgestellt, dass das Kennwort des Domänen-Administrators intra.lan\Administrator seit 2014 in einem Gruppenrichtlinienobjekt in entschlüsselbarer Textform hinterlegt war.
Da mein Blog auch von einigen Windows-Administratoren gelesen wird: Prüft bitte Eure ADs mit den frei verfügbaren Tools wie zum Beispiel PowerSploit2 oder veeam-creds3. Automatisiert können EventID Logs mit Graylog4 oder Chainsaw5 überprüft werden.
Da sind wir eigentlich schon im Problem und bei meiner etwas anderen Meinung. Eigentlich sollte ein so wichtiges und zentrales Element wie AD, das im Prinzip den Zugang zu allem steuert, überhaupt nicht so gebaut sein, dass man da mit „frei verfügbaren Tools“ irgendwas prüfen müsste. Der Blog-Artikel legt den Fokus – sicherlich zu Recht, ich will da in keiner Weise widersprechen – darauf, dass die bei der Südwestfalen-IT versagt haben. Ich halte das aber für zu kurz gesprungen. Für mich heißt das eben auch, dass der Microsoft-Kram eben nicht für solche Einsätze taugt, wenn man da ständig hinterherputzen und mit irgendwelchen Tools prüfen muss. Ich halte es für einen Fehler, Microsoft und deren Produktpolitik da aus der Kritik völlig herauszuhalten.
Eigentlich müsste da drinstehen, dass Microsoft-Software in so einem Umfeld wegen zu hoher Komplexität gar nicht oder nur mit Pflegestufe 2 eingesetzt werden darf. Es kann meines Erachtens nicht angehen, dass man ein so wichtiges, zentrales Verwaltungs- und Authentifikationselement mit „frei verfügbaren Tools“ betüddeln muss.
Die SIT operierte im Blindflug
Der Abschlussbericht offenbart: Bei der SIT gab es offensichtlich niemanden mit Kenntnissen über Funktionsweise und Betrieb von AD-Domänen. Best Practices zur Systemhärtung wurden nicht angewendet. Es erfolgte kein Monitoring und keine Auswertung kritischer Windows-EventIDs.
Ja.
Aber: Wo steht, wo ist spezifiziert, welche Qualifikation die Administratoren haben müssen, wieviel Arbeitsleistung aufgebracht werden muss, um den Kram zu pflegen?
Anders gefragt: Blogartikel und Bericht sind aus der Sicht von Sicherheitsprofis erstellt. Das Zeug wird aber an Laien verkauft. Woher soll der Laie wissen, was man dafür wissen und können muss, und wieviel Arbeit da reinzustecken ist? Ich hatte es doch im Blog gerade oft von Flugzeugen. Da gibt es Pilotenscheine, die man braucht, Handbücher und Checklisten, Musterberechtigungen, Pflichtscheine. An Windows dagegen lässt man jeden ran. Obwohl es nicht um Spielekonsolen geht, sondern die Infrastruktur und öffentlichen Dienst. Wie kann das sein?
Der Blog-Artikel macht sich lustig darüber, was für alberne Stellenausschreibungen die Südwestfalen-IT da gemacht hat
Alles wenig verwunderlich. Wer “Senior-Administratoren” mit Schwerpunkt “Zentrale Administration Rechenzentrum” sucht6 und mit TVöD 9b7 billigst abspeist, der bekommt geliefert wie bestellt.
[Mit Screenshot]
Dem stimme ich zu, ich habe mich ja selbst schon darüber lustig gemacht, wen die dort einstellen. Das ist alles so auf Verblödungsniveau angekommen, seit man die Frauenquote erfüllen musste. Das sind alles nur noch solche Versorgungs- und Unterhaltungsposten.
Aber: Wo ist der Beipackzettel von Microsoft, welche Fähigkeiten denn tatsächlich zu fordern sind?
Weiterhin im Schlafwandel
In Anbetracht der öffentlichen Kommunikation bleibt wenig Hoffnung. Die Pressemeldung vom 25.01.20248 steht im klaren Kontrast zu den Fakten des Abschlussberichtes. Ein paar Beispiele:
Die Südwestfalen-IT wurde Opfer eines kriminellen, professionell ausgeführten Ransomware-Angriffs…
Die Ransomware weist minimale Obfuskation sowie keine Anti-Tamper oder Anti-Debugging-Mechanismen auf. Die Windows-Defender AV-Lösung hat am Nachmittag des 29.10.2023 sogar mit Event IDs 11169 und 111710 rechtzeitig angeschlagen bevor die Täter das Laufwerk C: als Ausnahme anlegen konnten. Nur gab es auf Seiten der SIT offenbar niemanden, der davon Notiz nehmen, geschweige denn Maßnahmen ergreifen konnte. Die direkte Erkennbarkeit aller Strings innerhalb der Ransomware erleichterte die spätere Analyse erheblich, so der Abschlußbericht. Der Angriff ist von daher weder besonders, noch wirklich “professionell”.
Auch hier sehe ich das zu kurz gesprungen. Warum schlagen wir uns überhaupt mit Systemen herum, auf denen man Antiviren-Software braucht? Was ist das für ein Scheiß, bei dem man darauf achten und Gegenmaßnahmen ergreifen muss, weil irgendein System beim Scannen irgendwas gefunden hat, aufgrund des glücklichen Umstandes, dass der Schadcode selbst nicht gut geschützt war?
Warum steht da nur drin, dass die SIT geschlampt und geschlafen hat, aber nicht, dass der ganze Windows-Mist eigentlich qualitativer Schrott und nicht geeignet ist? Warum ist die Anforderung nicht so, dass man gar keinen Virenscanner braucht, nicht auf dessen Alarme achten und auch nicht reagieren muss?
Die Südwestfalen-IT dämmte den Angriff durch unverzügliches Herunterfahren und Isolieren der betroffenen Systeme ein.
Die Abfolge der Ereignisse dokumentiert, dass diese Aussage nicht zutreffend ist. Bereits am 18.10.2023 erfolgten über die kompromittierte VPN-Verbindung Probing und Anmeldung auf 190 interne Server. Tage vor einer Reaktion der SIT waren die Täter bereits im Netzwerk und konnten sich lateral mit vollen Adminrechten bewegen. Die Verschlüsselung von 961 Servern begann am Nachmittag des 29.10.2023 ab 15:40 Uhr. Die ersten akira_readme.txt Datein wurden nur wenige Minuten später ab 15:43 Uhr identifiziert. Die Verschlüsselung der Server lief ohne Unterbrechung bis 01:38 Uhr. Erst in der folgenden Nacht und frühen Morgen erfolgte das angeblich “unverzügliche” Herunterfahren und Isolieren der betroffenen Systeme. Wie Günter Born in seinem Artikel ausführt, sei das erst nach 6:30 Uhr erfolgt.
Mit vollen Admin-Rechten auf 961 Servern? Im Bericht ist von „961 Systemen“ die Rede. Nicht unbedingt Servern.
Den Zugang zum internen Netzwerk erlangten die Angreifer über eine softwarebasierte VPN-Lösung mit einer Zero-Day-Schwachstelle, die keine Multifaktor-Authentifizierung erforderte.
Nein, in der Cisco-VPN-Lösung gab es keine Zero-Day-Schwachstelle. Zero-Days sind definiert, dass es kein Fix oder Workaround seitens eines Herstellers gibt. Die gegenständliche VPN-Schwachstelle war aber seit einem Monat mit einem Update12 behoben.
Selbst ohne Multifaktor-Authentifizierung kamen offenbar einfach zu erratende Kennwörter zum Einsatz. Leider konnte ein Brute-Force-Knacken nicht mehr nachvollzogen werden, da die SIT über keine Log-Dateien vor dem 06.10.2023 verfügt. Diese wurden ohnehin von niemanden überprüft und auch sonst erfolgte kein Lock-Out oder Fail2Ban eines Accounts oder einer IP nach drei erfolglosen Anmeldeversuchen, wie normalerweise üblich.
Richtige Kritik, und doch etwas daneben, denn was wäre vor der Verfügbarkeit des Cisco-Patches gelaufen?
Warum kommt man überhaupt noch mit gewöhnlichen Passworten in ein VPN eines Behördennetzes?
Sicherheitslücken in der intra.lan ermöglichten es den Angreifern, die Rechte bis zur Domain-Administrationsberechtigung zu erhöhen.
Wie ausgeführt waren es keine Sicherheitslücken, sondern eine von der SIT selbst herbeigeführte, schlampige AD-Konfiguration mit dem Passwort des Domänen-Admins (dem mit der unveränderbaren SID) im Klartext in einer GPO, die zu einer Rechteausweitung führte. Die Eingabe von Credentials in der GPO wird von Microsoft seit 2014 verhindert. Der Umstand, dort ein funktionierendes Passwort vorzufinden, erlaubt weitergehende Schlüsse über das Mindset der SIT-Administratoren und deren Methodik.
Da fehlen mir jetzt selbst die Admin-Kenntnisse für den Microsoft-Kram, ich beschäftige mich ja wenn möglich nicht mit dem Microsoft-Kram, ich vermag gerade nicht nachzuvollziehen, was ein Klartextpassword in der Gruppenrichtlinie (oder überhaupt irgendwo) zu suchen hat.
Ob der neue Geschäftsführer bei der SIT ein neues Mindset einführen können wird? Bei den offenbarten Defiziten und nach der jüngsten Pressemeldung, die bereits mit dem neuen Geschäftsführer abgestimmt gewesen sein muss, habe ich meine berechtigten Zweifel. “SIT-Vertreter zeigten sich dennoch stolz auf ihr Team” schreibt Heise in seinem Newsticker.14 Von Einsicht keine Spur.
Warum der Abschlussbericht mit Kennzeichnung “Vertraulich” frei im Netz auf einer Forumsseite des Kreises Wermelskirchen zur Verfügung steht und die SIT-Pressemeldung so klar und deutlich als Lüge überführt, das bleibt erstaunlich.
Wie gesagt: Ich stimme dem Blogartikel zu, sehe darin keinen Fehler, aber es fehlt mir enorm etwas: Warum man Microsoft solche Software überhaupt abkauft.
Entweder muss die Software wirklich idioten- und laiensicher sein, und das müsste heißen, dass man sie unbeobachtet und ohne Virenscanner laufen lassen kann (was aber schon aufgrund des „Laufwerk C:“-Paradigmas aus frühesten MS-DOS, und wenn ich mich recht erinnere, auch CP/M-Zeiten stammt, zu denen ich noch Schüler war, kaum möglich ist), oder aber es gibt eine klare Anforderungsliste, in der knallhart drin steht, wieviel Administrationsleistung es braucht und über welche Qualifikationen die Administratoren verfügen müssen?
Warum macht man das nicht? Weil Qualifikationsanforderungen gegen Frauenförderung verstößt? Das Gender-Credo „quality is a myth“, Qualifikation nur ein Konstrukt weißer Fieslinge zur Ausgrenzung anderer?
Oder weil es dann nicht mehr jeder kauft?
Man hat etwas per brute force geknackt, weil die da wohl dämliche Passworte verwendet haben. Und die keine Überwachung von Brute-Force-Angriffen hatten.
Warum aber verwendet man überhaupt noch Systeme, die gegen Brute Force-Angriffe anfällig sind? Warum verwendet man keine Systeme, die man hinstellen kann und dann gar nicht zu betüddeln braucht, von Hand eingreifen, wenn einer angreift?
Freilich kann man sich fragen, warum da noch Passworte verwendet und schwache Passworte möglich sind.
Aber wo steht, wo ist spezifiziert, dass da Leute sein müssen, die das wissen?
Wo steht, dass hier nicht „quality is a myth“ gilt und deshalb nicht alles auf Kindergartenniveau spielen muss, damit die heilige Diversität stattfinden kann?
Letztlich nämlich erscheint mir auch der Original-Abschlussbericht von r-tec zwar nicht als falsch, aber vor allem als hilflos.
Denn viel mehr als „Ihr müsst besser auf die Virenscanner hören, mehr patchen, bessere Passworte wählen, und die vor allem nicht im Klartext irgendwo hinschreiben“ habe ich da jetzt auch nicht gefunden. Das hat so ein Aroma von „Gebt Euch halt mehr Mühe und bis zum nächsten Mal“. Nur so Kleinscheiß-Empfehlungen. Echte Konsequenzen, Schlussfolgerungen werden nicht gezogen. Mehr so ein „weiter so, halt öfter patchen“.
So wird das nichts mehr.