Unsere Trustworthy Computing Group hat die Software Vulnerability Exploitation Trends (PDF Download) veröffentlicht. Die Studie nimmt längerfristige Veränderungen rund um IT-Sicherheit unter die Lupe. Die Kollegen haben Sicherheitslücken in Microsoft-Produkten und ihren Missbrauch von 2006 bis 2012 überwacht sowie untersucht und dabei nach Trends Ausschau gehalten – und davon gleich mehrere entdeckt:

• Die Anzahl der gefährlichen Remote Code-Ausführungen (RCE, Remote Code Execution) ging im Lauf der letzten Jahre zurück
• Sicherheitslücken werden direkt nach Verfügbarkeit des Patches am häufigsten ausgenutzt. Dieses als „Exploit Wednesday“ (folgend auf den „Update Tuesday“) bezeichnete Phänomen ist schon seit längerem bekannt.
• Schwachstellen im Bereich Stack Corruption waren in der Vergangenheit mit die am häufigsten genutzten Sicherheitslücken. Das hat sich deutlich geändert: Im Untersuchungszeitraum von 2006 bis 2012 fiel die Anzahl der ausgenutzten Stack-Corruption-Lücken von 43 Prozent auf sieben Prozent.
• Inzwischen sind „User after free“-Schwachstellen die am häufigsten genutzten Angriffswege. Dabei wird ein eigentlich freigegebener Speicherbereich erneut referenziert, was zu einem Programmabsturz führen kann. Angreifer können diese Fehler unter Umständen nutzen, um eigenen Code auszuführen.
• Mit dem Aufkommen zusätzlicher Sicherheitsfunktionen wie Adress Space Layout Randomization (ASLR) und Data Execution Prevention (DEP) haben sich auch die Angreifer weiterentwickelt. Immer häufiger enthalten Attacken entsprechende Maßnahmen, mit denen sich die Schutzmaßnahmen umgehen lassen.

Neben diesen allgemeinen Punkten konnten die Forscher auch konkrete Anhaltspunkte erarbeiten. Das betrifft beispielswiese die Infektionsraten von unterschiedlichen Betriebssystemen. Die 32-Bit-Version von Windows XP führt die Statistik mit einem Wert von 11,3 CCM (Computers-Cleand-Per-Mille) an. CCM gibt die Zahl der Systeme an, die pro 1000 Starts unseres Malicious Software Removal Tool (MSRT) gesäubert wurden. Dank dieser Metrik können unsere Forscher sehr genau die Attacken auf einzelne Versionen der Betriebssysteme nachvollziehen und vergleichen. Zum Vergleich: Die 32-Bit-Version von Windows 7 liegt bei lediglich 4,5 CCM, die 64-Bit-Verson von Windows 8 sogar nur bei 0,2 CCM.

In der Studie geben unserer Experten zudem Tipps, wie sich die Angriffsfläche der eigenen Systeme weiter verringern lässt. Wie der CCM-Vergleich zeigt, lohnt sich in jedem Fall ein Wechsel auf ein aktuelles Betriebssystem. Gleiches gilt für Programme und Sicherheitsupdates – hier sollten Sie in jedem Fall auf dem Laufenden bleiben. Zusätzlich lassen sich Windows-Applikationen mit Hilfe des Enhanced Mitigation Experience Toolkit (EMET) weiter gegen Angriffe absichern. Weitere Informationen zum EMET haben wir auf dieser Seite zusammengestellt.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.   

Liebe Freunde des TechNet Newsflash Podcasts,

die Newsletter-Ausgabe 14 steht ab sofort bereit - mit den Moderatoren Denis Mrksa und Heike Ritter.

TechNet Newsflash als mp3.

Link zum RSS Feed:

http://www.microsoft.com/feeds/technet/de-de/newsflash/tn_flash_podcast_archiv.xml

Wir wünschen viel Freude beim Anhören und mit den aktuellen Angeboten und Veranstaltungen!

Euer TechNet-Team

Windows Server 2012 Essentials löst ja bekanntermaßen SBS Standard ab. Zwar beinhaltet die nun auf der aktuellen Windows Server 2012-Plattform beruhende Lösung keinen Exchange Server mehr; dafür haben Kunden einen preiswerten Einstieg in die Server-Welt (vor allem um ihre Clientsysteme zu überwachen und zu sichern, zentral auf Dateien zuzugreifen, mobile Mitarbeiter anzubinden etc) und wesentlich mehr Möglichkeiten, eine skalierbare Kommunikationsplattform zu integrieren - sei es nun mit Office365, hosted Exchange oder einem eigenen Exchange Server.

Dass das bei kleinen und mittelständischen Kunden in Deutschland gut ankommt, zeigt u.a. diese Kundenreferenz der Intraproc GmbH. Mit Hilfe von Windows Server DC inklusive Hyper-V und Windows Server Essentials - u.a. zum Backup und für den mobilen zentralen Zugriff der Mitarbeiter auf Unternehmensdaten - konnte die bestehende Infrastruktur nicht nur konsolidiert sondern dabei auch Hardwarekosten um mehrere tausend Euro sowie die Stromkosten sogar um bis zu 50% gesenkt werden.

Wie gerade kleine Unternehmen mit Windows Server Essentials-Lösungen ihre IT flexibel und kostengünstig gestalten können, beweist diese Microsoft Partnerreferenz.

Windows Server 2012 Essentials (die neueste Version von Windows Small Business Server Essentials) ist ideal als erster Server für kleine Unternehmen mit bis zu 25 Benutzern geeignet. Die Software bietet eine kosteneffiziente und benutzerfreundliche Lösung für den Schutz von Daten, die Organisation von geschäftlichen Informationen und den Zugriff darauf von praktisch überall aus, die Unterstützung der geschäftlich benötigten Anwendungen sowie die schnelle Verbindung mit Onlinediensten für E-Mail und Sicherung.

Bereits heute testen können Sie auch die - voraussichtlich noch im Kalendarjahr 2013 erscheinende - Windows Server 2012 R2 Essentials-Version. Dem Vernehmen nach sind dann u.a. durch virtualisiertes Deployment auch Hyper-V-Replica (zur schnellen Wiederherstellung meiner Daten nach dem Totalausfall meiner IT) Szenarien realisierbar.

HTTPS ist hoffentlich jedem bekannt: Die Verbindung zwischen Server und Endgerät wird verschlüsselt, Lauscher haben schlechte Karten. Zwar gibt es Wege, die Verschlüsselung auszuhebeln, diese setzen allerdings meist eine aufwändige Man-in-the-Middle-Umgebung voraus. Einfacher geht es, um es sarkastisch auszudrücken, zumindest laut dem Sicherheitsforscher Krzysztof Kotowicz, wenn das Opfer die Amazon-1-Click-Erweiterung (erhältlich für Firefox und Chrome) in seinem Browser installiert hat. Die Erweiterung ist per se nützlich, vereinfacht sie doch das Einkaufen auf der Amazon-Seite.

Im Hintergrund sichert sich die Extension bei der Installation aber nicht nur zahlreiche Berechtigungen (etwa Zugriff auf alle Daten oder Informationen in der Zwischenablage), sondern geht auch recht großzügig mit der Privatsphäre des Nutzers um. Laut Kotowicz schickt die Erweiterung jede besuchte Webseite, selbst wenn diese per HTTPS aufgerufen wird, zu Amazon (allerdings sind die Daten glücklicherweise verschlüsselt). Das Surfverhalten wird also gänzlich transparent.

Anders sieht es dagegen bei der SIA-Analysefunktion aus, die ebenfalls Teil der Erweiterung ist. Wie der Sicherheitsforscher herausfand, erweitert diese Funktion alle besuchten Webseiten um ein eigenes Skript. Problematisch dabei ist allerdings, dass laut dem Forscher auch die Adressen per HTTPS-verschlüsselter Webseiten im Klartext an den Analysedienst Alexa liefert.

Ein richtiges Sicherheitsproblem wird es, wenn ein Angreifer die Erweiterung für eigenen Zwecke nutzt. Laut Kotowicz ist es relativ einfach, diese Funktion zu übernehmen. Laut dem Forscher werden alle relevanten Daten im Klartext übertragen, entsprechend einfach ist es für einen Angreifer, diesen Informationen zu lauschen. Laut dem Forscher lassen sich keine Daten ändern, dafür erhält ein Angreifer aber sensitive Daten wie Tokens, Session IDs, E-Mail-Inhalte oder Inhalte von Google-Drive-Dokumenten.

Zwar setzt diese Attacke voraus, dass die Erweiterung in Google Chrome installiert ist, laut der offiziellen App-Seite im Chrome Web Store sind dies aktuell aber immerhin 1 790 789 Nutzer. Die Empfehlung des Forschers ist es, die Erweiterung zu deinstallieren, bis Amazon entweder alle Verbindungen per HTTPS leitet oder die Analysefunktionen komplett entfernt. Laut einem Bericht von heise security hat Amazon inzwischen offenbar reagiert und zumindest die Übertragung der von der Erweiterung benötigten Konfigurationsdateien abgesichert. Würde ein Angreifer diese Dateien modifizieren, könnte er die Extension anweisen, sämtliche HTTPS-Verkehr auszulesen.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.  

Mit Windows Server 2012 Hyper-V und System Center 2012 SP1 hat Microsoft eine wirklich mächtige Lösung am Start, auch so genannte mission-critical Workloads zu virtualisieren. Die zum Teil massiven Verbesserungen in puncto Skalierbarkeit, Speicher und Netzwerke lässt kaum noch Kundenwünsche offen.

Immer wieder höre ich aber auch: "Ja aber... Wir virtualisieren mit VMware... Gibt es Möglichkeiten auch für mich, jetzt mal Hyper-V zu testen...". Die Antwort ist einfach: JA. Testdownloads rund um Windows Server, Hyper-V und System Center gibt es auf TechNet http://technet.de.

An dieser Stelle möchte Sie aber auch auf zwei interessante Tools aufmerksam machen:

Der Microsoft Virtual Machine Converter (MVMC) ist eine von Microsoft supportete, frei erhältliche Lösung, um VMware-basierte VM und Virtual Disks zu Hyper-V-basierten VM und VHDs zu konvertieren. Ideal für alle IT Pro, die eine kleinere Anzahl an VMs auf die aktuelle Microsoft Virtualisierungsplattform migrieren möchten.

Details dazu finden sich hier http://technet.microsoft.com/de-de/library/hh967435.aspx

Zum Download des MVMC Solution Accelerator

http://www.microsoft.com/en-us/download/details.aspx?id=34591

Das MVMC Automation Toolkit (MAT) hilft für die ganz große Lösung: "The MAT can be run from a single coordinator machine, known as the Control Server which orchestrates the multiple ongoing conversions. For even greater scale you can use multiple Helper Nodes each running MVMC and managed by the Control Server. The Helper Nodes can run within VMs themselves."

http://gallery.technet.microsoft.com/Automation-Toolkit-for-d0822a53

Anbieter von Sicherheitslösungen verwenden gerne das (latent überstrapazierte) Schlagwort APT, kurz für Advanced Persistent Threats. Dies sind Angriffe auf Netzwerke, die eine dauerhafte, nicht zu entdeckende Infektion zum Ziel haben und sich dabei ausgefeilter Angriffsmethoden bedienen. Da diese Themen auch immer wieder gerne von der Presse aufgegriffen werden, ist es kein Wunder, dass APTs auch bei den IT-Verantwortlichen weit oben auf der Sorgenliste steht.

Hier bei Microsoft sind wir mit dem Begriff APT nicht ganz glücklick. Das liegt vor allem daran, dass der Begriff zu weitläufig ist und für eine Vielzahl unterschiedlicher Angriffe verwendet wird. Dadurch ist es schwer, konkrete Gegen- und Schutzmaßnahmen zu entwickeln oder die Bedrohung wirklich zu verstehen. Die meisten Angriffe, die wir in diesem Bereich sehen, sind zudem nicht technisch ausgereifter als die durchschnittlichen Attacken im Web – insofern leitet das Wort „Advanced“ (also „fortschrittlich) etwas in die Irre.

Wir versuchen es daher mit einer anderen Umschreibung, den „gezielten Attacken durch entschlossene Angreifer“. Das ist deutlich länger und als Abkürzung weniger sexy, trifft aber meist den Kern. Eine Vielzahl von Angriffen erfolgt gezielt auf Unternehmen und setzt auf den Missbrauch von bekannten Schwachstellen, schlecht gepatchter Systeme, schwachr Passwörter oder Social Engineering.

Um diese Themen für IT-Verantwortliche greifbarer zu machen, haben wir drei neue Whitepaper sowie eine Reihe von Videos erstellt. Die Whitepaper:

• Determined Adversaries and Targeted Attacks
• Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft Techniques
• Best Practices for Securing Active Directory

Dazu kommen fünf verschiedene Videos (alle auf dieser Website zu finden), in denen wir verschiedene Angriffe und Szenarien genauer erklären.

1. Introduction to Determined Adversaries and Targeted Attacks: Dieses Video liefert Hintergrundinformationen zu den Attacken. Es stellt zudem den Kontext her für die komplette Videoserie.
2. Mitigating Pass-the-Hash Attacks: Pass-the-Hash-Angriffe sind relativ alt, aber immer noch effektiv. Patrick Jungles von der Trustworthy Comptuing Group erklärt, wie diese Angriffe funktionieren und benennt bekannte und bewährte Schutzmechanismen.
3. Anatomy of a Cyber-Attack, Teil 1: Im ersten Teil dieses längeren Videos zeigt Sean Finnegan, der CTO der Microsoft Consulting Services Cybersecurity Practice, wie eine typische Attacke abläuft und wie Angreifer vorgehen.
4. Anatomy of a Cyber-attack, Teil 2: im zweiten Teil führt Sean Finnegan den Beitrag weiter fort und zeigt, wie die Angreifer entschlossen und gezielt vorgehen.
5. Importance of Securing Active Directory: Active Directory (AD) ist in den meisten Unternehmen eine der wichtigsten Anwendungen. Im Video erklärt Bret Arsenault, der Microsoft CISO, wie man sein AD vor gezielten Attacken schützen kann.

Der aktuelle TechNet Newsflash steht für alle Podcast-Freude wieder zum Anhören bereit!

Viel Freude mit den aktuellen Angeboten, Veranstaltungen und Webcasts aus der Newsletter-Ausgabe Nummer 13.

TechNet Newsflash als mp3.

Links zum Abonnieren:

Link zum RSS Feed: http://blogs.technet.com/b/germany/rss.aspx?Tags=TechNet+Flash+Podcast
Link zum iTunes Store: https://itunes.apple.com/de/podcast/technet-blog-deutschland-technet/id655620788?l=en

☁ Heike

Noch auf Windows Server 2003? Puh... dann wird es aber mal Zeit für ein Update oder? Nicht wegen des bevorstehenden Supportendes (Stichwort: Sicherheit!). Auch Performance und laufende Kosten sind natürlich ein Thema. Ganz witzig aber richtig werden diese und weitere Argumente in diesem Kurz-Video dargestellt.

Auf ein tolles Video - vor allem weil es auf die neuen technischen Möglichkeiten von Hyper-V in Windows Server 2012 R2 eingeht - haben mich jetzt die Kollegen von DELL Deutschland aufmerksam gemacht. In dem rund 80 Minuten langen Screencast erläutert Microsoft MVP (= Most Valuable Professional) Carsten Rachfahl, auf welche Feature sich Virtualisierungsexperten schon heute freuen dürfen. Mit freundlicher Genehmigung jetzt hier im Blog eingebunden.

Interesse geweckt? Dann kann ich noch die folgenden Links empfehlen.

• Windows Server 2012 R2 Testversion herunterladen
• Was ist neu in Windows Server 2012 R2 - Whitepaper (engl.)