Impulse für die (Neu-) Ausrichtung Ihrer IT – Let´s talk about IT

Die vergangenen Monate waren vor allem von der Reaktion auf ein sich sehr schnell veränderndes Umfeld geprägt, das strategische Planungen nahezu unmöglich gemacht hat. Das Format dieser Ausgabe unterscheidet sich etwas von den Dialogen der vorangegangenen Podcasts. Unsere vier Experten aus den Bereichen Account Management, Consulting, Kundenbetreuung Mittelstand und Protection & Security beleuchten zahlreiche Themen, die Impulse für eine strategische Neuausrichtung der eigenen IT sein können.

avatar
Phil Marx
avatar
Christian Blaue
avatar
Thomas Schaper

Unser beliebter Podcast „Let´s talk about IT“ kehrt zurück – als interessanter Expertentalk auf YouTube.

Moderiert von Christian Blaue (Teamleiter Regional Account Management) arbeiten Patrick Kern (Teamleiter Consulting), Phil Marx (Teamleiter Kundenbetreuung Mittelstand) und Thomas Schaper (Teamleiter Protection & Security) die Herausforderungen der vergangenen 18 Monate auf.

Dieser Zeitraum war vor allem von der Reaktion auf ein sich sehr schnell veränderndes Umfeld geprägt, das strategische Planungen stark erschwert hat. Nachdem wir nun in einer Phase des Übergangs zur Normalität sind, können diese Überlegungen aber wieder in den Vordergrund treten. Unsere Experten beleuchten in ihrem Talk verschiedene Themenbereiche, die hierfür als Denkanstöße dienen können.

Dabei wurden von den Bereichen Home Office und „New Work“ über moderne Cloudstrukturen und Security-Aspekte bis hin zu Formen zukünftiger Arbeitsmodelle zahlreiche Themen behandelt, die bei einer zielgerichteten Neuorientierung unbedingt mitgedacht werden sollten. An Beispielen wird dargelegt, welche Lösungen verschiedene Organisationen für Ihre Herausforderungen gefunden haben, welche Chancen sich derzeit auch bieten und welche Vorteile der intelligente Einsatz moderner IT-Systeme für kleinere und größere Umgebungen bringt.

Wir hoffen, dass wir mit unserem neuen Format einige Impulse und Hilfestellungen bieten können und wünschen gute Unterhaltung beim Schauen des Videos!

Posted on

VMware vSphere 7.0U2 verliert Zugriff auf SD-Karten

Beim Betrieb von vSphere 7 Update 2 auf einer SD-Karte kann es unter Umständen dazu kommen, dass das Betriebssystem den Zugriff auf selbige verliert und der ESXi-Host einfach einfriert.

Problem

Hierbei stehen durch den Verlust des Zugriffs auf die SD-Karte die Systempartitionen nicht mehr zur Verfügung. Dadurch wird es unmöglich, die VMs zu verwalten. Laufende VMs sind zwar weiterhin funktional, können aber nicht mehr herunter- und hochgefahren oder auf einen anderen Host migriert werden.

Die CPU-Last des ESXi-Hosts steigt kontinuierlich an, so dass schlussendlich die Leistung und nach einiger Zeit auch die Funktionalität der VMs betroffen ist. Eine Evakuierung (z.B. durch den Wartungsmodus) ist nicht möglich, es bleibt lediglich ein harter Reset als letzte Option. Ist in der Umgebung ein vCenter mit aktivem HA vorhanden, werden die VMs anschließend auf einem anderen Host neu gestartet.

Workaround

Aktuell gibt es nur einen temporären Workaround. Dieser setzt Kenntnisse und Zugriff auf die Konsole des ESXi-Hosts voraus:

Das Ausführen von 

esxcfg-rescan -d vmhba32

führt dazu, dass tote Pfade zur SD-Karte verworfen werden und das Gerät erneut gescannt wird. Der Befehl muss unter Umständen mehrfach in einem Abstand von mehreren Minuten ausgeführt werden, solange bis keine Fehler mehr auftreten.

Nach einem anschließenden Neustart der Management Agents können die VMs vom Host evakuiert werden. Ein kontrollierter Reboot des Hosts ist nun möglich.

Der Verbindungsverlust zur SD-Karte tritt nach 24 bis 48 Stunden erneut auf und das Prozedere beginnt von vorn.

Lösung

Eine Lösung mittels eines Updates oder Patches ist bisher noch nicht gegeben. VMware hat die Behebung des Problems für einen zukünftigen Patch angekündigt. Ein konkretes Release-Datum gibt es bisher nicht.

„VMware engineering has a fix that will be in the next release of 7.02 P03 which is planned for sometime in July 2021.“

VMware,

Sichere Abhilfe schafft momentan nur ein Downgrade (sofern möglich) oder die Neuinstallation des ESXi-Hosts mit vSphere 7.0U1.

Der Betrieb von vSphere 7.0U2 auf internen SSD- oder HDD-Medien ist problemlos möglich.

Update

Patch 7.02 P03 wurde zwischenzeitlich veröffentlich, konnte das Problem allerdings nicht beheben.
Die Lösung wird mit Version 7.0U3 erwartet. Eine offizielle Bestätigung seitens des Herstellers fehlt hierzu allerdings noch.

Unterstützung gewünscht?

Sie benötigen Unterstützung oder Beratung in diesem oder anderen Themen? Wir unterstützen gerne.

Weiterführende Informationen zum Thema Servervirtualisierung gibt es hier.

Quellen

Problem: https://kb.vmware.com/s/article/83963

Workaround: https://communities.vmware.com/t5/ESXi-Discussions/SD-Boot-issue-Solution-in-7-x/td-p/2852027

Posted on

Sophos Firewall zur Abwehr von Ransomware

Cyberkriminelle scannen Netzwerke mittlerweile genau so professionell wie Penetration-Tester nach potentiellen Schwachstellen und Angriffspunkten. Angriffe werden immer raffinierter und effizienter: Hacker nutzen Sicherheitslücken in Netzwerken und Systemen aus – und die Unternehmen bleiben auf dem Schaden sitzen. In Deutschland betragen die Kosten im Durchschnitten 420.000 EUR. Deshalb müssen Firmen und öffentliche Einrichtungen ihre IT-Security-Strategien und -Verteidigungslinien immer wieder neu überdenken und anpassen. In der aktuellen Studie der Sophos Labs „The State of Ransomware 2020“ gaben die Hälfte der befragten Unternehmen in 26 Ländern an, im vergangenen Jahr Opfer von Ransomware geworden zu sein.

„Wenn Sie im Netz nach dem Schlagwort „Ransomware-Angriffe“ suchen, werden Sie jede Woche neue Meldungen zu erfolgreichen Angriffen finden“, so der Sales Engineer und Firewall-Experte Björn Zackenfels (Sophos). „Zuletzt hat der Kaseya Angriff gezeigt, wie verheerend die Auswirkungen sind. Und wir sprechen hier nicht nur von horrenden Lösegeldforderungen, sondern auch Reputations- und vor allem Datenverlust.“

Firewall- und Endpoint-Security können dafür sorgen, dass Angriffe gar nicht erst in Unternehmensnetzwerke gelangen. Dafür müssen diese allerdings dem aktuellen Stand der Technik entsprechen. Sophos bietet die ultimative IT-Security-Lösung zur Abwehr neuester Ransomware. Im April 2021 wurden die neuen Sophos Firewall XGS-Appliances gelauncht: Mit Cloud-Sandboxing-Technologie und Machine-Learning-Analyse von Dateien verhindert die Sophos Firewall, dass bekannte und unbekannte Ransomware-Varianten, Exploits und Malware sich über Spam, Phishing oder Web-Downloads verbreiten. „Außerdem bietet die Sophos Firewall mit den XGS-Appliances durch ihre Hardware-Beschleunigung eine noch schnellere und leistungsstärkere Xstream TLS 1.3 Inspection mit flexiblen Richtlinienkontrollen. Sophos Kunden erhalten dadurch eine optimale Balance zwischen Sicherheit und Performance,“ erklärt Björn Zackenfels. Weitere Informationen zur Sophos Firewall finden Sie hier.

Posted on

Aruba AOS-CX: Patches für mehrere Schwachstellen veröffentlicht

Der Hersteller HPE hat für die Produkte der Aruba-Sparte Mitte dieser Woche mehrere Updates für kabelgebundene Switch-Produkte mit AOS-CX veröffentlicht. Diese schließen mehrere Sicherheitslücken. Wir haben Ihnen hier die Wichtigsten Informationen zusammengefasst.

Um welche Sicherheitslücken handelt es sich?

In den Patches werden insgesamt vier Schwachstellen betitelt.

  • SAD DNS Vulnerability (CVE-2020-25705)
  • Remote Code Execution Via External Storage (CVE-2021-29143)
  • PHY Firmware Local Bypass Security Restrictions (CVE-2021-29149)
  • Path-relative Stylesheet Import (PRSSI) (CVE-2021-29148)

Bei der Schwachstelle SAD handelt es sich um einen Bug, der sich auf die Art und Weise, wie Antworten von ICMP-Paketen im Linux-Kernel behandelt werden. Dieser kann ausgenutzt werden um ein sogenanntes DNS Cache-Poisoning durchzuführen. Dabei kann eine Domain (zb. www.google.de) auf eine andere IP-Adresse weitergeleitet werden und ermöglicht potentiellen Angreifern so, bekannte Domains auf selbst erstellte oder kompromittierte Sites weiterzuleiten.

Für die zweite und dritte Sicherheitslücke werden administrative Zugangsdaten benötigt, weshalb diese hier nicht weiter erläutert werden.

Die letzte PRSSI-Schwachstelle bezieht sich auf eine Schwachstelle in der Web-GUI der Geräte. Aufgrund der Konfiguration der webbasierten Verwaltungsoberfläche können relative URLs innerhalb von HTML-Seiten das falsche Ziel weitergeben. Dadurch wird möglicherweise die angezeigte Benutzeroberfläche (UI) verändert und man könnte auf bösartige Webseiten geleitet werden.

Sind die Geräte in meinem Unternehmen betroffen?

Die Switche aus der Aruba 8400/8360/8325/8320 und Aruba 6400/6300/6200F Serie mit den unten stehenden Firmware-Ständen sollten umgehend auf einen aktuellsten Stand gebracht werden.

Betroffene Firmware Versionen von AOS-CX:

  • 10.04.xxxx – Versionen vor 10.04.3070
  • 10.05.xxxx – Versionen vor 10.05.0070
  • 10.06.xxxx – Versionen vor 10.06.0110
  • 10.07.xxxx – Versionen vor 10.07.0001

Was kann ich tun wenn ich betroffen bin?

Schnellstmöglich sollte auf eine aktuelle Firmware Version aktualisiert werden. Die Versionen, welche entsprechende Fixes mit sich bringen sind:

  • 10.05.0070 und höher
  • 10.06.0110 und höher
  • 10.07.0001 und höher

Achtung!

Betroffene Aruba-Produkte mit einer 10.04.xxxx Firmware Version müssen auf 10.05.0070 aktualisiert werden, um alle Schwachstellen zu beheben.

Benötigen Sie Unterstützung bei der Prüfung oder Umsetzung der Firmware-Updates? Ist Ihre Umgebung nicht mehr leistungsstark genug oder sind einfach Ihre Anforderungen gewachsen? Sprechen Sie uns an, wir helfen Ihnen gerne.

Weitere Informationen zu den Sicherheitslücken finden Sie auf der Herstellerseite unter:

https://www.arubanetworks.com/support-services/security-bulletins/

Posted on

Sophos revolutioniert IT-Sicherheit mit offenem Ökosystem

Um den immer komplexeren und gezielteren Cyberattacken die Stirn bieten zu können, müssen IT-Sicherheitsunternehmen auf Teamwork und neueste Technologien setzen. Sophos trägt dieser Entwicklung mit seinem Adaptive Cybersecurity Ecosystem (ACE) Rechnung. Hierbei handelt es sich um eine neue, offene Sicherheitsarchitektur zur Optimierung von Threat Prevention, Detection und Response. Sophos ACE nutzt Automatisierung und Analysen sowie den kollektiven Input von Sophos-Produkten, -Partnern, -Kunden sowie Entwicklern und anderen Security-Anbietern. So schafft diese Architektur einen Schutz, der ständig dazu lernt und sich weiterentwickelt.

„Sophos bietet unseren Kunden die branchenweit umfassendste Suite hocheffektiver, KI-basierter, cloudnativer Cybersecurity-Lösungen für Endpoints, Daten und Netzwerke“, erklärt Stefan Fritz (Channel Account Executive, Sophos). „Über eine zentrale Verwaltungsplattform arbeiten die Produkte von Sophos als synchronisiertes System zusammen.“

IT-Sicherheit ist zurzeit eines der Topthemen in jedem Unternehmen, egal ob groß oder klein. Entscheidend für die effektive Absicherung ist eine umfassende Expertise sowie die Erstellung eines individuellen IT-Security-Konzepts – und genau hier kommen Partner wie michael wessel ins Spiel. „Wir bei Sophos sind der festen Überzeugung, dass IT-Sicherheit erfolgreich nur im Teamwork realisiert werden kann“, verdeutlicht Stefan Fritz. „Unsere Partner sind der entscheidende Baustein als regionaler Anbieter vor Ort und leisten dort einen Service, den wir als internationaler Hersteller in diesem Umfang nicht alleine umsetzen könnten. Deshalb ist für uns die Zusammenarbeit mit regional etablierten Systemhäusern wie michael wessel von entscheidender Bedeutung und wir setzen alles daran, diese Partner bestmöglich zu unterstützen, damit sie ihren Kunden zukunftsfähige IT-Sicherheit aus einer Hand anbieten können.“

Michael Wessel, Geschäftsführer der michael wessel Informationstechnologie GmbH, bekräftigt: „Als innovativer wie auch bodenständiger IT-Security Anbieter setzen wir bei unseren Kunden in Mittelstand, öffentlichem Sektor und international tätigen Konzernen sowohl standardisierte als auch hochgradig individuell konzipierte Systeme ein.
Unser Partner Sophos bietet uns hierzu ein breites Lösungsspektrum. Bei der Integration von u.a. Edge-VPN, zentralen Firewall-Systemen und hochintegrierten, individuellen Security-Umgebungen arbeiten wir seit Jahren erfolgreich auf Augenhöhe zusammen, um unseren Kunden stets die optimale Lösung zu bieten.“

Posted on

Wie nutzt michael wessel SD-WAN, um die Netzwerkumgebung eines Kunden zu optimieren?

Die Ausgangssituation: Die ca. 150 Nutzer des Kunden sind auf 7 Filialen verteilt und arbeiten in Terminal-Umgebungen auf Thin-Clients. Diese greifen auf ein zentrales Rechenzentrum zu, in dem alle Anwendungen gehostet werden. Da eine hohe Verfügbarkeit der Daten an allen Standorten für einen reibungslosen Arbeitsablauf essenziell ist, sind diese jeweils einzeln per MPLS an das Rechenzentrum angeschlossen.

Die Herausforderungen: Diese Struktur sorgt häufig für lange Antwortzeiten und eine insgesamt schwache Performance der gesamten Umgebung. Die Nutzer sind häufig unzufrieden und Arbeitsabläufe werden unnötig verzögert. Zudem entstehen durch die dedizierten MPLS-Verbindungen hohe Kosten.

Die Lösung: michael wessel führt in diese Umgebung eine intelligente und hochflexible SD-WAN-Infrastruktur ein. Statt der teuren MPLS-Verträge, erhalten die Standorte eine Kombination aus herkömmlichen Kabel- und DSL-Anschlüssen, die lediglich einen Bruchteil kosten. In jeder Filiale und auch im Rechenzentrum werden SD-WAN-Appliances eingerichtet, die in Ihrem Durchsatz den jeweiligen Anforderungen entsprechen. Kleinere Zweigstellen können so mit einem Gerät ausgestattet werden, das in der Anschaffung günstiger ist, den Nutzern aber dennoch eine optimale Bandbreite zur Verfügung stellt.

Die Vorteile: Durch die intelligente Bündelung der Anschlüsse steht dem SD-WAN eine deutlich höhere Bandbreite zur Verfügung als über MPLS. Die Redundanz der verschiedenen Leitungen stärkt dabei die Ausfallsicherheit der Verbindungen sogar noch zusätzlich. Dank der Vernetzung der einzelnen Standorte untereinander müssen zudem nicht mehr alle Daten zwangsweise über den „Flaschenhals“ Rechenzentrum laufen. Diese Maßnahmen führten zu einer deutlichen Steigerung der Performance der gesamten Umgebung und damit zu merklich zufriedeneren Nutzern.

Langfristig profitiert der Kunde mit der neuen Struktur auch erheblich von der zusätzlichen Flexibilität. Das gesamte SD-WAN wird zentral gesteuert und kann somit ohne große Aufwände an neue Gegebenheiten angepasst und aktualisiert werden. Sollte die Anzahl der Mitarbeiter an einem Standort wachsen, kann die vorhandene Aplliance einfach durch ein leistungsstärkeres Modell ersetzt werden. Ein Eingriff in die restliche Infrastruktur ist nicht erforderlich. So können auch neue Standorte sehr unkompliziert dem SD-WAN hinzugefügt oder vorhandene Standorte umgezogen werden. Dabei sind die einzelnen Verbindungen durch eine Ende-zu-Ende-Verschlüsselung ebenso sicher, wie mit der bisherigen Lösung.

Ein wirtschaftlicher Vorteil ist vor allem, dass mit der Einführung von SD-WAN die Notwendigkeit der kostenintensiven MPLS-Leitungen wegfällt. Da zudem die Umgebung als Ganzes lizensiert wird, sind z.B. einzeln lizensierte Firewalls an den verschiedenen Standorten nicht mehr erforderlich. Dies spart einerseits Kosten, vereinfacht aber vor allem das Lizenzmanagement enorm.

Durch die Einführung eines SD-WAN konnte michael wessel somit die Performance der Umgebung und die Zufriedenheit der Nutzer steigern, während gleichzeitig die Kosten und der Administrationsaufwand reduziert wurden.

Posted on

Citrix ADC/ Netscaler Full-VPN mit Client Choices

Neben der Nutzung des ADC als Load Balancer und Content Switch oder Gateway für Virtual Apps and Desktops, bietet die Lösung auch die Möglichkeit echtes SSL VPN zu implementieren.

Falls ein bestehender Gateway Virtual Server konfiguriert ist, kann dieser mit wenigen Schritten oft um ein wahlweises SSL VPN erweitert werden.

Voraussetzungen

  • Netscaler Gateway Virtual Server muss im Smart Access Modus sein („IcaOnly = false“)
  • Es müssen ausreichend Universal Licenses vorhanden sein, für alle Verbindungen zu diesem Gateway Virtual Server

Einbau in ein bestehendes Gateway

Am einfachsten lässt sich das Full-VPN in ein bestehendes Gateway implementieren, wenn man über eine Gruppenmitgliedschaft einem teil der Benutzer die selektive Auswahl des Full VPN als Alternative zum Virtual Apps and Desktops anbiete. Hierzu gibt es idealerweise in der LDAP Policy des Gateways eine funktionierende Group Extraction. Der ADC wird dann beim Login eines Benutzers versuchen LDAP Gruppenmitgliedschaften auf ADC Gruppenmitgliedschaften (hier: CitrixFullVPN) zu übersetzen. 

add aaa group CitrixFullVPN

An diese Gruppe können wir nun den gewünschten Client IP-Bereich für das VPN binden und eine entsprechende Policy, welche die Benutzerauswahl („-Client Choices ON“) einblendet und die VPN Funktion zusätzlich konfiguriert:

add vpn sessionAction AC_VPN -splitDns REMOTE -splitTunnel OFF -transparentInterception ON -defaultAuthorizationAction ALLOW -SSO ON -ssoCredential PRIMARY -icaProxy OFF -wihome "https://store.mycompany.de/Citrix/StoreWeb" -ClientChoices ON -ntDomain mycompany -clientlessVpnMode OFF -iconWithReceiver OFF
add vpn sessionPolicy PL_VPN-classic ns_true AC_VPN
bind aaa group CitrixFullVPN -intranetIP 192.168.1.0 255.255.255.0
bind aaa group CitrixFullVPN -policy PL_VPN-classic -priority 100

Bei der Konfiguration kann über die Parameter „-splitTunnel“ und „-splitDns“ angegeben werden, ob der komplette Traffic in den Tunnel geleitet werden soll oder nur ein Teil des Traffics. Eine ähnliche Konfiguration ist für DNS möglich. Im obigen Beispiel, wird der komplette Traffic nach dem VPN Verbindungsaufbau in den Tunnel geleitet und DNS Remote, also über den Netscaler abgewickelt.

Routing

Es ist theoretisch möglich die Full VPN Funktionalität ohne einen zusätzlichen Adressbereich zu nutzen, der Netscaler lässt dann alle Clients per Übersetzungstabelle über die SNIP kommunizieren. In der Praxis hat sich gezeigt, das einige Backendsysteme damit nicht klarkommen und der Traffic außerdem in einer Firewall selektiver behandelt werden kann, wenn ein zusätzlicher Adressbereich genutzt wird. Zu diesem Adressbereich wiederum wird dann über die bestehende SNIP des Netscalers geroutet. Es ist also auf einer zentralen Firewall oder einem Gateway eine Route analog dem folgenden Beispiel zu konfigurieren:

route add 192.168.1.0 255.255.255.0 <NetscalerSNIP>

Benutzeransicht

Login
„Client Choices“ Abfrage
Netscaler Gateway Plugin

Weitere Möglichkeiten

Das Netscaler Gateway Plugin beherrscht neben den klassischen primären und sekundären Faktoren auch die Anzeige der Netscaler NFactor Faktoren/ eines Flows im Plugin und kann somit auch damit kombiniert werden.

Die Verbindungen innerhalb des VPNs können mittels Authorization Policies pro Benutzer oder Gruppe eingeschränkt werden.

Citrix Dokumentation:

Full VPN setup on Citrix Gateway

Posted on

VMware vSphere: Kritische Sicherheitslücke im vCenter

Kürzlich gab VMware bekannt, dass es eine Sicherheitslücke in den Plugins des vCenter Servers bekanntgeworden ist (CVE-2021-21985). Betroffen hiervon sind die folgenden vCenter Versionen:

  • VMware vSphere 6.5
  • VMware vSphere 6.7
  • VMware vSphere 7.0
  • VMware Cloud Foundation Versionen 3.x und 4.x

Ohne Gegenmaßnahmen ist es Angreifern möglich, über das vSAN Health Plugin (Siehe Link) des vSphere Clients (HTML5) Schadcode in das System zu übertragen und Root-Rechte zu erlangen. Diese Sicherheitslücke betrifft auch Kunden, die kein vSAN im Einsatz haben, denn das Plugin ist standardmäßig installiert und aktiviert. Um diese Sicherheitslücke zu schließen hat VMware für die betroffenen vCenter-Versionen jeweils ein Update für den vCenter-Server bereitgestellt. In diesem wird gleichzeitig auch eine weitere Sicherheitslücke (CVE-2021-21986) geschlossen. Diese wurde seitens VMware hingegen als moderat gefährlich bezeichnet und ist im verlinkten KB-Artikel ebenfalls aufgeführt.

Response-Matrix der betroffenen Versionen

ProduktVersionCVE IdentifierCVSSv3EinstufungBehoben ab VersionWorkaroundsDokumentation
vCenter Server 7.0CVE-2021-219859.8Kritisch 7.0 U2bKB83829FAQ
vCenter Server6.7CVE-2021-219859.8Kritisch 6.7 U3nKB83829FAQ
vCenter Server6.5CVE-2021-219859.8Kritisch 6.5 U3pKB83829FAQ
VMware vCenter Response-Matrix für CVE-2021-21985
ProduktVersionCVE-IdentifierCVSSv3EinstufungBehoben ab VersionWorkaroundsDokumentation
Cloud Foundation (vCenter Server) 4.xCVE-2021-219859.8Kritisch 4.2.1KB83829FAQ
Cloud Foundation (vCenter Server) 3.xCVE-2021-219859.8Kritisch 3.10.2.1KB83829FAQ
VMware vCenter Cloud Federation Response-Matrix für CVE-2021-21985

Möglicher Workaround (nur ohne aktives vSAN möglich)

Falls es nicht möglich sein sollte, das Update kurzfristig einzuspielen, gibt es einen Workaround, der in dem VMware KB-Artikel 83829 beschrieben wird. Dieser sieht vor in den betroffenen vCenter Versionen das schadhafte Plugin in den Dateien 

/etc/vmware/vsphere-ui/compatibility-matrix.xml

bzw. 

C:\ProgramData\VMware\vCenterServer\cfg\vsphere-ui\compatibility-matrix.xml

über einen Editor zu deaktivieren. Dies funktioniert allerdings nur, wenn Sie kein VMware vSAN im Einsatz haben.

Sollten Sie noch Fragen zum Schließen der Sicherheitslücke haben oder Unterstützung bei der der Umsetzung benötigen, sind wir gerne behilflich. Kontaktieren Sie gerne kurzfristig unseren Servicedesk oder Ihren Account Manager.

Weiterführende Informationen

https://www.vmware.com/security/advisories/VMSA-2021-0010.html
https://kb.vmware.com/s/article/83829
https://blogs.vmware.com/vsphere/2021/05/vmsa-2021-0010.html

Posted on

WLAN-Sicherheitslücke Fragattack

Vor wenigen Tagen hat der IT-Sicherheitsexperte Mathy Vanhoef eine Vielzahl an Sicherheitslücken in den WLAN-Standards der IEEE aufgedeckt. Laut Vanhoef sind vermutlich nahezu alle WLAN-Geräte mindestens von einer dieser Sicherheitslücken betroffen. Er selbst hat die Schwachstellen an 75 unterschiedlichen Geräten getestet. Zusammengefasst werden sie unter dem Begriff Fragattack. Dieser hat seinen Ursprung in der Funktionsweise der Angriffe bzw. des hier missbräuchlich ausgenutzten Kommunikationsverfahrens im IEEE 802.11-Standard, dem Fragmentieren der Anfragen.

Funktionsweise und betroffene Geräte

Die Sicherheitslücken betreffen alle WLAN-Sicherheitsstandards einschließlich des relativ jungen WPA3-Standards. Ermöglicht werden diese Exploits durch die Funktionsweise von WPA:

  • Anfragen können in mehrere Datenpakete aufgeteilt (fragmentiert) und dann beim Empfänger wieder zusammengefügt werden. Dieses Protokoll-Design ermöglicht es Hackern, manipulierte Authentifizierungsanfragen an das Netzwerk zu stellen.
  • Dabei entspricht nur das erste Paket einer echten Anfrage, während die darauffolgenden Pakete manipulierte Daten enthalten. Bei dem Zusammenbau dieser Datenpakete erkennt das Netzwerk die Zugehörigkeit dieser Teilpakete. Dadurch kann ein Angreifer ohne Kenntnis des WLAN-Passwortes oder Entschlüsselung manipulierte Daten in das Netzwerk schleusen.
  • Diese manipulierte Daten können dann eingesetzt werden, um beispielsweise Ports für versteckte externe Verbindungen zu öffnen oder unverschlüsselten Datenverkehr abzufangen bzw. zu manipulieren.

Vanhoef hat vor der öffentlichen Enthüllung dieser Designschwäche mit Hardwareentwicklern neun Monate im Voraus zusammengearbeitet, um diese Exploits zu beheben. Die daraus resultierende Patches sollen die Sicherheitslücken beheben, einige sind bereits seit März veröffentlicht. Problematisch sind jedoch die Netzwerkteilnehmer, die keine bzw. nur sporadische Sicherheitsupdates bekommen, wie etwa IoT-Geräte (z.B. Smart-Home Geräte). Die Hersteller raten zu einer kurzfristigen Aktualisierung der Firmware aller Geräte. Zudem sollte möglichst unverschlüsselter Datenverkehr in WLAN-Netzen vermieden oder administrativ unterbunden werden, sofern möglich.

Pikant ist zudem, dass gleichermaßen PSK/SAE- wie auch Enterprise-Authentifizierung der Geräte von den Schwachstellen betroffen sind. Viele sonst bekanntgewordene Schwachstellen im WLAN-Umfeld betrafen meist die eher unsicheren PSK-/SAE-Authentfiizierung über einen gemeinsamen Netzwerkschlüssel aller mit dem WLAN verbundenen Geräte, wie man es von zuhause kennt. Im Fall dieser Schwachstelle schützt die Authentifizierung via IEEE 802.1x daher Geräte nicht erheblich besser, als in vielen anderen Fällen.

Weiterführende Informationen zur Funktionsweise finden sich auf der von Vanhoef veröffentlichen Website (https://www.fragattacks.com/) und vor allem in einer seiner Präsentationen (Siehe Link), wo die Schwachstellen genau aufgezeigt werden.

Wie kam es dazu?

Im IEEE-Standard 802.11 (Abschnitt 10.6) ist das Fragmentieren der Anfragen beschrieben. Es wird nicht vor der Manipulation gewarnt und eine Konformität erfordert keine Überprüfung der erneut zusammengesetzten Pakete nach der Übertragung von Fragmenten.

"If security encapsulation has been applied to the fragment, it shall be deencapsulated and decrypted before the fragment is used for defragmentation of the MSDU or MMPDU."

CVE-Codes & BSI-Mitteilungen zu FragAttacks

Das BSI hat eine Warnung zu der Schwachstelle veröffentlicht, die hier (Link zur BSI-Warnung) abgerufen werden kann.

Liste der CVE-Codes zu FragAttacks:

  • CVE-2020-24588: Aggregation attack (accepting non-SPP A-MSDU frames)
  • CVE-2020-24587: Mixed key attack (reassembling fragments encrypted under different keys)
  • CVE-2020-24586: Fragment cache attack (not clearing fragments from memory when (re)connecting to a network)
  • CVE-2020-26145: Accepting plaintext broadcast fragments as full frames (in an encrypted network)
  • CVE-2020-26144: Accepting plaintext A-MSDU frames that start with an RFC1042 header with EtherType EAPOL (in an encrypted network)
  • CVE-2020-26140: Accepting plaintext data frames in a protected network
  • CVE-2020-26143: Accepting fragmented plaintext data frames in a protected network
  • CVE-2020-26139: Forwarding EAPOL frames even though the sender is not yet authenticated (should only affect APs)
  • CVE-2020-26146: Reassembling encrypted fragments with non-consecutive packet numbers
  • CVE-2020-26147: Reassembling mixed encrypted/plaintext fragments
  • CVE-2020-26142: Processing fragmented frames as full frames
  • CVE-2020-26141: Not verifying the TKIP MIC of fragmented frames

Was kann ich tun, um meine Geräte zu schützen?

In erster Linie sollte man sich ein paar Grundsätze wieder bewusst machen und zur Gewohnheit machen:

  • Regelmäßige Software- und Firmwareupdates auf allen Geräten einspielen.
  • Wo möglich aus Gründen der Sicherheit und Stabilität das Patchkabel dem WLAN bei sicherheitskritischer Kommunikation vorziehen.
  • Möglichst auf verschlüsselte Kommunikation achten (https:// in der Browserzeile). Hilfreich ist hier auch das Browserplugin https-everywhere (siehe Link) , was jede Browserkommunikation zu verschlüsseltem https zwingt.

Sollten Sie Unterstützung bei der Aktualisierung Ihrer Geräte benötigen, oder eine Überprüfung auf die Schwachstelle wünschen, wenden SIe sich gerne vertrauensvoll an uns.

Posted on

Microsoft <3 Europe

Microsoft kündigte gestern in einem Blogpost an, künftig alle Daten ihrer EU-Kunden innerhalb der EU zu halten und spricht dabei von einer „EU Data Boundary for the Microsoft Cloud“. Dies gilt für Azure, Microsoft 365 und Dynamics 365.

Wir haben heute ein wichtiges Versprechen für unsere Kunden in Europa gegeben. Microsoft wird es in der EU ansässigen Kunden aus dem öffentlichen Sektor und Unternehmenskunden künftig ermöglichen, all ihre Daten innerhalb der EU zu verarbeiten und zu speichern. In anderen Worten: Wir werden keine Daten dieser Kunden aus der EU heraus transferieren müssen.

https://news.microsoft.com/de-de/unsere-antwort-an-europa-microsoft-ermoeglicht-speicherung-und-verarbeitung-von-daten-ausschliesslich-in-der-eu/

Zuletzt gab es immer wieder Kritik von Datenschützern, die sich gegen einen Einsatz von modernen Tools, wie Microsoft Teams ausgesprochen haben. Teilweise aus technischem Unverständnis oder aus Angst über den Kontrollverlust der Daten. Ob dies alles auch berechtigte Kritik gewesen ist, sei mal dahingestellt. Nichtsdestotrotz ist das ist ein starkes Versprechen, seitens Microsoft und wird hoffentlich so manchen Zweifler milde stimmen.

Angekündigt sind die Maßnahmen für Herbst 2021. Wir bleiben also als Partner dran und informieren unsere Kunden umgehend über die Entwicklungsschritte.