Versteckte Hintertüren, die Cyberkriminelle gerne ausnutzen

Im Gegensatz zu „menschlichen“ Benutzerkonten sind Service-Accounts „nicht interaktive“ Identitäten, die von IAM-Lösungen (Identity and Access Management) verwaltet werden. Diese Konten werden manchmal automatisch erstellt und arbeiten oft mit erweiterten Berechtigungen, die ihnen Zugriff auf mehrere, sensible Ressourcen gewähren. Da Service-Accounts unsichtbar sind, werden sie in der Regel in die Kategorie „aus den Augen, aus dem Sinn“ eingeordnet, wodurch sie ungeschützt und anfällig für Ausbeutung sind. HYCU erklärt, warum das gefährlich ist.

Warum sind Service-Accounts riskant?

Service-Accounts sind spezialisierte nicht-menschliche Identitäten, die in IT-Systemen verwendet werden, um automatisierte Funktionen auszuführen, auf Ressourcen zuzugreifen, Anwendungen zu verwalten und Integrationen zu ermöglichen. Sie arbeiten hinter den Kulissen und führen kritische Arbeitsabläufe aus, ohne dass menschliches Eingreifen erforderlich ist. Ein Service-Account kann beispielsweise Datenbankverbindungen für eine Anwendung verwalten oder API-Interaktionen zwischen Diensten ermöglichen.

Schon die Konzeption von Service-Accounts birgt jedoch eigene besondere Risiken:

• Überprivilegierter Zugriff: Vielen Service-Accounts werden übermäßige Berechtigungen erteilt, die weit über das hinausgehen, was sie zur Erfüllung ihrer Aufgaben benötigen.
• Mangelnde Sichtbarkeit: Da diese Konten keine Menschen repräsentieren und selten manuelle Interaktion erfordern, werden sie bei Sicherheitsüberprüfungen und routinemäßigen Bereinigungen oft ignoriert oder übersehen.
• Statische Zugangsdaten: Service-Accounts verwenden oft fest programmierte Zugangsdaten wie Passwörter oder API-Schlüssel, die über Jahre hinweg unverändert bleiben oder nicht überwacht werden, was das Risiko einer Kompromittierung erhöht.

Ein kompromittiertes Service-Account kann den Zugriff auf sensible Systeme oder eine Privilegienerweiterung ermöglichen und es Angreifern erlauben, sich seitlich in der Umgebung eines Unternehmens zu bewegen.

Ausnutzung von Service-Accounts auf dem Vormarsch

Die mit Service-Accounts verbundenen Risiken sind nicht theoretischer Natur, sondern wurden in jüngster Zeit bei mehreren hochkarätigen Cyberangriffen ausgenutzt, wie die folgenden Beispiele zeigen.

Dropbox Sign

Beim Dropbox Sign-Vorfall nutzten Angreifer ein kompromittiertes Service-Account aus, um auf sensible API-Schlüssel und OAuth-Token zuzugreifen. Diese Token ermöglichten den unbefugten Zugriff auf kritische Integrationen und Kundendaten und deckten Schwachstellen bei der Verwaltung und Überwachung von Service-Accounts auf. Der Vorfall unterstreicht die Gefahren ungeschützter nicht-menschlicher Identitäten, insbesondere wenn Zugangsdaten nicht regelmäßig rotiert oder überwacht werden. Dropbox Sign musste sofort Token widerrufen, Passwörter zurücksetzen und zusätzliche Sicherheitsebenen implementieren, um die Folgen abzumildern.

Marriott Starwood

Die Datenpanne bei Marriott Starwood, eine der größten jemals verzeichneten, legte die persönlichen Daten von über 383 Millionen Gästen offen. Ein kompromittierter Service-Account spielte bei diesem Angriff eine entscheidende Rolle. Nachdem Marriott Starwood übernommen hatte, blieb eine Schwachstelle in einem Service-Account innerhalb der Starwood-Infrastruktur unbemerkt, über die Angreifer auf sensible Datenbanken zugriffen. Diese mangelnde Sichtbarkeit und unzureichende Überwachung von Service-Accounts ermöglichte es den Angreifern, über mehrere Monate hinweg Passnummern, Zahlungsdaten und persönliche Informationen zu extrahieren. Der Vorfall kostete Marriott nicht nur Millionen an Bußgeldern und Gerichtsverfahren, sondern zeigte auch die weitreichenden Folgen auf, die entstehen, wenn Service-Accounts bei Fusionen und Übernahmen nicht geschützt werden.

Wichtige Angriffstechniken, die auf Service-Accounts abzielen

Angreifer nutzen eine Vielzahl ausgefeilter Techniken, um Service-Accounts auszunutzen, sich unbefugten Zugang zu verschaffen und kritische Systeme zu kompromittieren. Einige der häufigsten sind:

• Diebstahl von Zugangsdaten: Angreifer verwenden häufig Phishing-E-Mails, Brute-Force-Angriffe oder Malware, um die Zugangsdaten von Service-Accounts zu stehlen. Da diese Zugangsdaten in der Regel statisch sind und selten geändert werden, kann der Angriff über längere Zeiträume unbemerkt bleiben, sodass Angreifer über einen längeren Zeitraum Zugriff auf kritische Systeme haben.
• Kerberoasting: Diese Technik zielt auf Service-Accounts in Active Directory-Umgebungen ab. Angreifer fordern Service-Tickets für Konten mit Service Principal Names (SPNs) an und extrahieren die verschlüsselten Ticket-Hashes. Diese Hashes werden dann offline geknackt, um unbefugten Zugriff auf den Service-Account zu erhalten.
• Pass-the-Ticket-Angriffe: Angreifer verwenden gestohlene Kerberos-Tickets, um sich als Service-Account auszugeben und Zugriff auf die damit verbundenen Berechtigungen zu erhalten, ohne das eigentliche Passwort zu benötigen. Dadurch können sie ihren Zugriff erweitern und sich seitlich im Netzwerk bewegen.
• Token-Diebstahl: Angreifer stehlen Authentifizierungstoken, die von Service-Accounts verwendet werden, wie z. B. OAuth-Token oder API-Schlüssel. Mit diesen Token können sie herkömmliche Authentifizierungsmechanismen umgehen und direkt auf Anwendungen oder Dienste zugreifen, die mit dem Konto verknüpft sind.
• Ausnutzung von Fehlkonfigurationen: Schlecht konfigurierte Service-Accounts, z. B. solche mit zu weit gefassten Berechtigungen, ohne Richtlinien für den Ablauf von Kennwörtern oder mit minimalen oder schwachen Sicherheitsrichtlinien, werden ausgenutzt, um die Berechtigungen zu erweitern. Angreifer suchen nach diesen Fehlkonfigurationen, um Service-Accounts als Einstiegspunkte zu nutzen.

Kompromittierte Service-Accounts haben erhebliche Auswirkungen auf das Geschäft

Wenn Service-Accounts kompromittiert werden, reichen die Auswirkungen weit über technische Systeme hinaus und betreffen das gesamte Unternehmen. Von Betriebsunterbrechungen bis hin zur Erosion des Kundenvertrauens verursachen diese Vorfälle erhebliche geschäftliche, finanzielle und rufschädigende Schäden.

• Betriebsausfallzeiten: Service-Accounts können dazu verwendet werden, kritische Anwendungen zu deaktivieren, Arbeitsabläufe zu unterbrechen und den Geschäftsbetrieb zum Erliegen zu bringen.
• Compliance-Vorfälle: Kompromittierte Service-Accounts können zu Vorfällen gegen Vorschriften wie die DSGVO, HIPAA oder SOX führen, was hohe Bußgelder und Klagen nach sich ziehen kann.
• Kundenvertrauen: Ein Vorfall, bei dem über Service-Accounts auf sensible Daten zugegriffen wird, kann das Vertrauen der Kunden untergraben und den Ruf des Unternehmens schädigen, indem es die Sicherheitsbereitschaft des Unternehmens in Frage stellt.

Folglich können Ausfallzeiten, Kundenabwanderung, behördliche Geldbußen und Rufschädigung zu erheblichen finanziellen Verlusten führen, die sich möglicherweise auf Millionen belaufen. Unternehmen müssen erkennen, dass die Sicherung von Service-Accounts nicht nur eine technische Notwendigkeit, sondern eine geschäftskritische Priorität ist.

Wie sich Service-Accounts effektiv schützen lassen

Service-Accounts stellen einzigartige Sicherheitsherausforderungen dar, die einen umfassenden, proaktiven und strukturierten Ansatz erfordern. Durch die Umsetzung wichtiger bewährter Verfahren können Unternehmen die mit diesen nicht-menschlichen Identitäten verbundenen Risiken erheblich reduzieren und kritische Systeme vor potenziellen Sicherheitsverletzungen schützen:

• Anwendung des Prinzips der geringsten Privilegien an: Administratoren sollten die Berechtigungen von Service-Accounts auf das für ihre Funktionen unbedingt erforderliche Maß beschränken. Die Berechtigungen gilt es regelmäßig zu prüfen, um sicherzustellen, dass keine unnötigen Zugriffsrechte gewährt werden, und so die Angriffsfläche reduziert wird.
• Durchsetzung der Anmeldeinformationen: Passwörter und API-Schlüssel sollten regelmäßig rotiert werden, um das Risiko eines Diebstahls von Anmeldeinformationen zu verringern. Es ist wichtig, sichere, eindeutige Passwörter zu verwenden und es zu vermeiden, Anmeldeinformationen in Code oder Konfigurationsdateien einzubetten.
• Kontinuierliche Überwachung von Service-Accounts: Fortschrittliche Überwachungstools helfen, Anomalien in der Aktivität von Service-Accounts zu erkennen und darauf zu reagieren. Warnmeldungen lassen sich für ungewöhnliches Verhalten konfigurieren, wie z. B. Anmeldeversuche von unerwarteten Standorten und Netzwerkzonen oder zu ungewöhnlichen Zeiten.
• Erkennung veralteter Konten automatisieren: Automatisierte Lösungen ermöglichen es, ungenutzte oder überprivilegierte Service-Accounts zu identifizieren und außer Betrieb zu nehmen. Dadurch wird verhindert, dass Angreifer ruhende Konten ausnutzen, die nicht mehr aktiv verwaltet werden.

Diese Maßnahmen können die Sicherheit von Service-Accounts erheblich verbessern und das Risiko, dass sie als Angriffsvektoren genutzt werden, verringern.

Die Rolle von IAM-Backups beim Schutz von Service-Accounts

Service-Accounts sind für den Betrieb von Unternehmen von entscheidender Bedeutung, und der Verlust ihrer Konfigurationen kann zu schwerwiegenden Störungen und Schwachstellen führen. IAM-Backups fungieren als letzte Verteidigungslinie und gewährleisten im Falle eines Vorfalls Kontinuität:

• Wiederherstellung nach Sicherheitsverletzungen: Im Falle einer Sicherheitsverletzung ermöglichen Backups Unternehmen die Wiederherstellung von Service-Accounts zusammen mit anderen IAM-Daten in einen sicheren Zustand, wodurch die Ausfallzeit und die Auswirkungen des Angriffs minimiert werden.
• Minderung von Fehlkonfigurationen: IAM-Backups ermöglichen es Unternehmen, die Konfigurationen von Service-Accounts schnell wiederherzustellen, wenn versehentliche Änderungen zu Störungen und Schwachstellen führen.
• Sicherstellung der Compliance: Regelmäßige Backups von IAM-Daten, einschließlich Service-Accounts, helfen Unternehmen, die Compliance aufrechtzuerhalten, indem sie Prüfpfade und Zugriffsprotokolle aufbewahren.