Im Jahr 2022 wurden für Microsoft Edge 311 Schwachstellen registriert. Wenn solche Schwachstellen noch nicht bekannt sind und ausgenutzt werden, dann nennt man diese Zero-Day Attacks. Wie ein Privilege Management Zero-Day Attacks verhindern kann, möchte ich im Folgenden anhand eines Beispiels von BeyondTrust aufzeigen.

Policy Templates

BeyondTrust liefert mit Privilege Management einige vordefinierte Policy Templates mit. Diese Templates erlauben es, die Policies innert kürzester Zeit firmenweit auszurollen. Mit Privilege Management muss im Unternehmen vor dem Deployment nicht monatelang aufgezeichnet werden, welche Anwendungen eingesetzt werden. Die Policy Templates verkürzen die Implementierungszeit von Privilege Management deutlich. Anstelle von Monaten kann Privilege Management in Wochen ausgerollt werden.

TAP Policy Template

Neben den QuickStart Policy Templates hat der Hersteller auch zwei Trusted Application Policy (kurz «TAP») Templates mitgeliefert. Die beiden Templates bieten den gängigsten Business-Anwendungen wie Microsoft Office, Adobe Reader und den Browsern einen zusätzlichen Schutz. Diese Business-Anwendungen sind natürlich beliebte Angriffsziele. Ganz nach dem Motto: «Je bekannter eine Software, desto grösser die Zielscheibe.» Allein Microsoft Edge hat im letzten Jahr (2022) 311 Schwachstellen verzeichnet. Durch Ausnutzung von Schwachstellen können bei einem Angriffszenario etwa Payloads, Anwendungen oder weitere nicht gewollte Aktionen ausgeführt werden. Genau das unterbindet TAP.

Wie schützt TAP?

Da Privilege Management auf Clients installiert ist, kann es den Start aller Anwendungen kontrollieren: Beispielsweise ob diese geblockt oder sogar mit lokal administrativen Berechtigungen ausgeführt werden sollen. Beim Start einer Anwendung bekommt Privilege Management sehr viele Informationen mit – unter anderem diese Parameter:

  • Wer startet die Anwendung oder welcher Parent Process startet eine weitere Anwendung?
  • Welche Berechtigungen sollen der Anwendung zugewiesen werden?
  • Ist die Anwendung signiert (Herausgeber der Anwendung)?
  • etc.

Bei TAP nutzt Privilege Management die Information vom Parent Process. Wenn als Beispiel der Browser eine infizierte Webseite aufruft, kann dadurch eine Schwachstelle im Browser einen PowerShell-Befehl auf dem System ausführen. Da es ungewöhnlich ist, dass der Browser einen solchen Befehl startet, unterbindet TAP von Privilege Management den Start des PowerShell-Befehls. Grundsätzlich sind PowerShell-Befehle erlaubt und Admins können diese absetzen. Aber wenn ein PowerShell-Befehl von einem Browser aus gestartet wird, dann wird der Start durch TAP unterbunden.

Hier ein Video-Beispiel, wie ein JavaScript im Word-Dokument ein PowerShell-Befehl startet, um Payload nachzuladen. Schliesslich werden Die Dokumente auf dem Desktop verschlüsselt:

Aktionsleiste beim Prozess eines Angrifssversuchs ohne TAP
Aktionsleiste beim Prozess eines Angrifssversuchs ohne TAP

Bei diesem Video unterbindet TAP, dass der PowerShell-Befehl ausgeführt werden kann. Somit wird der Angriff gestoppt und es werden keine Dateien verschlüsselt:

Aktionsleiste beim Prozess eines Angriffsversuchs mit TAP
Aktionsleiste beim Prozess eines Angriffsversuchs mit TAP

Fazit

TAP basiert nicht auf einer Datenbank von bekannten Schad-Softwares. TAP unterbindet das Ausführen nicht gewollter Anwendungen, wenn diese von den gängigsten Business-Anwendungen automatisiert gestartet werden. Somit ist TAP ein zusätzlicher und sehr effektiver Schutz, der Zero-Day-Attacken verhindern kann.