Kolumne : Der Uber-Hack und was wir aus ihm lernen können

Vergangenen Donnerstag wurde bekannt, dass der US-amerikanische Online-Fahrvermittlungsdienst Uber Opfer eines sehr umfassenden Cyberangriffs wurde. Laut Uber dürfte die Gruppe „Lapsus$“ hinter dem Angriff stehen, auch wenn der Angreifer sich selbst als 18-jährigen Einzeltäter mit eher politischen Motiven bezeichnet hat. Was genau die Ziele des Angreifers waren, ist noch unklar. Klar ist allerdings, dass er eine ganze Reihe der internen Systeme von Uber kompromittierte, zum Beispiel Gsuite und Slack. Die Folgen für das Unternehmen sind noch unklar.

Wie viele Angriffe, die wir in jüngster Zeit gesehen haben, begann der Uber-Hack mit einem kompromittierten Nutzerkonto und der Umgehung einer unsicheren Form von Multifaktor-Authentifizierung (MFA). Uber vermutet, dass der Angreifer das Passwort eines externen Beraters von Uber im Darknet kaufte und darüber VPN-Zugang zum Uber-Intranet erhielt. Das kompromittierte Nutzerkonto hatte keine besonderen Privilegien, aber es genügte dem Angreifer, um das interne Netz zu scannen. Offensichtlich löste er damit keinerlei Alarm aus. Nach eigenen Angaben stieß er dadurch auf ein ungeschütztes Netzwerklaufwerk, auf dem ein Powershell-Skript gespeichert war, das im Klartext das Passwort eines Super-Administrators enthielt. Ein solcher Super-Administrator verwaltet den Administrator-Zugang zu einer Vielzahl von IT-Diensten. Damit hatte der Angreifer praktisch den vollen, administrativen Zugang zu allen so verwalteten internen und externen IT-Systemen von Uber, zum Beispiel zu AWS und Gsuite. Durch die Kompromittierung von Gsuite hatte er insbesondere auch vollen Zugriff auf das Identity Management und Single Sign-On System von Uber, das heißt potenziell auf alle Nutzerkonten. Vom Angriff erfuhren die Angestellten durch eine Nachricht, die der Angreifer im firmeninternen Slack gepostet hatte.

Dieser Ablauf ist sehr typisch und illustrativ für die Probleme der heutigen Perimeter-orientierten Sicherheitsarchitekturen, wie sie viele große Organisationen auch in Deutschland verwenden. Es liegt also die Frage nahe, was wir aus diesem Angriff lernen können. Wie können sich Unternehmen besser vor solchen Angriffen schützen?

Das Einfallstor bei Uber war ein gestohlenes Nutzerpasswort. Die vermutlich einfachste und auch hier anscheinend verwendete Methode, an solche Passwörter zu kommen, ist es, sie im Darknet von den Betreibern von Infostealer-Malware zu kaufen. Genauso gingen beispielsweise auch die Angreifer im Fall von Colonial Pipeline im vergangenen Jahr vor. In unserer Forschung beobachten wir die entsprechenden Darknet-Marktplätze – man findet auf ihnen gestohlene Passwörter von Organisationen jeder Größe und aus jedem Sektor. Niemand sollte sich deshalb allein auf die Sicherheit von Passwörtern verlassen.

Statt einfacher Passwörter verwenden deshalb viele Organisationen Multifaktor-Authentifizierung, zumindest für die wichtigsten IT-Dienste. Die Authentifizierung erfolgt dabei über mindestens zwei verschiedene Methoden und Kanäle, zum Beispiel mittels eines Passworts und eines Hardware-Tokens. Solange der Angreifer nicht alle Faktoren kompromittieren kann, sollte MFA sicher sein. Tatsächlich sind aber auch viele MFA-Methoden angreifbar.

Uber verwendete eine solche angreifbare MFA-Methode: Passwörter zusammen mit Push Notifications als zweiten Kanal. Wer sich bei Uber anmelden will, bekommt nach Eingabe des Passworts eine Nachricht auf sein Smartphone geschickt. Erst wenn diese Nachricht bestätigt wurde, ist die Anmeldung erfolgreich.

Diese MFA-Methode ist zwar sehr kostengünstig und benutzerfreundlich, aber bekanntermaßen unsicher. „Nobelium“, die russische Cyberspionagegruppe, die für den Solarwinds-Angriff von 2020 verantwortlich war, umging solche Push Notifications. Auch bei Uber gelang dies: Der Angreifer flutete den Berater, dessen Passwort er gestohlen hatte, mit Push Notifications. Nach eigenen Angaben kontaktierte der Angreifer den gefluteten Berater, gab vor, selbst von Uber zu sein und bat ihn um die notwendige Bestätigung, was dieser offensichtlich auch tat. Damit hatte der Angreifer Zugang zum Intranet. Dieser Angriff auf Push Notifications funktioniert oft auch ohne dass der Angreifer sein Opfer kontaktiert: Menschen neigen dazu, bei einer Flut von Anfragen irgendwann eine davon falsch zu beantworten.

Was lernt man daraus? Organisationen sollten darauf achten, phishing-resistente MFA-Methoden zu verwenden, beispielsweise solche mit einem speziellen Hardware-Token. Das ist zwar teurer als Push Notifications – aber auch deutlich sicherer.

Der Zugang zum Uber-Intranet genügte dem Angreifer, um dort das unverschlüsselte Passwort eines Super-Administrators zu finden. Jeder Angestellte von Uber hätte dasselbe tun können.

Zur geschützten Verwaltung und Überwachung besonders privilegierter Credentials verwenden viele Unternehmen spezielle Werkzeuge zum Privileged Access Management (PAM). Da dem Angreifer aber das Passwort eines Super-Administrators in die Hände fiel, erhielt er Berichten zufolge administrativen Zugang direkt zu Thycotic PAM, und damit Administratorzugang zu allen über Thycotic PAM verwalteten Cloud-Diensten und APIs. Vom Angreifer veröffentliche Screenshots legen nahe, dass hiervon neben Diensten wie Gsuite und Slack auch Datenbanken in AWS S3 und Google Cloud betroffen waren, sei es, weil diese Datenbanken nicht verschlüsselt oder weil die kryptographischen Schlüssel leicht zugänglich waren.

Ein unverschlüsseltes Admin-Passwort auf einem offenen Netzlaufwerk abzuspeichern klingt zunächst nach außergewöhnlicher Fahrlässigkeit. Unsere Studien der Sicherheit großer Infrastrukturen zeigen aber, dass dies tatsächlich sehr häufig vorkommt, über alle Arten von Organisationen und Sektoren hinweg. Erstaunlich oft finden sich unverschlüsselte Passwörter in Skripten und in Code, häufig auf offenen Netzlaufwerken und manchmal sogar in öffentlich zugänglichen Repositories. Werden solche Passwörter gefunden, sind die Folgen für das Unternehmen, dessen Angestellte und Kunden meist unabsehbar.

Was lernt man daraus? Die Sicherheitsverantwortlichen einer Organisation müssen sicherstellen, dass die Zugangsinformation für alle wichtigen Dienste besonders geschützt wird, und dass möglichst genau kontrolliert wird, wer wann weshalb auf diese Information zugreift.

Aus dem Ablauf des Angriffs kann man schließen, dass Uber eine sehr klassische Sicherheitsarchitektur verwendet: Das Intranet des Unternehmens ist vor Zugriffen aus dem Internet geschützt. Zugriff von außen ist nur über VPN möglich. Den Nutzern im Intranet wird aber im Wesentlichen vertraut; ungewöhnliches Verhalten und Zugriffe wurden zumindest nicht ausreichend überwacht.

Es ist allgemein bekannt, dass diese Sicherheitsarchitektur eigentlich zur Abwehr moderner Angriffe nicht geeignet ist. Unternehmen arbeiten stark verteilt und – wie Uber – mit vielen externen Dienstleistern, Beratern und Partnern. Damit kann man von dem einen Intranet eines Unternehmens nicht mehr sprechen. Umgekehrt zeigt alle Erfahrung, dass Angreifer mit ausreichend Aufwand – über gestohlene Passwörter oder über Schwachstellen – jeden Perimeterschutz überwinden können. Sind sie erst einmal im Intranet, können sie dieses scannen und sich ausbreiten.

Der Gegenentwurf zum Perimeterschutzmodell heißt Zero-Trust-Architektur (ZTA). Eine ZTA schützt jeden einzelnen Dienst, das heißt der Zugriff zu jedem Dienst wird individuell reglementiert und jeder Nutzerzugriff wird mittels starker, phishing-resistenter MFA kontrolliert. Daten werden bei Übertragung und Speicherung umfassend verschlüsselt. Ob ein Angreifer aus dem Intranet oder aus dem Internet heraus agiert, spielt dann keine große Rolle mehr, so dass diese Unterscheidung prinzipiell entfallen kann. Hätte Uber diese Prinzipien von ZTA umgesetzt, wäre dieser Angriff offensichtlich nicht erfolgreich gewesen. Mit phishing-resistenter MFA ist es nicht so einfach, ein Nutzerkonto zu kompromittieren; ein Network-Scan wäre entdeckt worden; es hätte kein Netzlaufwerk ohne Access Control gegeben und auch kein Super-Admin-Konto, dessen Passwort im Klartext irgendwo gespeichert wird.

Unserer Einschätzung nach ist für jede größere Organisation der Umstieg auf eine Zero-Trust-Architektur zwingend. Was das genau bedeutet, ist allerdings noch im Fluss. Grobe Empfehlungen dazu gibt es zum Beispiel von der US-amerikanischen Regierung. Wie genau eine Referenzarchitektur aussehen könnte, die einen möglichst umfassenden Schutz garantiert und auch für Deutschland geeignet wäre, ist Gegenstand unserer aktuellen Forschung im Nationalen Forschungszentrum für angewandte Cybersicherheit Athene.

Haya Shulman ist Professorin für Informatik an der Goethe-Universität Frankfurt am Main, Abteilungsleiterin am Fraunhofer-Institut für Sichere Informationstechnologie und Koordinatorin des Forschungsbereichs Analytics-based Cybersecurity im Nationalen Forschungszentrum für angewandte Cybersicherheit ATHENE.

Michael Waidner ist Professor für Informatik an der Technischen Universität Darmstadt, Leiter des Fraunhofer-Instituts für Sichere Informationstechnologie und CEO des Nationalen Forschungszentrum für angewandte Cybersicherheit ATHENE.

In unserer Reihe „Perspektiven“ ordnen unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein. Zuvor von Haya Shulman und Michael Waidner im Background Cybersicherheit erschienen: Die Cybersicherheitsagenda des BMI