Puh, ich weiss jetzt nicht, wie oft ich hier das Problem noch erlaeutern soll, anhand des Beispiels Print Nightmare.
Zur Erinnerung: Es wurde eine Luecke im Windows Print Spooler Service gefunden, die es ermoeglicht hat,
jeden Rechner auf dem der Print Spooler Service laeuft, remote und ohne authentifizierung am Server selber vollstaendig zu uebernehmen.
Und der Print Spooler laeuft by default auf
allen Windows Maschinen. Von der 08/15 Workstation bis hin zu den Domain Controllern.
Microsoft hat mindestens 3 Patche gebraucht um das Problem entgueltig zu beheben, und hat im Zuge dieser Patche sehr viele aeltere Druckertreiber ausser Gefecht gesetzt.
Viele Kryptogruppen sind eine ganze Weile in den betroffenen Netzen unterwegs. Da sind etliche Leute die sich erstmal einfach nur umschauen. Man will ja wissen was zu holen ist. Das kann auch durchaus Wochen oder gar Monate dauern. Klar wird das Entdeckungsrisiko hoeher wenn man laenger "rumlungert", aber wenn man es zB auch auf Backups abgesehen hat muss man halt mal laenger schauen.
Wir haben hier also moeglicherweise eine Verkettung. MMS als Unternehmen mit weit verteilter IT konnte moeglicherweise die Print Nightmare Patches nicht sofort vollumfaenglich verteilen. Denn die Patches hatten teilweise die kleine "Nebenwirkung" das die User zum Drucker-Verbinden Adminrechte brauchten. Und MMS muss drucken, an jeder Workstatopn haengt ein Drucker...
Das Verbunden mit einer laengeren Verweildauer der Hacker stellt aus meiner Sicht ein moegliches Szenario dar. Denn wenn die Angreifer einmal drin sind, und ueber Print Nightmare Domain Admins sind, helfen die Patche nicht mehr.
Aehnliches mit den Exchange Luecken vor 'nem halben Jahr. Die war bekannt, wurde aktiv ausgenutzt, dann kam der Patch. Auch hier wieder: der erste Patch war nicht vollstaendig, es brauchte zwei. Workarounds schraenken die Funktionalitaet ein und legen potenziell den E-Mail Verkehr lahm. Also dauert es bis die eingespielt werden.
Und auch hier: Wenn der Exchange erstmal infiziert ist, helfen die Patche nicht. Es gibt Scripts den den gaengigen "Hafnium" Exploit zu erkennen, aber Hafnium war bestimmt nicht alles. Alleine in Deutschland waren mehr als 10.000 Exchange Server verwundbar, wie ein Scan ein paar Tage
nach Release des ersten Patches ermittelt hat.
Das sind nur 2 grosse Zero-Day Luecken die im letzten halben Jahr bekannt geworden sind. Es weiss niemand was da noch alles rumschwirrt. Und es kann
ein einziger verwundbarer Service reichen, um geknackt zu werden.
Ich glaube den meisten Leuten hier ist nicht klar wie umfangreich und komplex eine IT-Infrastruktur werden kann, und wie aufwendig es ist diese zu betreiben.
Es gibt Mittel und Wege moegliche Einfallstore zu verschliessen. Aber man will ja auch noch mit dem System arbeiten. Denn nur ein ausgeschaltetes System ist ein sicheres System
Und wenn dann noch der Faktor Mensch dabei ist...
zB ein Geschaeftsfuehrer der unbedingt auf saemtliche Systeme Schreibzugriff haben will, weil "Mir gehoert der Laden ja", dann kann die IT noch so gut sein, die Katastrophe ist nur einen Mausklick entfernt.
Ich will garnicht abstreiten das die MMS IT vielleicht wirklich Mist gebaut hat. Das obige ist (wilde) Spekulation. Aber dieses blinde rumgebashe das sowas in einem richtig gefuehrtem Laden nicht passieren kann ist einfach nur Quatsch. Es kann
jedem passieren.