Fehlkonfigurationen in Netzwerken gibt es in zahlreicher Weise und aus vielen verschiedenen Gründen. Sie beruhen häufig darauf, dass nur die üblichen Standardeinstellungen genutzt werden. Und auf der mangelnden Kenntnis darüber, dass eben diese von Natur aus bereits Sicherheitsfehlkonfigurationen enthalten. Wie das auch auf Firewall-Konfigurationen zutrifft, zeigen wir Ihnen im Folgenden. Zwei häufige Fehlkonfigurationen der Firewall: Bind-Shell und Whitelisting Werfen wir zuerst einen Blick auf die Gefahr geschlossener Ports. Die meisten Unternehmen verlassen sich auf ihre organisatorische Domänen-Firewall und neigen dazu, die Firewall auf der Ebene des lokalen Rechners abzuschalten. Infolgedessen vernachlässigen sie oft die sorgfältige Wartung der Firewall. Das erkennt man gut an den Ports, die von Diensten und Anwendungen benötigt werden. Diese Ports werden in der Regel auf Anfrage von der IT-Abteilung oder dem Netzwerkteam an der Unternehmensfirewall geöffnet. Man unterscheidet drei Arten: • Offener Port: Die Anwendung oder der Dienst wird ausgeführt und nimmt Verbindungen über den Port an. • Gefilterter Port: Eine Firewall oder ein Filter blockiert den Port. Das können beispielsweise eine Server-Firewall, eine Netzwerk-Firewall, ein Router oder ein anderes Sicherheitsgerät sein. • Geschlossener Port: Er zeigt an, dass eine Anwendung oder ein Dienst nicht aktiv nach Verbindungen an diesem Port sucht. Ein geschlossener Port kann jedoch jederzeit geöffnet werden, wenn eine Anwendung oder ein Dienst gestartet wird. Im Lauf der Zeit werden viele Dienste oder Anwendungen von einem Endgerät entfernt oder gelöscht. Die lokale Firewall-Regel, die die Verbindungen zu diesen Ports zulässt, wird jedoch oft vernachlässigt und bleibt im Status "geschlossen", da die Anwendung nicht mehr auf Verbindungen wartet. Mit anderen Worten: Angreifer:innen können geschlossene Ports nutzen, um eine Verbindung zwischen ihrer "Angriffsbox" und dem Computer des Opfers herzustellen und darüber bösartige Befehle zu erteilen. Dies wird als Bind-Shell bezeichnet. Die Praxis der Whitelisting-Dienste und -Anwendungen ist eine weitere häufige Quelle für gefährliche Fehlkonfigurationen. Whitelists sind eine Art Filter, der die auf der Liste enthaltenen E-Mail- und IP-Adressen sowie Domains als besonders sicher und seriös einstuft. Zu liberale Whitelisting-Richtlinien können von Angreifer:innen ausgenutzt werden, um NTLM-Passwort-Hashes oder sogar Klartextpasswörter von Domänen- oder lokalen Benutzer:innen über den LSASS-Prozess zu extrahieren. Das bedeutet, dass Angreifer:innen in der Lage sind, einen Computer über eine kritische Sicherheitslücke zur Remotecodeausführung ohne vorherige Authentifizierung auszunutzen und die Domäne weiter zu missbrauchen.