«

»

Lumension Endpoint Security – Statement zur BadUSB Attacke

 

Was tut Lumension Device Control gegen BadUSB Angriffe?

Von der BadUSB Schwachstelle hat wohl inzwischen jeder gehört, der für die Datensicherheit in seinem Unternehmen verantwortlich ist. Die ersten Anleitungen und Tools für die Manipulation von USB-Devices sind bereits frei im Netz verfügbar und rücken diesen zunächst recht theoretisch anmutenden Angriff in greifbare Nähe. Der Software-Entwickler Lumension, bekannt durch seine Schnittstellenabsicherung Device Control, hat die neue Sicherheitslücke zum Anlass genommen und zeigt in den folgenden FAQ, wie die eigene Sicherheitssoftware auf die neue Bedrohung reagiert.

 

Was genau sind BadUSB-Attacken?

BadUSB nutzt Schwachstellen in der Firmware bestimmter USB-Geräte aus. Die gehackte Firmware kann so ein anderes Gerät simulieren bzw. vortäuschen und so für Angriffe nutzen. Das kann z.B. so aussehen:

  • Das USB-Gerät stellt sich als Netzwerk-Karte dar und leitet Requests aus der Domain mit einem Redirect an einen anderen Server weiter.
  • Das USB-Gerät gibt sich als Tastatur aus und kann so über „virtuelle“ Tastatureingaben auf Daten zugreifen. Besonders schwer wiegt hier, dass sich das Verhalten kaum von echten Tastatureingaben des Nutzers unterscheiden lässt. Ein virtuelles Keyboard kann auch über die USB Rubber Ducky Platform simuliert werden.
  • Das USB-Gerät kann für eine Payload-Injection umprogrammiert werden.

 

Schützt traditionelle IT-Sicherheitssoftware vor BadUSB Attacken?

Nein. Traditionelle Sicherheitssoftware, wie z.B. Anti-Virus-Software, ist nicht in der Lage, einer BadUSB Attacke vorzubeugen.

 

Kann Lumension Device Control eine solche Attacke verhindern?

Ja. Das Device-Control-Feature der aktuellen Lumension Endpoint Security Suite 4.5 SR3 schützt bereits out of the Box vor BadUSB-Attacken. Das funktioniert so:

  • Über eine Device Policy können USB-Geräte (z.b. USB-Sticks und Bluetooth-Adapter) geblockt werden, wenn Sie mit einem Client verbunden werden. So kann ein bisher unbekanntes Gerät nicht „mal eben“ Schadcode ausführen.
  • Über das Blocken von „Sekundären Geräten“ in der Device Policy kann Lumension Endpoint Security eine weitere Sicherheitsstufe integrieren. Wenn also ein Administrator versehentlich bzw. unwissentlich ein BadUSB-Gerät für die Nutzung freischaltet und dieses Gerät sich beispielsweise als Netzwerkkarte anmeldet, so wird diese Netzwerkkarte als sekundäres Gerät erkannt und entsprechend der Policy geblockt.

 

BadUSB im Eigenbau
Anleitungen dazu gibt es inzwischen auf Youtube:

Verhindert Lumension Endpoint Security auch Keyboard Injection mittels USB Rubber Ducky Attacke?

Ja, Lumensions Device Control verhindert solche Attacken zuverlässig. Ein Keyboard-Injection Attacke wie die des Ruber Ducky Exploints meldet sich als sekundäres Keyboard an und kann daher über entsprechende Device Policies gestoppt werden. Meldet sich ein solches sekundäres Keyboard an, meldet die Endpoint Security Suite diesen Fall und gibt so dem Benutzer die Möglichkeit, das Problem zu erkennen und entsprechend zu reagieren. Für den Fall, dass der Nutzer tatsächlich eine zweite Tastatur anschliesst, kann er die Warnung weiter klicken und ohne Probleme arbeiten.

 

Mein Unternehmen erlaubt die Nutzung von USB-Devices. Gibt es trotzdem einen Schutz vor BadUSB?

Um auch ohne die globale Sperre von USB-Devices einen wirksamen Schutz aufzubauen, können mit der Lumension Endpoint Security Suite die folgenden Methoden eingesetzt werden:

  • Device Encryption – USB-Geräte können angewiesen werden, nur verschlüsselt über den LES-Client zu kommunizieren. BadUSB-Attacken werden dadurch deutlich erschwert, denn jegliche Kommunikation muss den LES-Client durchlaufen und dessen Richtlinien entsprechen.
  • Application Control – Das Sperren von nicht-authorisierter Software mittels Lumension Application Control kann genutzt werden, um das Ausführen von Schadsoftware vom BadUSB-Gerät zu verhindern.

 

 

aikux.com GmbH
Lumension Gold-Partner
Tel. +49 (30) 8095010-40
info@aikux.com

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*
= 3 + 5

Wordpress SEO Plugin by SEOPressor