Die Angriffe mit SwiftSlicer zeigen einmal mehr, welche Bedeutung Active-Directory-Gruppenrichtlinien für Unternehmen haben sollten. Diese Entwicklung liefert ein weiteres Beispiel dafür, wie Cyberkriminelle einen häufig anfälligen Teil der Infrastruktur einer Organisation sehr leicht ausnutzen können.
Die Kompromittierung von Gruppenrichtlinien, die in den IT-Umgebungen von Unternehmen verwendet werden, ist eine beunruhigend effektive Methode zur Verbreitung gefährlicher Malware wie Wiper oder Ransomware. Unter Umständen können Angreifer dadurch auch auf kritische Daten zugreifen, Malware auf allen Domänencontrollern installieren und nicht verifizierten Parteien den Zugriff auf das Unternehmensnetzwerk ermöglichen – ganz zu schweigen von weiteren Risiken, die mit mangelhaft verwalteten Gruppenrichtlinien einhergehen.
Leider betrachten viele Unternehmen die AD-Gruppenrichtlinien nicht als zentralen Bestandteil ihrer Sicherheitsstrategie. Und eine AD-Umgebung kann sehr komplex werden, was Angriffen wie diesem Tür und Tor öffnet. Attacken, die Gruppenrichtlinien ausnutzen, gibt es zwar schon seit vielen Jahren. Jedoch wirft die Tatsache, dass diese Methode zur Kompromittierung nach wie vor von versierten (auch staatlich geförderten) Hackergruppen effektiv zum Einsatz gebracht wird, ein Schlaglicht auf die Notwendigkeit, das AD mehr in den Fokus der Cybersicherheit zu rücken. Unternehmen sollten ein starkes Gruppenrichtlinienmanagement implementieren, um den Zugriff auf Gruppenrichtlinien auf ein Minimum zu reduzieren und Änderungen an wichtigen Einstellungen zu blockieren. Bereits diese wenigen Schritte können den Schutz einer Organisation vor Malware wie SwiftSlicer erheblich verbessern.