Crypto Trojaner können jetzt auch Gruppenrichtlinien erstellen

Daher ist es für die Administratoren dringend notwendig, die Berechtigungen auf Gruppenrichtlinien unternehmensweit zu überprüfen. Ab Werk sind dort nur Domänen-Admins und Enterprise-Admins mit Schreibrechten ausgestattet. Aktuelle Sicherheitsprüfungen ergeben aber vereinzelt, dass auch andere Gruppen dort Schreibrechte haben – oder – noch schlimmer, Benutzer Adminrechte in der Domäne haben.

Aktuelle Verschlüsselungs Trojaner können Gruppenrichtlinien erstellen oder schreiben in die „Default Domain Policy – DDP). Dadurch können sie sich bei jedem Login eines Mitarbeiters im Netzwerk verbreiten und infizieren nach und nach alle PCs. Dabei werden wie von Locky schon bekannt, von dort aus alle Daten verschlüsselt, auf die der Benutzer Zugriff hat.

Davon ist dann auch der Administrator betroffen (auch dieser meldet sich ja an der Domäne an und zieht die Default Domain Richtlinie). Sobald dieser betroffen ist, sind alle Dateien verschlüsselt und nicht nur diejenigen, wo normale Benutzer Schreibrechte haben.

Tipp: Prüfen Sie in der Gruppenrichtlinien-Verwaltung in den Eigenschaften jedes GPO-Objekts, wer dort mehr als Lesezugriff hat. (Post ID:337)

Über den Autor:

Patrick Bärenfänger ist TÜV-zertifizierter IT-Security Manager und -Auditor und seit über 30 Jahren in der IT-Branche. Seine Schwerpunkte sind die Ausbildung/Zertifizierung von Systemkoordinatoren, Lizenz-Audits und IT-Systemprüfungen nach BSI-Grundschutz-Katalogen und IDW PS 330 und die Intrastruktur-Analyse und -Optimierung.