Anzeige

Security

Rund 200 Millionen aktive Nutzer im Monat zählt die Websuite Microsoft 365. Für die riesige Zahl an Anwendern besteht das Risiko, Opfer von Cyberkriminellen zu werden.

So lassen sich 85 Prozent der Sicherheitsvorfälle, die von Kudelski Security 2019 registriert wurden, auf 365-E-Mail-Angriffe zurückführen. Dieses Einfallstor für Hacker gilt es demnach dringend zu schließen, nicht zuletzt aufgrund der steigenden Anzahl von Mitarbeitern, die während der Corona-Pandemie im Homeoffice auf wichtige Firmendokumente zugreifen, E-Mails verschicken und mehr. Die Spezialisten von Kudelski Security haben daher fünf Handlungsempfehlungen zusammengestellt, die eine sichere Nutzung von MS Office 365 unterstützen.

1. Phishing, Password Spraying und Co.: Auf diese Angriffstaktiken achten

Seit Beginn der weltweiten Lockdowns aufgrund von Covid-19 haben Kudelski Security und andere Experten einen extremen Anstieg von Phishing-Attacken festgestellt. Doch auch Password Spraying kommt vermehrt zum Einsatz. Hierbei versuchen Hacker, Zugriff auf viele Nutzerkonten über einige wenige, jedoch häufig genutzte Passwörter zu erhalten. Selbst mit Multi-Faktor-Authentifizierung (MFA) können Angreifer Microsoft 365-Konten kompromittieren, ohne überhaupt einen MFA-Push nachweisen oder einen zeitbasierten Einmal-Passwort-Code angeben zu müssen.

MFA schließt keine Legacy-Protokolle ein, die genutzt werden, um ältere Geräte und Protokolle zu aktivieren, die E-Mails anders als neuere Devices abrufen. Darum sind Legacy Office-Clients oder Drittparteilösungen, die keine aktive Synchronisierung verwenden und auf Legacy-Protokolle setzen, also beispielsweise der Unternehmensdrucker, willkommene Einfallstore für Hacker: Hier werden sie nicht zur Eingabe eines MFA-Codes aufgefordert. Es gibt verschiedenste Tools, die es Angreifern via Brute-Force ermöglichen, Office 365-Accounts auf diese Art und Weise zu kompromittieren.

2. Zugriff auf Legacy-Protokolle einschränken und Kontrollfunktionen nutzen

Wer wissen will, ob dies für die eigene Microsoft 365-Umgebung zutrifft, kann die Sign-In-Activity aufrufen. Zeigt die Client-Anwendung ältere Office-Clients oder andere Clients an, ist das ein Anzeichen für eine Legacy-Authentifizierung, die MFA nicht unterstützt. Bis vor Kurzem waren Legacy-Protokolle in Office 365 standardmäßig aktiviert. Wer Office 365-Tenants seit mehr als sechs Monaten im Einsatz hat, muss dies also besonders beachten. Legacy-Protokolle umgehen MFA, da sie darauf ausgelegt sind, Geräte zu unterstützen, die neuere E-Mail-Kommunikationsprotokolle nicht nutzen. Tipp: Der Zugriff auf derartige Protokolle sollte so schnell wie möglich mit Kontrollfunktionen des Azure Active Directory (Azure Active Directory Conditional Access) eingeschränkt werden. Es ist empfehlenswert, Legacy-Protokoll-Zugriffe nach Service-Account-Nutzernamen oder Office-IP-Adressen zu filtern, wenn es sich um Geräte wie Drucker oder Scanner handelt, die Daten senden müssen. Außerdem sollten spezielle Service-Konten erstellt werden, mit denen sich E-Mails von Geräten senden lassen, die MFA-fähige Protokolle nicht unterstützen. Zugleich müssen diese Accounts verlässlich überwacht werden.

3. OAuth-Attacken im Auge behalten

Eine weitere Methode, die Angreifer nutzen, um Microsoft 365-Konten auszuspähen, ist OAuth. Hierbei handelt es sich um zwei verschiedene offene Protokolle, die eine standardisierte API-Autorisierung für Desktop-, Web- und Mobile-Anwendungen erlauben. Sie sind für Aktionen wie „Sign in with Facebook“ oder „Sign in with Google“ zuständig. Aber sie steuern auch viele der Active Directory Single-Sign-On (SSO)-Migrationen. Das Gefahrenpotenzial von OAuth hängt davon ab, wie einer Anwendung Zugriff auf Daten gewährt wird. Ein Beispiel: Wird mit Google eingeloggt, erlaubt Google den Anwendungen nur, E-Mails und den Namen des Anwenders abzurufen, denn das ist alles, was benötigt wird. Die Anwendungen können jedoch alle vorhandenen OAuth-Berechtigungen anfordern.

Es kommt aktuell immer häufiger vor, dass Angreifer gefälschte Anwendungen bauen, die Lesezugriff auf E-Mails ohne Passwort und ohne jegliche Zugangsdaten anfordern. In dem Moment, in dem ein Benutzer auf „Akzeptieren“ drückt, gewährt er Hackern Zugriff auf seinen E-Mail-Posteingang, ohne dass diese ein Passwort angeben müssen. Das Problem: Office 365-Administratoren können dauerhaft Zugang zu allen Daten einer Organisation, Mailboxen und Active Directory-Umgebung gewähren. Dies bereitet Sicherheitsexperten zunehmend Sorge. Tipp: Microsoft stellt spezielle Tools zur Verfügung, die es Organisationen ermöglichen, nach bösartigen Zugriffen Ausschau zu halten. Administratoren können Anwendungen, die derartige Informationen anfordern, zudem vorab genehmigen – ein weiterer wichtiger Schritt in Richtung mehr Sicherheit.

4. Risiko E-Mail-Weiterleitungen nicht unterschätzen

Ein weiteres Problem ist, dass Cyberkriminelle Mailweiterleitungsregeln in IT-Umgebungen ausnutzen, in denen das Thema Sicherheit zu einseitig und nachlässig behandelt wird. So wiegen sich Unternehmen in Sicherheit, da sie einen Angriff aufgedeckt haben. Es kommt jedoch häufig vor, dass Angreifer, die Zugriff auf ein Konto erhalten haben, sofort eine Weiterleitung einrichten: Jede E-Mail an dieses Konto geht sofort weiter an eine dritte Partei. Hinzu kommen Weiterleitungsregeln, die nach Aufforderungen wie „Hallo, ich habe gerade eine E-Mail von dir erhalten, die seltsam aussieht. Bist du sicher, dass du sie geschickt hast?“ suchen. Angreifer löschen derartige Antworten automatisch, so dass, wenn ein Benutzer kompromittiert wurde und jemand auf diese Mails antwortet, der User es nicht sehen kann.

E-Mail-Regeln dieser Art bleiben selbst nach Änderung der Anmeldeinformationen bestehen. Es gibt sogar ein Tool, das es Angreifern ermöglicht, eine von MS zur Verfügung gestellte API zu nutzen, die Regeln vor Outlook-Clients zu verstecken und ihr Handeln so noch besser zu verschleiern. Tipp: Unternehmen sollten sich immer wieder mit neuen Angriffsarten und Abwehrmechanismen beschäftigen und gegebenenfalls Experten zurate ziehen.

5. Einfallstor Outlook-Formular berücksichtigen

Hacker nutzen außerdem vermehrt Outlook-Formulare (Outlook Forms), um Microsoft 365-Konten zu kompromittieren. Derartige Formulare werden verwendet, um benutzerdefinierte Anwendungen anzuzeigen, die etwa mit E-Mail-Kalendereinladungen einhergehen. Das Team von MS hat ein Outlook-Formular entworfen, mit dem User diese Einladungen annehmen oder ablehnen können. Angreifer können allerdings eigene Formulare erstellen und sie in bestimmten Ordnern wie dem Posteingang veröffentlichen. Anschließend wird dieser mit dem Firmen-Laptop synchronisiert oder dem E-Mail-Client des Handys, auf dem Outlook genutzt wird. Um das Outlook-Formular und den darin eingebetteten Code auszulösen, muss ein Angreifer lediglich eine E-Mail der entsprechenden Nachrichtenklasse senden. Dieser Problematik sollten sich MS 365-Anwenderunternehmen demnach ebenfalls widmen.

Fazit: IAM vereinfachen, Daten verlässlich sichern und Abwehr stärken

Philippe Borloz, Vice President EMEA Sales bei Kudelski Security, resümiert: „Immer mehr Unternehmen wünschen sich, dass ihre Mitarbeiter überall produktiv arbeiten können. Die Corona-Krise hat diesen Trend noch verstärkt. Microsoft 365 kann sie dabei unterstützen. Gleichzeitig gilt es, Daten, Anwendungen und Benutzer in der Cloud bestmöglich abzusichern. Hier mangelt es so manchem Sicherheitsteam an Ressourcen und Expertise. Mithilfe der nativen Sicherheitsfunktionen in Microsoft 365 und Azure im Zusammenspiel mit unseren proprietären Lösungen und unserer Expertise unterstützen wir Unternehmen, ihr Identity Access Management – kurz IAM – zu vereinfachen, Daten besser zu schützen und zu kontrollieren. Zudem optimieren wir den Überblick über existierende Bedrohungen, helfen ihnen bei der Abwehr hochentwickelter Angriffe sowie bei der Gewährleistung verlässlicher Sicherheit.“ 

www.kudelskisecurity.com/de/


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Hacker
Aug 20, 2020

Router und professionelle IoT-Umgebungen bedroht

ESET-Forscher haben Sicherheitslücken in Geräten mit WiFi-Chips der Hersteller Qualcomm…
Emotet Malware
Aug 19, 2020

Schadsoftware Emotet ist zurück

Emotet ist zurück: Wie Phoenix aus der Asche kehrt der Trojaner nach knapp fünfmonatiger…
Phishing
Aug 13, 2020

Die meistimitierten Marken bei Phishing-Attacken

Phishing gehört zu den häufigsten Betrugsversuchen im Internet. Die Ziele der Attacken…

Weitere Artikel

Cloud Security

Securepoint bietet Backup-Lösung in der deutschen Cloud

Der IT-Sicherheitshersteller Securepoint hat zum 01. Dezember 2020 den Start einer cloudbasierten Datensicherung angekündigt, die von Systemhäusern einfach in ihre Services integriert werden kann.
Cybersecurity

Synopsys zum Bitkom-Leitfaden zur Software-Sicherheit

Der Branchenverband Bitkom hat kürzlich einen neuen Leitfaden zum Thema Softwaresicherheit verfasst. „Die Digitalisierungsprozesse in Wirtschaft und Gesellschaft führen dazu, dass Software und softwarebasierte Produkte zunehmend allgengewärtig sind.
Cybersecurity

Cyber Security Awareness ist kein technisches Thema

Im Jahr 2019 lag der durch Cyberkriminalität verursachte Schaden in Deutschland bei 87,7 Millionen Euro – mit steigender Tendenz. Die meisten Unternehmen haben die Zeichen der Zeit erkannt und investieren vermehrt in Hardware, Software und Services zur…
Cyber Security

Richtiger Umgang mit einem IT-Sicherheitsvorfall

Sicherheitsvorfälle können schwerwiegende Auswirkungen auf Unternehmen haben und hohe organisatorische und finanzielle Schäden verursachen. Um die Auswirkung zu minimieren, sind gute Prozesse und Verfahren zur schnellen und effizienten Behandlung zwingend…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!