Microsoft 365: Auf diese Angriffsarten sollten Firmen verstärkt achten

Kudelski Security nimmt Stellung zu häufig auftretenden Einfallstoren in Microsoft 365 und benennt hilfreiche Abwehrtaktiken

[datensicherheit.de, 22.08.2020] Phishing, „Legacy“-Protokolle, „Password Spraying“, „OAuth“-Attacken und mehr: Experten von Kudelski Security gehen in ihrer aktuellen Stellungnahme auf häufige „MS 365“-Einfallstore für Cyber-Kriminelle und auf hilfreiche Abwehrtaktiken ein. Rund 200 Millionen aktive Nutzer im Monat zählt demnach die Websuite „Microsoft 365“. Für diese riesige Zahl an Anwendern bestehe das Risiko, Opfer von Cyber-Kriminellen zu werden.

85% der 2019 registrierten Sicherheitsvorfälle E-Mail-Angriffe auf Microsoft 365

So ließen sich 85 Prozent der von Kudelski Security 2019 registrierten Sicherheitsvorfälle auf „365-E-Mail-Angriffe“ zurückführen. Dieses Einfallstor für Hacker gelte es „dringend zu schließen“, nicht zuletzt aufgrund der steigenden Anzahl von Mitarbeitern, die während der „Corona-Pandemie“ im Home-Office auf wichtige Firmendokumente zugreifen, E-Mails verschicken und mehr.
Spezialisten von Kudelski Security haben daher fünf Handlungsempfehlungen zusammengestellt, die eine sichere Nutzung von „MS Office 365“ unterstützen sollen:

1. Phishing, Password Spraying und Co. – typische Angriffstaktiken auf Microsoft 365

Seit Beginn der weltweiten „Lockdowns“ im Kontext von „Covid-19“ hätten Kudelski Security und andere Experten einen „extremen Anstieg von Phishing-Attacken“ festgestellt. Doch auch „Password Spraying“ komme vermehrt zum Einsatz. Hierbei versuchten Hacker, Zugriff auf viele Nutzerkonten über einige wenige, jedoch häufig genutzte Passwörter zu erhalten. Selbst mit Multi-Faktor-Authentifizierung (MFA) könnten Angreifer „Microsoft 365“-Konten kompromittieren, ohne überhaupt einen MFA-Push nachweisen oder einen zeitbasierten Einmal-Passwort-Code angeben zu müssen.
MFA schließe keine „Legacy“-Protokolle ein, die genutzt würden, um ältere Geräte und Protokolle zu aktivieren, die E-Mails anders als neuere Devices abriefen. Darum seien „Legacy Office“-Clients oder Drittparteilösungen, die keine aktive Synchronisierung verwendeten und auf „Legacy“-Protokolle setzten, also beispielsweise der Unternehmensdrucker, „willkommene Einfallstore für Hacker“: Hier würden sie nicht zur Eingabe eines MFA-Codes aufgefordert. Es gebe verschiedenste Tools, die es Angreifern via Brute-Force ermöglichten, „Office 365“-Accounts auf diese Art und Weise zu kompromittieren.

2. In Microsoft 365 Zugriff auf Legacy-Protokolle einschränken und Kontrollfunktionen nutzen!

„Wer wissen will, ob dies für die eigene ,Microsoft 365‘-Umgebung zutrifft, kann die Sign-In-Activity aufrufen. Zeigt die Client-Anwendung ältere ,Office‘-Clients oder andere Clients an, ist das ein Anzeichen für eine ,Legacy‘-Authentifizierung, die MFA nicht unterstützt. Bis vor Kurzem waren ,Legacy‘-Protokolle in ,Office 365‘ standardmäßig aktiviert. Wer Office 365-Tenants seit mehr als sechs Monaten im Einsatz hat, muss dies also besonders beachten.“
„Legacy“-Protokolle umgingen MFA, da sie darauf ausgelegt seien, Geräte zu unterstützen, die neuere E-Mail-Kommunikationsprotokolle nicht nutzten. Tipp: „Der Zugriff auf derartige Protokolle sollte so schnell wie möglich mit Kontrollfunktionen des ,Azure Active Directory‘ (Azure Active Directory Conditional Access) eingeschränkt werden. Es ist empfehlenswert, ,Legacy‘-Protokoll-Zugriffe nach Service-Account-Nutzernamen oder ,Office‘-IP-Adressen zu filtern, wenn es sich um Geräte wie Drucker oder Scanner handelt, die Daten senden müssen.“ Außerdem sollten spezielle Service-Konten erstellt werden, mit denen sich E-Mails von Geräten senden ließen, die MFA-fähige Protokolle nicht unterstützten. Zugleich müssten diese Accounts verlässlich überwacht werden.

3. OAuth-Attacken auf Microsoft 365 im Auge behalten!

Eine weitere Methode, die Angreifer nutzten, um „Microsoft 365“-Konten auszuspähen, sei „OAuth“. Hierbei handele es sich um zwei verschiedene offene Protokolle, die eine standardisierte API-Autorisierung für Desktop-, Web- und Mobile-Anwendungen erlaubten. Sie seien für Aktionen wie „Sign in with Facebook“ oder „Sign in with Google“ zuständig. Aber sie steuerten auch viele der „Active Directory Single-Sign-On“-Migrationen (SSO). Das Gefahrenpotenzial von „OAuth“ hänge davon ab, wie einer Anwendung Zugriff auf Daten gewährt wird. Ein Beispiel: „Wird mit Google eingeloggt, erlaubt Google den Anwendungen nur, E-Mails und den Namen des Anwenders abzurufen, denn das ist alles, was benötigt wird. Die Anwendungen können jedoch alle vorhandenen ,OAuth‘-Berechtigungen anfordern. Es kommt aktuell immer häufiger vor, dass Angreifer gefälschte Anwendungen bauen, die Lesezugriff auf E-Mails ohne Passwort und ohne jegliche Zugangsdaten anfordern.“
In dem Moment, in dem ein Benutzer auf „Akzeptieren“ drückt, gewähre er Hackern Zugriff auf seinen E-Mail-Posteingang, ohne dass diese ein Passwort angeben müssten. Das Problem: „Office 365“-Administratoren könnten dauerhaft Zugang zu allen Daten einer Organisation, Mailboxen und „Active Directory“-Umgebung gewähren. Dies bereite Sicherheitsexperten zunehmend Sorge. Tipp: „Microsoft stellt spezielle Tools zur Verfügung, die es Organisationen ermöglichen, nach bösartigen Zugriffen Ausschau zu halten. Administratoren können Anwendungen, die derartige Informationen anfordern, zudem vorab genehmigen – ein weiterer wichtiger Schritt in Richtung mehr Sicherheit.“

4. Risiko E-Mail-Weiterleitungen in Microsoft 365 nicht unterschätzen!

Ein weiteres Problem sei, dass Cyber-Kriminelle Mailweiterleitungsregeln in IT-Umgebungen ausnutzten, in denen das Thema Sicherheit zu einseitig und nachlässig behandelt werde. „So wiegen sich Unternehmen in Sicherheit, da sie einen Angriff aufgedeckt haben. Es kommt jedoch häufig vor, dass Angreifer, die Zugriff auf ein Konto erhalten haben, sofort eine Weiterleitung einrichten: Jede E-Mail an dieses Konto geht sofort weiter an eine dritte Partei.“
Hinzu kämen Weiterleitungsregeln, die nach Aufforderungen wie „Hallo, ich habe gerade eine E-Mail von dir erhalten, die seltsam aussieht. Bist du sicher, dass du sie geschickt hast?“ suchten. Angreifer löschten derartige Antworten automatisch, so dass, „wenn ein Benutzer kompromittiert wurde und jemand auf diese Mails antwortet, der User es nicht sehen kann“. E-Mail-Regeln dieser Art blieben selbst nach Änderung der Anmeldeinformationen bestehen. Es gebe sogar ein Tool, das es Angreifern ermögliche, eine von MS zur Verfügung gestellte API zu nutzen, die Regeln vor „Outlook“-Clients zu verstecken und ihr Handeln so noch besser zu verschleiern. Tipp: Unternehmen sollten sich immer wieder mit neuen Angriffsarten und Abwehrmechanismen beschäftigen und gegebenenfalls Experten zurate ziehen.

5. Einfallstor Outlook-Formular bei Microsoft 365 berücksichtigen!

Hacker nutzten außerdem vermehrt „Outlook“-Formulare (Outlook Forms), um „Microsoft 365“-Konten zu kompromittieren. Derartige Formulare würden verwendet, um benutzerdefinierte Anwendungen anzuzeigen, die etwa mit E-Mail-Kalendereinladungen einhergingen. Das Team von MS habe ein „Outlook“-Formular entworfen, mit dem User diese Einladungen annehmen oder ablehnen könnten. Angreifer könnten allerdings eigene Formulare erstellen und sie in bestimmten Ordnern wie dem Posteingang veröffentlichen.
Anschließend werde dieser mit dem Firmen-Laptop synchronisiert oder dem E-Mail-Client des Mobiltelefons, auf dem „Outlook“ genutzt wird. Um das „Outlook“-Formular und den darin eingebetteten Code auszulösen, müsse ein Angreifer lediglich eine E-Mail der entsprechenden Nachrichtenklasse senden. Dieser Problematik sollten sich „MS 365“-Anwenderunternehmen demnach ebenfalls widmen.

Fazit: IAM für Microsoft 365 vereinfachen, Daten verlässlich sichern und Abwehr stärken!

„Immer mehr Unternehmen wünschen sich, dass ihre Mitarbeiter überall produktiv arbeiten können. Die ,Corona‘-Krise hat diesen Trend noch verstärkt. ,Microsoft 365‘ kann sie dabei unterstützen. Gleichzeitig gilt es, Daten, Anwendungen und Benutzer in der Cloud bestmöglich abzusichern. Hier mangelt es so manchem Sicherheitsteam an Ressourcen und Expertise“, warnt Philippe Borloz, „Vice President EMEA Sales“ bei Kudelski Security.
Mithilfe der nativen Sicherheitsfunktionen in „Microsoft 365“ und „Azure“ im Zusammenspiel mit ihren proprietären Lösungen und ihrer Expertise unterstützten sie Unternehmen, ihr „Identity Access Management“ (IAM) zu vereinfachen, Daten besser zu schützen und zu kontrollieren. „Zudem optimieren wir den Überblick über existierende Bedrohungen, helfen ihnen bei der Abwehr hochentwickelter Angriffe sowie bei der Gewährleistung verlässlicher Sicherheit“, sagt Borloz.

Weitere Informationen zum Thema:

datensicherheit.de, 14.07.2020
Office 365: Zunehmender Missbrauch von Nutzerkonten / Jüngste Cyber-Angriffe im Kontext von Office 365 auf australische Regierung und Unternehmen deutliches Warnsignal

datensicherheit.de, 26.06.2019
Zscaler: Warum Office 365 für Stau im Netzwerk sorgen kann / Remote-Standorte müssen in der Planung berücksichtigt werden

datensicherheit.de, 03.02.2019
Microsoft 365-Nutzer konnten keine Links mehr öffnen / Datenschutzverletzung am 29. Januar 2019 spürbar geworden