Office 365: Zunehmender Missbrauch von Nutzerkonten

Jüngste Cyber-Angriffe im Kontext von Office 365 auf australische Regierung und Unternehmen deutliches Warnsignal

[datensicherheit.de, 14.07.2020] Die Multi-Faktor-Authentifizierung (MFA) sei eine gängige Maßnahme, aber es gebe immer Wege, um präventive Kontrollen zu umgehen. Eine der bekannten MFA-Umgehungstechniken ist demnach die Installation von schädlichen „Azure/O365-OAuth“-Applikationen. Vectra AI sieht nach eigenen Angaben in den jüngsten Cyber-Angriffen auf die australische Regierung und Unternehmen ein „deutliches Warnsignal für Unternehmen und öffentliche Einrichtungen auch in Europa“. Die staatlich unterstützten Cyber-Kriminellen, welche für die Angriffe in Australien verantwortlich gewesen seien, hätten „OAuth“ eingesetzt, eine Standardtechnik, welche für die Zugriffsdelegation in Applikationen verwendet werde, um unbefugten Zugang zu Cloud-Konten wie „Microsoft Office 365“ zu erhalten.

Andreas Müller, „Director DACH“, Foto: Vectra

Andreas Müller: Ein deutliches Warnsignal für Unternehmen und öffentliche Einrichtungen auch in Europa

Angreifer schufen schädliche Office 365-Anwendung

Den Berichten zufolge hätten die Angreifer eine schädliche „Office 365“-Anwendung geschaffen, welche als Teil eines Speer-Phishing-Links an Zielnutzer hätten gesendet werden sollen. Diese Anwendung werde als legitim dargestellt; in diesem Fall sei die Anwendung ähnlich benannt wie eine bekannte E-Mail-Filterlösung, welche in der australischen Regierung weit verbreitet sei.
Beim Empfang überzeuge die schädliche Anwendung das Opfer davon, die Erlaubnis zum Zugriff auf Daten im Konto des Benutzers zu erteilen. Dabei gehe es vor allem um Dinge wie Offline-Zugriff, Benutzerprofilinformationen und die Möglichkeit, E-Mails zu lesen, zu verschieben und zu löschen.

Bei Erfolg hat der Angreifer direkten Zugriff auf ein internes Office 365-Konto

„Bei Erfolg hat dann der Angreifer direkten Zugriff auf ein internes ,Office 365‘-Konto. Dies ist eine perfekte Plattform zum Phishing anderer interner Ziele oder zum Ausführen schädlicher Aktionen innerhalb von ,Office 365, im Zusammenhang mit ,SharePoint‘, ,OneDrive‘, ,Exchange‘ und ,Teams‘“, erläutert Andreas Müller, „Director DACH“ bei Vectra AI.
Bei dieser Art von Angriff werde auf dem Endpunkt kein Schadcode ausgeführt, so dass kein Signal für die Erkennung durch Endpunkt-Sicherheitssoftware entstehe. Eine legitim konstruierte „Office 365“-Anwendung, welche für solche böswilligen Absichten verwendet werde, biete dem Angreifer auch dauerhaften Zugriff auf ein Benutzerkonto, unabhängig davon, ob der Benutzer sein Kennwort ändert oder MFA nutzt. Die meisten Benutzer inventarisierten ihre „Office 365“-Anwendungen nicht in einem regelmäßigen Rhythmus, so dass es für längere Zeit unwahrscheinlich sei, dass sie etwas bemerken würden.

Office 365 ermöglicht es Endbenutzern, Anwendungen ohne Zustimmung der Administratoren zu installieren

Müller: „Wir erwarten, dass diese Art von Angriffen in Zukunft häufiger vorkommen wird. ,Office 365‘ ermöglicht es Endbenutzern, Anwendungen ohne Zustimmung der Administratoren zu installieren. Ein effektiver Ansatz ist die Implementierung von Detection-basierten Lösungen.“
Durch die Analyse und Korrelation von Ereignissen, wie verdächtige Anmeldungen, schädlicher Anwendungsinstallationen, Regeln für die E-Mail-Weiterleitung oder Missbrauch nativer „Office 365“-Tools, sei es möglich, Sicherheitsteams zu alarmieren, bevor Schaden entsteht. Mittlerweile gebe es aber Anwendungen in Security-Plattformen, die auf künstlicher Intelligenz (KI) basierten, und die explizit zur Erkennung solcher Verhaltensweisen in „Office 365“ entwickelt worden seien.

Weitere Informationen zum Thema:

datensicherheit.de, 19.05.2020
Hacker-Angriff auf Easyjet