Aktuelles, Branche - geschrieben von dp am Dienstag, Juli 14, 2020 20:19 - noch keine Kommentare
Office 365: Zunehmender Missbrauch von Nutzerkonten
Jüngste Cyber-Angriffe im Kontext von Office 365 auf australische Regierung und Unternehmen deutliches Warnsignal
[datensicherheit.de, 14.07.2020] Die Multi-Faktor-Authentifizierung (MFA) sei eine gängige Maßnahme, aber es gebe immer Wege, um präventive Kontrollen zu umgehen. Eine der bekannten MFA-Umgehungstechniken ist demnach die Installation von schädlichen „Azure/O365-OAuth“-Applikationen. Vectra AI sieht nach eigenen Angaben in den jüngsten Cyber-Angriffen auf die australische Regierung und Unternehmen ein „deutliches Warnsignal für Unternehmen und öffentliche Einrichtungen auch in Europa“. Die staatlich unterstützten Cyber-Kriminellen, welche für die Angriffe in Australien verantwortlich gewesen seien, hätten „OAuth“ eingesetzt, eine Standardtechnik, welche für die Zugriffsdelegation in Applikationen verwendet werde, um unbefugten Zugang zu Cloud-Konten wie „Microsoft Office 365“ zu erhalten.
Andreas Müller: Ein deutliches Warnsignal für Unternehmen und öffentliche Einrichtungen auch in Europa
Angreifer schufen schädliche Office 365-Anwendung
Den Berichten zufolge hätten die Angreifer eine schädliche „Office 365“-Anwendung geschaffen, welche als Teil eines Speer-Phishing-Links an Zielnutzer hätten gesendet werden sollen. Diese Anwendung werde als legitim dargestellt; in diesem Fall sei die Anwendung ähnlich benannt wie eine bekannte E-Mail-Filterlösung, welche in der australischen Regierung weit verbreitet sei.
Beim Empfang überzeuge die schädliche Anwendung das Opfer davon, die Erlaubnis zum Zugriff auf Daten im Konto des Benutzers zu erteilen. Dabei gehe es vor allem um Dinge wie Offline-Zugriff, Benutzerprofilinformationen und die Möglichkeit, E-Mails zu lesen, zu verschieben und zu löschen.
Bei Erfolg hat der Angreifer direkten Zugriff auf ein internes Office 365-Konto
„Bei Erfolg hat dann der Angreifer direkten Zugriff auf ein internes ,Office 365‘-Konto. Dies ist eine perfekte Plattform zum Phishing anderer interner Ziele oder zum Ausführen schädlicher Aktionen innerhalb von ,Office 365, im Zusammenhang mit ,SharePoint‘, ,OneDrive‘, ,Exchange‘ und ,Teams‘“, erläutert Andreas Müller, „Director DACH“ bei Vectra AI.
Bei dieser Art von Angriff werde auf dem Endpunkt kein Schadcode ausgeführt, so dass kein Signal für die Erkennung durch Endpunkt-Sicherheitssoftware entstehe. Eine legitim konstruierte „Office 365“-Anwendung, welche für solche böswilligen Absichten verwendet werde, biete dem Angreifer auch dauerhaften Zugriff auf ein Benutzerkonto, unabhängig davon, ob der Benutzer sein Kennwort ändert oder MFA nutzt. Die meisten Benutzer inventarisierten ihre „Office 365“-Anwendungen nicht in einem regelmäßigen Rhythmus, so dass es für längere Zeit unwahrscheinlich sei, dass sie etwas bemerken würden.
Office 365 ermöglicht es Endbenutzern, Anwendungen ohne Zustimmung der Administratoren zu installieren
Müller: „Wir erwarten, dass diese Art von Angriffen in Zukunft häufiger vorkommen wird. ,Office 365‘ ermöglicht es Endbenutzern, Anwendungen ohne Zustimmung der Administratoren zu installieren. Ein effektiver Ansatz ist die Implementierung von Detection-basierten Lösungen.“
Durch die Analyse und Korrelation von Ereignissen, wie verdächtige Anmeldungen, schädlicher Anwendungsinstallationen, Regeln für die E-Mail-Weiterleitung oder Missbrauch nativer „Office 365“-Tools, sei es möglich, Sicherheitsteams zu alarmieren, bevor Schaden entsteht. Mittlerweile gebe es aber Anwendungen in Security-Plattformen, die auf künstlicher Intelligenz (KI) basierten, und die explizit zur Erkennung solcher Verhaltensweisen in „Office 365“ entwickelt worden seien.
Weitere Informationen zum Thema:
datensicherheit.de, 19.05.2020
Hacker-Angriff auf Easyjet
Aktuelles, Experten, Studien - Juli 15, 2025 1:04 - noch keine Kommentare
Bitkom-Position zu Smartphones an Schulen: Leitlinien setzen statt pauschal Verbote auszusprechen
weitere Beiträge in Experten
- Mittels Quantenphysik soll der Eisenbahnverkehr vor Sabotage geschützt werden
- Windows 10: BSI warnt vor zunehmender Unsicherheit und rät zum Wechsel
- Stärkung der Cybersicherheit in Bund und Ländern: BSI und Baden-Württemberg kooperieren
- Leibniz-Center for Industrial Security: CISPA fokussiert auf Zukunft der Cybersicherheit
- KI-Modelle: BfDI hat öffentliches Konsultationsverfahren gestartet
Aktuelles, Branche - Juli 15, 2025 11:24 - noch keine Kommentare
VIE im Aufwärtstrend: Stärkung der Cybersicherheit am Wiener Flughafen
weitere Beiträge in Branche
- KI-Waffe Deepfake: Betrug, Identitätsdiebstahl und Angriffe auf Unternehmen
- Ameos Kliniken: Seit 7. Juli 2025 erhebliche IT-Ausfälle an allen deutschen Standorten
- Fragmentierte Cybersicherheit verursacht deren Schwächung
- Urlaub mit Social Media: Öffentliches WLAN nur geschützt nutzen
- Ambivalente Ransomware-Bedrohung: Sophos meldet weniger Attacken aber mehr Lösegeldzahlungen
Aktuelles, Branche, Umfragen - Juli 9, 2025 19:03 - noch keine Kommentare
DigiCert-Umfrage: Manuelle Zertifikatsprozesse führen zu Ausfällen, Compliance-Fehlern und hohen Verlusten im Unternehmen
weitere Beiträge in Service
- Threat Hunting: Bedeutung und Wertschätzung steigt
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
Kommentieren