Aktuelles, Branche - geschrieben von dp am Dienstag, Juli 14, 2020 20:19 - noch keine Kommentare
Office 365: Zunehmender Missbrauch von Nutzerkonten
Jüngste Cyber-Angriffe im Kontext von Office 365 auf australische Regierung und Unternehmen deutliches Warnsignal
[datensicherheit.de, 14.07.2020] Die Multi-Faktor-Authentifizierung (MFA) sei eine gängige Maßnahme, aber es gebe immer Wege, um präventive Kontrollen zu umgehen. Eine der bekannten MFA-Umgehungstechniken ist demnach die Installation von schädlichen „Azure/O365-OAuth“-Applikationen. Vectra AI sieht nach eigenen Angaben in den jüngsten Cyber-Angriffen auf die australische Regierung und Unternehmen ein „deutliches Warnsignal für Unternehmen und öffentliche Einrichtungen auch in Europa“. Die staatlich unterstützten Cyber-Kriminellen, welche für die Angriffe in Australien verantwortlich gewesen seien, hätten „OAuth“ eingesetzt, eine Standardtechnik, welche für die Zugriffsdelegation in Applikationen verwendet werde, um unbefugten Zugang zu Cloud-Konten wie „Microsoft Office 365“ zu erhalten.
Andreas Müller: Ein deutliches Warnsignal für Unternehmen und öffentliche Einrichtungen auch in Europa
Angreifer schufen schädliche Office 365-Anwendung
Den Berichten zufolge hätten die Angreifer eine schädliche „Office 365“-Anwendung geschaffen, welche als Teil eines Speer-Phishing-Links an Zielnutzer hätten gesendet werden sollen. Diese Anwendung werde als legitim dargestellt; in diesem Fall sei die Anwendung ähnlich benannt wie eine bekannte E-Mail-Filterlösung, welche in der australischen Regierung weit verbreitet sei.
Beim Empfang überzeuge die schädliche Anwendung das Opfer davon, die Erlaubnis zum Zugriff auf Daten im Konto des Benutzers zu erteilen. Dabei gehe es vor allem um Dinge wie Offline-Zugriff, Benutzerprofilinformationen und die Möglichkeit, E-Mails zu lesen, zu verschieben und zu löschen.
Bei Erfolg hat der Angreifer direkten Zugriff auf ein internes Office 365-Konto
„Bei Erfolg hat dann der Angreifer direkten Zugriff auf ein internes ,Office 365‘-Konto. Dies ist eine perfekte Plattform zum Phishing anderer interner Ziele oder zum Ausführen schädlicher Aktionen innerhalb von ,Office 365, im Zusammenhang mit ,SharePoint‘, ,OneDrive‘, ,Exchange‘ und ,Teams‘“, erläutert Andreas Müller, „Director DACH“ bei Vectra AI.
Bei dieser Art von Angriff werde auf dem Endpunkt kein Schadcode ausgeführt, so dass kein Signal für die Erkennung durch Endpunkt-Sicherheitssoftware entstehe. Eine legitim konstruierte „Office 365“-Anwendung, welche für solche böswilligen Absichten verwendet werde, biete dem Angreifer auch dauerhaften Zugriff auf ein Benutzerkonto, unabhängig davon, ob der Benutzer sein Kennwort ändert oder MFA nutzt. Die meisten Benutzer inventarisierten ihre „Office 365“-Anwendungen nicht in einem regelmäßigen Rhythmus, so dass es für längere Zeit unwahrscheinlich sei, dass sie etwas bemerken würden.
Office 365 ermöglicht es Endbenutzern, Anwendungen ohne Zustimmung der Administratoren zu installieren
Müller: „Wir erwarten, dass diese Art von Angriffen in Zukunft häufiger vorkommen wird. ,Office 365‘ ermöglicht es Endbenutzern, Anwendungen ohne Zustimmung der Administratoren zu installieren. Ein effektiver Ansatz ist die Implementierung von Detection-basierten Lösungen.“
Durch die Analyse und Korrelation von Ereignissen, wie verdächtige Anmeldungen, schädlicher Anwendungsinstallationen, Regeln für die E-Mail-Weiterleitung oder Missbrauch nativer „Office 365“-Tools, sei es möglich, Sicherheitsteams zu alarmieren, bevor Schaden entsteht. Mittlerweile gebe es aber Anwendungen in Security-Plattformen, die auf künstlicher Intelligenz (KI) basierten, und die explizit zur Erkennung solcher Verhaltensweisen in „Office 365“ entwickelt worden seien.
Weitere Informationen zum Thema:
datensicherheit.de, 19.05.2020
Hacker-Angriff auf Easyjet
Aktuelles, Experten - Dez 4, 2024 18:35 - noch keine Kommentare
Vorratsdatenspeicherung in Dauerschleife: eco fordert endlich klare Linie zum Schutz der Grundrechte
weitere Beiträge in Experten
- Crimenetwork: BKA und ZIT gelang Abschaltung
- TÜV Rheinland meldet weiter verschärfte IT-Sicherheitslage in Deutschland
- Datensouveränität: Bedeutung der Self Sovereign Identities
- Black Friday: Auch BSI warnt Schnäppchenjäger vor Cyber-Kriminellen
- Beantragung kostenfreier Schufa-Auskünfte gegen Entgelt: Verbraucherzentrale NRW moniert Web-Angebote
Aktuelles, Branche, Studien - Dez 6, 2024 13:54 - noch keine Kommentare
KnowBe4 veröffentlicht Phishing-Trends im dritten Quartal 2024 – QR-Code-Phishing auf dem Vormarsch
weitere Beiträge in Branche
- Banken müssen Cyber-Bedrohungslandschaft mit fortschrittlicher Sicherheitsstrategie begegnen
- KI-basierte Deepfakes zur effektiven Täuschung als Angriffsvektor etabliert
- Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe
- Rund um den Black Friday 2024: Cyber-Gefahren für Einzelhandel drastisch zugenommen
- NIS-2 kompakt: it’s.BB e.V. lädt zu Präsenz-Awareness-Veranstaltung ein
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren