[datensicherheit.de, 23.04.2020] Sicherheitsforscher der Firma Varonis Systems, Inc. zeigen mit einem neuen Proof of Concept, wie ein On-Premises-Server (Azure Agent) manipuliert werden kann, wodurch Angreifer in der Lage sind, eine Hintertür einzurichten und Benutzeranmeldeinformationen zu sammeln. Azure Agent-Server werden benötigt, um Azure Active Directory (AD) und das lokale Active Directory zu synchronisieren. Wurde dieser kompromittiert, können Angreifer eine Hintertür erstellen, die es ihnen ermöglicht, eine Liste sämtlicher synchronisierter Benutzer inkl. Passwörter zu erzeugen und sich als jeder synchronisierte Benutzer anzumelden.

Azure AD Connect-Authentifizierungsmethoden

Azure AD Connect verbindet eine Azure AD-Umgebung mit einer lokalen Domäne und bietet hierfür verschiedene Authentifizierungsmethoden:

• Passwort-Hash-Synchronisierung, durch welche die lokalen Vor-Ort-Hashes mit der Cloud synchronisiert werden
• Pass-Through-Authentifizierung, bei der ein „Azure-Agent“ vor Ort installiert wird, der synchronisierte Benutzer aus der Cloud authentifiziert
• Föderierte Integration, die sich auf eine AD FS-Infrastruktur stützt

Die beschriebene Angriffsmethode nutzt den Azure-Agenten aus, der für die Pass-Through-Authentifizierung verwendet wird. Hierbei versucht gemäß der Microsoft-Dokumentation der Authentifizierungsagent, den Benutzernamen und das Kennwort gegen das lokale Active Directory zu validieren, indem er die Win32 LogonUser-API mit dem Parameter dwLogonType verwendet. Durch den Einsatz des Tools API Monitor, welches sämtliche API-Aufrufe von Diensten und Anwendungen protokolliert, erhält man das Passwort des entsprechenden Nutzers. Voraussetzung hierfür ist jedoch, dass der Angreifer Administratorenrechte auf einem Server, auf dem ein Azure-Agent installiert ist, besitzt. Ohne weiteren großen Aufwand ist es dann möglich, eine Liste sämtlicher synchronisierter Benutzer, die sich mit Azure AD (z.B. O365) verbinden, zu erstellen – inklusive der jeweiligen Passwörter im Klartext. Darüber hinaus können Angreifer eine Art Generalschlüssel erstellen, der es ihnen erlaubt, sich als beliebiger Benutzer mit einem vom ihnen gewählten Passwort zu authentifizieren. Auf diese Weise kann sich jeder Benutzer immer noch mit seinem eigenen Passwort verbinden, Angreifer können sich aber erfolgreich als jeder Benutzer authentifizieren, indem sie das von ihnen erstellte Passwort verwenden.

Die Sicherheitsforscher von Varonis weisen darauf hin, dass es sich bei dem beschriebenen Angriffsweg um keine Schwachstelle handelt, sondern um eine neue Möglichkeit, eine Azure-synchronisierte Umgebung zu kompromittieren. Ein Angreifer benötigt hierzu einen privilegierten Zugang, um den Azure-Agenten auf diese Weise auszunutzen. Entsprechend ist auch mit keinem Patch seitens Microsoft zu rechnen. Das Microsoft Security Response Center wurde kontaktiert, sieht aber hierin „keine Schwachstelle in einem Microsoft-Produkt oder -Dienst, die es einem Angreifer ermöglichen würde, die Integrität, Verfügbarkeit oder Vertraulichkeit eines Microsoft-Angebots zu gefährden.“

Bild: Varonis

Der Azure-Autrhentifizierungsprozess

Schutzmaßnahmen

Privilegierte Angreifer könnten diesen Exploit nutzen, um eine Hintertür zu installieren oder Passwörter zu sammeln. Die herkömmliche Protokollanalyse kann dies möglicherweise nicht erkennen, wenn der Angreifer weiß, wie er seine Spuren verwischt. Die Verwendung von Multi-Faktor-Authentifizierung (MFA) kann verhindern, dass sich Angreifer mit einem gefälschten Passwort mit der Azure-Cloud verbinden, obwohl dieser Angriff dazu verwendet werden könnte, Passwörter in MFA-fähigen Umgebungen zu sammeln. Eine weitere Schutzmaßnahme gegen diesen Angriff besteht darin, die Server des Azure-Agenten zu sichern, die Benutzeraktivitäten auf ungewöhnliche Ressourcen- und Datenzugriffe zu überwachen und durch Klassifizierung Dateien zu entdecken, die Klartext-Benutzernamen und Passwörter enthalten.

Weitere Informationen zum Thema:

Varonis
Azure Skeleton Key: Exploiting Pass-Through Auth to Steal Credentials

datensicherheit.de, 25.07.2019
Cloud-Sicherheit: Mehr als 34 Millionen Schwachstellen in AWS, Azure und GCP

[datensicherheit.de, 19.02.2020] cirosec bietet ab sofort die neue Schulung „Sicherheit in Azure-Cloud-Umgebungen“ an. Nach diesem eintägigen Training besitzen die Teilnehmer ein tiefes Verständnis von Bedrohungen für Azure-Cloud-Umgebungen und können Maßnahmen und Empfehlungen zur Absicherung effizient umsetzen.

In diesem Kurs stellen erfahrenen Trainer sicherheitsrelevante Funktionen der Azure-Cloud vor. Des Weiteren werden Konfigurationsmöglichkeiten sowie Maßnahmen für die Administration und den sicheren Betrieb von Azure-Cloud-Umgebungen präsentiert.

Hands-on-Übungen und Demonstrationen

Ausgehend von typischen Bedrohungsszenarien lernen die Teilnehmer mithilfe von Hands-on-Übungen und Demonstrationen, welche Sicherheitsaspekte beim Design von Cloud-Architekturen, bei der Konfiguration und dem Betrieb beachtet werden sollten.

Im Rahmen der Schulung werden mit den Teilnehmern zunächst typische Bedrohungsszenarien und Risiken in Cloud-Umgebungen erörtert und im zweiten Teil die spezifischen Risiken in Azure-Cloud-Umgebungen diskutiert und Maßnahmen vorgestellt, um die erörterten Risiken zu minimieren. Darüber hinaus werden typische organisatorische und technische Herausforderungen des sicheren Betriebs einer Azure-Cloud-Umgebung aufgezeigt und mögliche Lösungsansätze diskutiert.

Zielgruppe der Fortbildung: Sicherheitsverantwortliche, Administratoren, IT-Architekten und Verantwortliche im Bereich Cloud

Die erste reguläre Schulung findet am 31. März 2020 in Ludwigsburg statt.

Weitere Informationen zum Thema:

cirosec
Sicherheit in Azure-Cloud-Umgebungen

[datensicherheit.de, 01.08.2019] Zscaler hat nach eigenen Angaben „große Phishing-Kampagnen hinter gefälschten Webseiten“ enttarnt. Bekannte Domains wie „Outlook“ und „OneDrive“ seien betroffen. Das „ThreatLabZ-Team“ bei Zscaler warnt aktuell vor verschiedenen Phishing-Angriffen mit „Microsoft Azure Custom“-Domains. Diese Webseiten seien mit einem Microsoft-SSL-Zertifikat signiert, um legitim zu erscheinen. Insgesamt seien 2.000 Phishing-Versuche innerhalb von sechs Wochen nachgewiesen worden. Zwei der Angriffs-Vektoren habe das Research-Team genauer untersucht.

Spam-Emails: SSL-Zertifikat von Microsoft missbraucht und eingefügt

Im ersten Beispiel hätten die Angreifer eine Spam-E-Mail an einen Anwender geschickt, „die vorgibt, von einem bestimmten Unternehmen zu stammen“. Sie informiert demnach den Benutzer, dass angeblich bereits sieben E-Mails von diesem Unternehmer geschickt worden seien, welche jedoch unter Quarantäne gefallen seien. Zur Überprüfung der E-Mails werde dem Benutzer empfohlen, sich mit seinem Firmen-Account anzumelden. „Klickt das Opfer auf die Schaltfläche ‚E-Mails anzeigen‘, wird es auf eine Outlook-Login-Phishing-Seite weitergeleitet.“
Für den Fall, dass die Anwender aufgrund der unbekannten URL an der Echtheit der Seite zweifeln, hätten die Angreifer ein SSL-Zertifikat von Microsoft missbraucht und eingefügt. Lässt sich der Benutzer davon täuschen und gibt seine Daten in das Formular ein, „fließen sie zur gefälschten Domain ab, die von den Kriminellen betrieben wird“.

Wie Sprachnachricht aussehender Infizierter HTML-E-Mail-Anhang

Im zweiten Beispiel hätten die Angreifer die Spam-E-Mail mit einer angehängten, wie eine Sprachnachricht aussehenden HTML-Datei verschickt. Sobald der Benutzer auf die HTML-Datei klickt, werde er auf die über die „Azure“-Domain abgebildete Phishing-Seite weitergeleitet. Bei dieser Vorgehensweise injizierten die Angreifer ein verschleiertes „JavaScript“, um die in ihrer Datenbank vorhandenen Anmeldedaten abzugleichen und unnötige Arbeit zu vermeiden. Ein versteckter Code überprüfe dabei die Zugangsdaten des Benutzers und sende sie an den Server des Angreifers.
Zusätzlich zu den „Outlook“-Phishing-Kampagnen seien weitere im Zusammenhang mit folgenden „Azure“-Domains entdeckt worden: Microsoft Phishing, OneDrive Phishing, Adobe Document Phishing und Blockchain Phishing. Zscaler habe Microsoft informiert, weswegen diese Webseiten zwischenzeitlich vom Netz genommen worden seien.
Plattform-Sicherheit gegen Cloud-Phishing

Sicherheitslösungen mit „Sandbox“-Funktionen empfohlen

Phishing-Angriffe häuften sich in den letzten Monaten. Vor allem über „Social Media“-Plattformen wie „LinkedIn“ würden viele vergleichbare Attacken gestartet. Die benannten Beispiele belegten darüber hinaus eine Zunahme von Phishing-Attacken gegen Cloud-Plattformen und ihre Domains. Das Zusammenspiel zwischen der IT-Sicherheit einer Cloud und der IT-Sicherheit von Unternehmen müsse daher reibungslos ablaufen.
Aus diesem Grund benötigten Unternehmen moderne Schutzmechanismen, „die gezielt ihre Plattformen abschirmen“. Solche Sicherheitslösungen sollten „Sandbox“-Funktionen beinhalten, um verdächtige Anhänge und Links filtern, isoliert untersuchen und abwehren zu können. Derartiger Plattform-Schutz des Herstellers oder Anbieters ergänze sehr wirkungsvoll den Sicherheits-Apparat der Unternehmen, die ihre Daten und Anwendungen auf die Cloud-Plattform setzen.

Weitere Informationen zum Thema:

zscaler, Gayathri Anbalagan, 16.07.2019
Abusing Microsoft’s Azure domains to host phishing attacks

datensicherheit.de, 01.07.2019
KnowBe4 unterstützt Unternehmen gegen Social Media-Phishing

datensicherheit.de, 26.06.2019
Zscaler: Warum Office 365 für Stau im Netzwerk sorgen kann

Anmerkung der Redaktion: In der ersten Version des Artikels war von 48 Millionen Schwachstellen die Rede. Wir haben die Anzahl korrigiert!

[datensicherheit.de, 25.07.2019] Unit 42, das Threat-Intelligence-Team von Palo Alto Networks, veröffentlicht heute den ersten Cloud Threat Risk Report, der wichtige Erkenntnisse aus Sicherheitsvorfällen in der Public Cloud im ersten Halbjahr 2019 behandelt.

Mangel an grundlegendem Sicherheitswissen erkennbar

Der Bericht zeigt, dass ein Mangel an grundlegendem Sicherheitswissen und Fehler auf Kundenseite nach wie vor die wichtigsten Wegbereiter für Cloud-Sicherheitsvorfälle und allgemeine Cloud-spezifische Schwachstellen sind. Dieses Problem wird sich mit zunehmender Cloud-Akzeptanz und zunehmender Komplexität dieser Umgebungen nur noch verschärfen.

Zu den wichtigsten Ergebnissen gehören: 

• Schlechte Patch-Disziplin sorgt für Schwachstellen: Unit 42 identifizierte mehr als 48 Millionen Schwachstellen bei AWS, Azure und GCP, was die Notwendigkeit einer Priorisierung von Patches verdeutlicht.
  • 29 Millionen Schwachstellen in AWS EC2 (Amazon)
  • 1,7 Millionen Schwachstellen in Azure Virtual Machine (Microsoft)
  • 4 Millionen Schwachstellen in der GCP Compute Engine (Google)
• Datenexposition steigt mit der Einführung von Containern: Unit 42 entdeckte mehr als 40.000 Containerplattformen mit Standardkonfigurationen, die dem Zugang via Internet ausgesetzt waren und eine Identifizierung mit einfachsten Suchbegriffen ermöglichten.
  • 23.354 Docker-Container
  • 20.353 Kubernetes-Container
• Cloud-Komplexität liefert tiefhängende Früchte für Angreifer: In den letzten 18 Monaten waren 65 Prozent der gemeldeten Vorfälle auf Fehlkonfigurationen zurückzuführen, wobei Datenverlust das häufigste Ergebnis von Angriffen auf die Cloud-Infrastruktur war.
• Malware erweitert Reichweite auf die Cloud: Unit 42 fand heraus, dass 28 Prozent der Unternehmen mit bösartigen Cryptomining-C2-Domains der Bedrohungsgruppe Rocke kommunizieren. Unit 42 hat diese Gruppe genau verfolgt und deren einzigartigen Taktiken, Techniken und Verfahren (Tactics, Techniques and Procedures – TTPs) erfasst, die es ihr ermöglichen, agentenbasierte Cloud-Sicherheitstools zu deaktivieren und zu deinstallieren.

Weitere Informationen zum Thema:

Palo Alto Networks
Cloudy with a Chance of Entropy

datensicherheit.de, 24.07.2019
Die Bedeutung des Cloud-Computing für die digitale Transformation

datensicherheit.de, 22.07.2019
Bitglass: Cloud Security Report 2019 veröffentlicht

datensicherheit.de, 07.03.2019
Multicloud-Umgebungen: Fünf Tipps für Datensicherheit

datensicherheit.de, 03.3.2019
Zscaler Cloud Security Insights Report: Anstieg der Phishing-Angriffe um 400 Prozent

datensicherheit.de, 21.02.2019
Cyberkriminalität: Druck auf Cloud-Anbieter nimmt zu

datensicherheit.de, 03.10.2018
Multi-Cloud: Umdenken bei der Planung von IT-Budgets erforderlich