[datensicherheit.de, 16.06.2022] IT-Sicherheitsexperten von Proofpoint haben nach eigenen Angaben eine potenziell gefährliche Funktion in „Microsoft 365“ identifiziert, welche es demnach Ransomware ermöglicht, auf „SharePoint Online“ und „OneDrive“ gespeicherte Dateien so zu verschlüsseln, „dass sie ohne spezielle Backups oder eine Entschlüsselung durch den Erpresser nicht wiederherstellbar sind“.

Abbildung: proofpoint

Angriffsmuster für Cloud-Ransomware-Attacken

In der bisherigen Wahrnehmung zielen Ransomware-Angriffe auf Endgeräte oder Netzlaufwerke…

Ransomware-Angriffe zielten für gewöhnlich auf Daten auf Endgeräten oder Netzlaufwerken. Bislang seien die meisten IT- und Sicherheitsteams der Meinung, „dass Cloud-Speicher besser gegen Ransomware-Angriffe geschützt sind“. Schließlich sollte die inzwischen bekannte „Automatisch speichern“-Funktion zusammen mit der Versionshistorie und dem guten alten „Papierkorb“ für Dateien als Backup ausreichen. Laut Erkenntnissen der Proofpoint-Experten handele es sich hierbei um eine Fehlannahme.
Das Proofpoint-Team habe die Schritte identifiziert und dokumentiert, welche dazu führten, „dass die Dateien in den Konten der angegriffenen Benutzer verschlüsselt werden“. Wie bei gewöhnlichen Ransomware-Angriffen könnten diese Dateien nach einer Infektion nur mit den entsprechenden Schlüsseln im Besitz der Erpresser wiederhergestellt werden.

Schritte einer Ransomware-Attacke in der Cloud

Die folgenden Aktionen könnten mithilfe von Microsoft-APIs, Befehlszeilenschnittstellen- (CLI) und „PowerShell“-Skripten automatisiert werden:

Anfänglicher Zugriff
Cyber-Kriminelle verschafften sich z.B. durch Phishing Zugriff auf „SharePoint Online“- oder „OneDrive“-Konten eines oder mehrerer Benutzer, indem sie die Identitäten der Benutzer kompromittierten oder kaperten.

Kontoübernahme und -zugriff
Die Angreifer hätten nun Zugriff auf alle Dateien, „die dem kompromittierten Benutzer gehören oder von der ,OAuth‘-Anwendung eines Drittanbieters kontrolliert werden (was auch das ,OneDrive‘-Konto des Benutzers einschließen würde)“.

Sammlung & Exfiltration
Die Cyber-Kriminellen setzten das Versionslimit von Dateien auf eine niedrige Zahl, z.B. auf eins, der Einfachheit halber. Sie verschlüsselten die Datei öfter als die Versionsgrenze, in diesem Fall zweimal. Dieser Schritt sei bei „Cloud“-Ransomware anders als bei Ransomware-Angriffen auf Endpunkte/-geräte. In einigen Fällen könnten die Angreifer die unverschlüsselten Dateien extrahieren und so eine doppelte Erpressungstaktik umsetzen.

Monetarisierung
Jetzt seien alle ursprünglichen Versionen der Dateien (von vor dem Angriff) verloren, so dass nur noch die verschlüsselten Versionen der einzelnen Dateien im „Cloud“-Konto vorhanden seien. An diesem Punkt könnten die Angreifer von der Organisation ein Lösegeld verlangen.

Microsofts Reaktion auf potenzielle Ransomware-Bedrohung

Vor der Veröffentlichung der Sicherheitslücke habe Proofpoint diese an Microsoft gemeldet und folgende Antworten erhalten:

• „Die Konfigurationsfunktion für Versionseinstellungen funktioniert wie vorgesehen.“
• „Ältere Dateiversionen können mit Hilfe des Microsoft-Supports potenziell für 14 Tage wiederhergestellt werden.“

Die Proofpoint-Experten hätten jedoch versucht, alte Versionen auf diesem Weg (d.h. mit Hilfe des Microsoft-Supports) abzurufen und wiederherzustellen und seien dabei nicht erfolgreich gewesen. Die Sicherheitsforscher hätten zudem gezeigt, „dass der Konfigurations-Worflow der Versionseinstellungen, selbst wenn er wie vorgesehen funktioniert, von Angreifern für ,Cloud‘-Ransomware-Attacken missbraucht werden kann“.

Ransomware-Gegenmaßnahmen für den Schutz von Cloud-Umgebungen

Glücklicherweise gälten viele der Empfehlungen für den Schutz vor Endpunkt-Ransomware auch für den Schutz von „Cloud“-Umgebungen.
Organisationen sollten zunächst die Erkennung riskanter Änderungen der Dateikonfiguration für „Microsoft-365“-Konten mit einer Lösung (wie z.B. „Proofpoint CASB“) aktivieren. Zwar könne ein Benutzer die Einstellung versehentlich ändern, aber das geschehe vergleichsweise selten.
„Falls Benutzer die Einstellung unwissentlich geändert haben, sollten sie darauf aufmerksam gemacht und aufgefordert werden, das Versionslimit zu erhöhen.“ Dies verringere das Risiko, „dass ein Angreifer Benutzer kompromittiert und die bereits niedrigen Versionsgrenzen ausnutzt, um das Unternehmen zu erpressen“.

Weitere Vorschläge zur Verbesserung der Ransomware-Abwehr

Stark gefährdete Personen
Organisationen sollten die Benutzer, die am häufigsten mit gefährlichen „Cloud“-, E-Mail- und Web-Angriffen konfrontiert sind, identifizieren und ihren Schutz priorisieren. Diese Benutzer gehörten nicht zwangsläufig zum Kreis der Leute, die für gewöhnlich als besonders hochwertige Ziele erachtet würden, wie Führungskräfte und privilegierte Benutzer.

Zugriffsverwaltung
Organisationen sollten strenge Passwortrichtlinien handhaben und Multi-Faktor-Authentifizierung (MFA) sowie eine prinzipienbasierte Zugriffsrichtlinie mit geringsten Privilegien für alle „Cloud“-Anwendungen anwenden.

Notfallwiederherstellung und Datensicherung
Disaster-Recovery- und Datensicherungsrichtlinien müssten aktuell gehalten werden, um die Verluste im Falle von Ransomware zu reduzieren. Idealerweise führten Organisationen regelmäßig externe Backups von „Cloud“-Dateien mit sensiblen Daten durch. „Sie sollten sich nicht nur auf Microsoft verlassen, wenn es darum geht, Backups durch Versionierung von Dokumentenbibliotheken zu erstellen.“

Cloud-Sicherheit
Organisationen sollten geeignete „Tools“ einsetzen, um Konto-Kompromittierungen und den Missbrauch von Drittanbieter-Anwendungen zu erkennen und zu begegnen.

Schutz vor Datenverlust
Download sensibler Daten und großer Datenmengen auf nicht verwaltete Geräte sollte verhindert werden, um das Potenzial für Doppelte-Erpressungs-Taktiken bei Ransomware-Angriffen zu verringern.

Weitere Informationen zum Thema:

proofpoint, Or Safran / David Krispin / Assaf Friedman / Saikrishna Chavali, 16.06.2022
Proofpoint Discovers Potentially Dangerous Microsoft Office 365 Functionality that can Ransom Files Stored on SharePoint and OneDrive

[datensicherheit.de, 12.08.2021] E-Mail-Sicherheit ist offensichtlich eines der wichtigsten Themen für jede IT-Abteilung – denn Sicherheitslücken führen schnell zum Verlust sensibler Daten, zu Betriebsausfällen und Umsatzeinbußen. Im Rahmen einer Umfrage zur E-Mail-Sicherheit unter mehr als 420 Unternehmen, die „Microsoft 365“ nutzen, hat Hornetsecurity nach eigenen Angaben herausgefunden, „dass 23 Prozent, also jedes vierte Unternehmen, bereits einen Sicherheitsverstoß im Zusammenhang mit E-Mails gemeldet hat“. Von diesen Sicherheitsverstößen seien 36 Prozent durch Phishing-Angriffe verursacht worden, welche auf die wohl schwächste Stelle eines jeden Sicherheitssystems abgezielt hätten – den Endbenutzer. Unternehmen seien befragt worden, „die die ,Microsoft 365‘-Plattform nutzen, um zu verstehen, wie sie die E-Mail-Sicherheit in einer zunehmend dezentralisierten Arbeitsumgebung handhaben“.

Abbildung: Hornetsecurity

Hornetsecurity-Umfrage: Die Hälfte aller Befragten greift auf Lösungen von Drittanbietern zurück, um ihre E-Mail-Sicherheit zu ergänzen

62 % aller Sicherheitsverstöße durch kompromittierte Passwörter und Phishing-Angriffe verursacht

Kompromittierte Passwörter und Phishing-Angriffe seien der Grund für 62 Prozent aller gemeldeten Sicherheitspannen. 54 Prozent aller Befragten hätten angegeben, dass sie noch keine Regeln für den bedingten Zugang zusammen mit der Multi-Faktor-Authentifizierung implementiert hätten. Diese verhindere, dass sich Benutzer von ungesicherten Netzwerken aus bei ihren Konten anmelden könnten.
68 Prozent der Unternehmen erwarteten, „dass ,Microsoft 365‘ vor E-Mail-Gefahren schützt, dennoch verwenden 50 Prozent Drittanbieter-Lösungen“. Es scheine somit eine Diskrepanz zwischen den Erwartungen, welche Unternehmen an die E-Mail-Sicherheit von „Microsoft 365“ stellten, und der Realität zu geben: „Während zwei von drei Unternehmen erwarten, dass Microsoft sie vor E-Mail-Bedrohungen schützt, greift die Hälfte aller Befragten auf Lösungen von Drittanbietern zurück, um ihre E-Mail-Sicherheit zu ergänzen.“

Lösungen von Drittanbietern am effektivsten: 82 % melden keine Sicherheitsprobleme

„Die Unternehmen, die Sicherheitslösungen von Drittanbietern einsetzen, meldeten die niedrigste Rate an E-Mail-Sicherheitspannen im Vergleich zu Unternehmen, die nur die von ,Microsoft 365‘ angebotenen Sicherheitspakete nutzen: 82 Prozent aller Befragten mit E-Mail Sicherheitslösungen von Drittanbietern meldeten keine Probleme.“
Darüber hinaus nutzten 48 Prozent der Befragten, die angegeben hätten, für Microsofts „Enterprise Mobility & Security E3“ oder „E5“ extra zu zahlen, zusätzlich Lösungen von Drittanbietern. Obwohl die Erwartungen an die Maßnahmen zum Schutz der E-Mail-Kommunikation von „Microsoft 365“ hoch seien, „sind die meisten Unternehmen der Meinung, dass sie nicht ausreichen – und die Ergebnisse untermauern diese Annahme“.

Unternehmen mit 201 bis 1.000+ Mitarbeitern am stärksten durch Sicherheitslücken bei E-Mails bedroht

74 Prozent aller in dieser Umfrage gemeldeten Sicherheitsprobleme seien von Unternehmen mit 201 bis 1.000 und mehr Mitarbeitern gemeldet worden. Dies sei wahrscheinlich auf Faktoren wie Budget und Personalprioritäten zurückzuführen, welche die digitale Sicherheit nicht als wichtiges Anliegen ansähen.
Sobald die Zahl der Mitarbeiter 1.000 übersteige, sinke die Häufigkeit von E-Mail-Sicherheitspannen auf 17 Prozent – wahrscheinlich aufgrund von Reaktionen auf vorangegangene Sicherheitsbedenken und der Möglichkeit, in leistungsfähigere Sicherheitsprotokolle zu investieren.

Weitere Informationen zum Thema:

datensicherheit.de, 04.10.2024
Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf

tresorit
Auf Nummer sicher im E-Mail-Verkehr: Wie Sie sichere E-Mails in Outlook versenden

HORNETSECURITY, 10.08.2021
1 von 4 Unternehmen litt mindestens unter einer E-Mail-Sicherheitslücke, ergab eine Hornetsecurity-Umfrage