Mehr Sicherheit für Home Office und Außendienst: Auf diese Microsoft-365-Angriffsarten sollten Firmen verstärkt achten

Phishing, Legacy-Protokolle, Password Spraying, OAuth-Attacken und mehr: Sicherheitsexperten erklären häufige MS-365-Einfallstore für Cyberkriminelle und hilfreiche Abwehrtaktiken.

Rund 200 Millionen aktive Nutzer im Monat zählt die Websuite Microsoft 365. Für die riesige Zahl an Anwendern besteht das Risiko, Opfer von Cyberkriminellen zu werden. So lassen sich 85 Prozent der Sicherheitsvorfälle, die von Kudelski Security 2019 registriert wurden, auf 365-E-Mail-Angriffe zurückführen. Dieses Einfallstor für Hacker gilt es demnach dringend zu schließen, nicht zuletzt aufgrund der steigenden Anzahl von Mitarbeitern, die während der Corona-Pandemie im Homeoffice auf wichtige Firmendokumente zugreifen, E-Mails verschicken und mehr. Die Spezialisten von Kudelski Security haben daher fünf Handlungsempfehlungen zusammengestellt, die eine sichere Nutzung von MS Office 365 unterstützen.

 

  1. Phishing, Password Spraying und Co.: Auf diese Angriffstaktiken achten

Seit Beginn der weltweiten Lockdowns aufgrund von Covid-19 haben Kudelski Security und andere Experten einen extremen Anstieg von Phishing-Attacken festgestellt. Doch auch Password Spraying kommt vermehrt zum Einsatz. Hierbei versuchen Hacker, Zugriff auf viele Nutzerkonten über einige wenige, jedoch häufig genutzte Passwörter zu erhalten. Selbst mit Multi-Faktor-Authentifizierung (MFA) können Angreifer Microsoft-365-Konten kompromittieren, ohne überhaupt einen MFA-Push nachweisen oder einen zeitbasierten Einmal-Passwort-Code angeben zu müssen. MFA schließt keine Legacy-Protokolle ein, die genutzt werden, um ältere Geräte und Protokolle zu aktivieren, die E-Mails anders als neuere Devices abrufen. Darum sind Legacy-Office-Clients oder Drittparteilösungen, die keine aktive Synchronisierung verwenden und auf Legacy-Protokolle setzen, also beispielsweise der Unternehmensdrucker, willkommene Einfallstore für Hacker: Hier werden sie nicht zur Eingabe eines MFA-Codes aufgefordert. Es gibt verschiedenste Tools, die es Angreifern via Brute-Force ermöglichen, Office-365-Accounts auf diese Art und Weise zu kompromittieren.

Anzeige

 

  1. Zugriff auf Legacy-Protokolle einschränken und Kontrollfunktionen nutzen

Wer wissen will, ob dies für die eigene Microsoft-365-Umgebung zutrifft, kann die Sign-In-Activity aufrufen. Zeigt die Client-Anwendung ältere Office-Clients oder andere Clients an, ist das ein Anzeichen für eine Legacy-Authentifizierung, die MFA nicht unterstützt. Bis vor Kurzem waren Legacy-Protokolle in Office 365 standardmäßig aktiviert. Wer Office-365-Tenants seit mehr als sechs Monaten im Einsatz hat, muss dies also besonders beachten. Legacy-Protokolle umgehen MFA, da sie darauf ausgelegt sind, Geräte zu unterstützen, die neuere E-Mail-Kommunikationsprotokolle nicht nutzen. Tipp: Der Zugriff auf derartige Protokolle sollte so schnell wie möglich mit Kontrollfunktionen des Azure Active Directory (Azure Active Directory Conditional Access) eingeschränkt werden. Es ist empfehlenswert, Legacy-Protokoll-Zugriffe nach Service-Account-Nutzernamen oder Office-IP-Adressen zu filtern, wenn es sich um Geräte wie Drucker oder Scanner handelt, die Daten senden müssen. Außerdem sollten spezielle Service-Konten erstellt werden, mit denen sich E-Mails von Geräten senden lassen, die MFA-fähige Protokolle nicht unterstützen. Zugleich müssen diese Accounts verlässlich überwacht werden.

 

Anzeige

  1. OAuth-Attacken im Auge behalten

Eine weitere Methode, die Angreifer nutzen, um Microsoft-365-Konten auszuspähen, ist OAuth. Hierbei handelt es sich um zwei verschiedene offene Protokolle, die eine standardisierte API-Autorisierung für Desktop-, Web- und Mobile-Anwendungen erlauben. Sie sind für Aktionen wie »Sign in with Facebook« oder »Sign in with Google« zuständig. Aber sie steuern auch viele der Active Directory Single-Sign-On (SSO)-Migrationen. Das Gefahrenpotenzial von OAuth hängt davon ab, wie einer Anwendung Zugriff auf Daten gewährt wird. Ein Beispiel: Wird mit Google eingeloggt, erlaubt Google den Anwendungen nur, E-Mails und den Namen des Anwenders abzurufen, denn das ist alles, was benötigt wird. Die Anwendungen können jedoch alle vorhandenen OAuth-Berechtigungen anfordern. Es kommt aktuell immer häufiger vor, dass Angreifer gefälschte Anwendungen bauen, die Lesezugriff auf E-Mails ohne Passwort und ohne jegliche Zugangsdaten anfordern. In dem Moment, in dem ein Benutzer auf »Akzeptieren« drückt, gewährt er Hackern Zugriff auf seinen E-Mail-Posteingang, ohne dass diese ein Passwort angeben müssen. Das Problem: Office-365-Administratoren können dauerhaft Zugang zu allen Daten einer Organisation, Mailboxen und Active-Directory-Umgebung gewähren. Dies bereitet Sicherheitsexperten zunehmend Sorge. Tipp: Microsoft stellt spezielle Tools zur Verfügung, die es Organisationen ermöglichen, nach bösartigen Zugriffen Ausschau zu halten. Administratoren können Anwendungen, die derartige Informationen anfordern, zudem vorab genehmigen – ein weiterer wichtiger Schritt in Richtung mehr Sicherheit.

 

  1. Risiko E-Mail-Weiterleitungen nicht unterschätzen

Ein weiteres Problem ist, dass Cyberkriminelle Mailweiterleitungsregeln in IT-Umgebungen ausnutzen, in denen das Thema Sicherheit zu einseitig und nachlässig behandelt wird. So wiegen sich Unternehmen in Sicherheit, da sie einen Angriff aufgedeckt haben. Es kommt jedoch häufig vor, dass Angreifer, die Zugriff auf ein Konto erhalten haben, sofort eine Weiterleitung einrichten: Jede E-Mail an dieses Konto geht sofort weiter an eine dritte Partei. Hinzu kommen Weiterleitungsregeln, die nach Aufforderungen wie »Hallo, ich habe gerade eine E-Mail von dir erhalten, die seltsam aussieht. Bist du sicher, dass du sie geschickt hast?« suchen. Angreifer löschen derartige Antworten automatisch, so dass, wenn ein Benutzer kompromittiert wurde und jemand auf diese Mails antwortet, der User es nicht sehen kann. E-Mail-Regeln dieser Art bleiben selbst nach Änderung der Anmeldeinformationen bestehen. Es gibt sogar ein Tool, das es Angreifern ermöglicht, eine von MS zur Verfügung gestellte API zu nutzen, die Regeln vor Outlook-Clients zu verstecken und ihr Handeln so noch besser zu verschleiern. Tipp: Unternehmen sollten sich immer wieder mit neuen Angriffsarten und Abwehrmechanismen beschäftigen und gegebenenfalls Experten zurate ziehen.

 

  1. Einfallstor Outlook-Formular berücksichtigen

Hacker nutzen außerdem vermehrt Outlook-Formulare (Outlook Forms), um Microsoft-365-Konten zu kompromittieren. Derartige Formulare werden verwendet, um benutzerdefinierte Anwendungen anzuzeigen, die etwa mit E-Mail-Kalendereinladungen einhergehen. Das Team von MS hat ein Outlook-Formular entworfen, mit dem User diese Einladungen annehmen oder ablehnen können. Angreifer können allerdings eigene Formulare erstellen und sie in bestimmten Ordnern wie dem Posteingang veröffentlichen. Anschließend wird dieser mit dem Firmen-Laptop synchronisiert oder dem E-Mail-Client des Handys, auf dem Outlook genutzt wird. Um das Outlook-Formular und den darin eingebetteten Code auszulösen, muss ein Angreifer lediglich eine E-Mail der entsprechenden Nachrichtenklasse senden. Dieser Problematik sollten sich MS-365-Anwenderunternehmen demnach ebenfalls widmen.

 

Fazit: IAM vereinfachen, Daten verlässlich sichern und Abwehr stärken

Philippe Borloz, Vice President EMEA Sales bei Kudelski Security, resümiert: »Immer mehr Unternehmen wünschen sich, dass ihre Mitarbeiter überall produktiv arbeiten können. Die Corona-Krise hat diesen Trend noch verstärkt. Microsoft 365 kann sie dabei unterstützen. Gleichzeitig gilt es, Daten, Anwendungen und Benutzer in der Cloud bestmöglich abzusichern. Hier mangelt es so manchem Sicherheitsteam an Ressourcen und Expertise. Mithilfe der nativen Sicherheitsfunktionen in Microsoft 365 und Azure im Zusammenspiel mit unseren proprietären Lösungen und unserer Expertise unterstützen wir Unternehmen, ihr Identity Access Management – kurz IAM – zu vereinfachen, Daten besser zu schützen und zu kontrollieren. Zudem optimieren wir den Überblick über existierende Bedrohungen, helfen ihnen bei der Abwehr hochentwickelter Angriffe sowie bei der Gewährleistung verlässlicher Sicherheit.«

Weitere Informationen finden Sie unter https://www.kudelskisecurity.com/de/.
Foto: https://unsplash.com/photos/VpJPEe3RJpg

1604 Artikel zu „MS Office Sicherheit“

Corona-Pandemie: Unsicherheit, Umsatzeinbrüche und mehr Home Office

Geschäftstermine werden verschoben oder fallen aus, das Team arbeitet vom Home Office: Die Corona-Krise hat vielfältige Auswirkungen auf Unternehmen. Eine aktuelle Umfrage des Markt- und Meinungsforschers YouGov unter Unternehmensentscheidern in Deutschland zeigt, dass vor allem die Unsicherheit und Sorge unter den Mitarbeitern sehr verbreitet ist. 60 Prozent der Befragten geben an, dass dies in ihrem…

Home Office: Sicher auch ohne eigene IT-Abteilung

So können KMU ihr Home-Office-Setup schützen – Fünf Tipps vom Profi. Unternehmen in Deutschland und auf der ganzen Welt haben aufgrund der Corona-Virus-Pandemie Home-Office-Arrangements eingeführt – große globale Player wie Twitter erwägen sogar öffentlich, langfristig daran festzuhalten. Solche multinationalen Unternehmen verfügen über starke IT-Abteilungen, die sich um zusätzliche Sicherheitsanforderungen kümmern, die mit der Arbeit aus…

Auch im Home Office sicher: Drei Gründe für automatisiertes Identity- und Accessmanagement

Aus der Not heraus waren viele Mitarbeiter gezwungen, in Eile auf Remote Work umzustellen und fließend weiter zu arbeiten. Mittlerweile sind nach etwaigen anfänglichen Schwierigkeiten bei vielen Unternehmen die technischen Voraussetzungen für eine weitere Nutzung des Home Office geschaffen. Einige Mitarbeiter arbeiten aus Bequemlichkeit – oder aus Angst, sich anzustecken – lieber weiterhin von zu…

BSI-Bericht zeigt reale Bedrohung für Unternehmensnetzwerke auf – Supportende von Office 2010 nicht ignorieren

Am 13. Oktober 2020 naht das Ende des erweiterten Supports für Office 2010, Visio, Project, Exchange und Skype for Business 2010. Björn Orth, Geschäftsführer der VENDOSOFT GmbH und Experte für strategische Lizenzberatung appelliert an Unternehmen, dieses Datum nicht aus den Augen zu verlieren. Wie wichtig der Schutz der Firmen-Netzwerke ist, zeigt der »Lagebericht zur IT-Sicherheit« des Deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Schutz von Maschinenidentitäten: Digitale Identitäten sind zentraler Bestandteil der IT-Sicherheit

Die Entwicklung der Digitalisierung durch die Corona-Pandemie sowie die Entwicklung von Industrie 4.0 und Industrial IoT (IIoT) im Allgemeinen zeigen, dass Maschinenidentitäten an Relevanz gewinnen. Schon heute kommunizieren Maschinen, Anlagen, Produkte oder Transportsysteme sowohl miteinander als auch mit Back-Office-Systemen wie MES, PLM- und ERP-Systemen oder Warehousing-Lösungen. Sie verteilen eigenständig anfallende Aufgaben und besitzen die dafür…

IoT-Sicherheit: Von Türklingeln und Kühlschränken bis zu Atomreaktoren

Die aktuelle und künftige Relevanz von Cybersicherheit im IoT-Kontext. Da die Welt immer vernetzter wird, werden immer mehr Geräte miteinander verbunden. Der Fitness-Tracker am Handgelenk überträgt drahtlos Daten auf das Smartphone, das wiederum die Entertainment-Hubs in den vernetzten Autos auf der Fahrt steuert. Das Smartphone ist auch der Dreh- und Angelpunkt der meisten Geschäftsverbindungen –…

93 % der Sicherheitsexperten verfügen nicht über die notwendigen Mittel, um Sicherheitsbedrohungen zu identifizieren

Globale Studie zum steigenden Stresspegel von Sicherheitsteams aufgrund des Mangels an geeigneten Tools und Mitarbeitern sowie fehlender Unterstützung durch die Geschäftsleitung. Das auf Lösungen für Security Operations Center (SOC) spezialisierte Unternehmen LogRhythm, hat seinen Report »The State of the Security Team: Are Executives the Problem?« veröffentlicht. Als ein zentrales Ergebnis stellt dieser auf eine Umfrage…

Home Office wird zur Dauerlösung

Jedes zweite der vom ZEW befragten Unternehmen der Informationswirtschaft ist infolge der Corona-Krise zur Einschätzung gelangt, dass sich mehr Tätigkeiten für die Arbeit im Home Office eignen als bislang angenommen. Entsprechend wird ortsflexibles Arbeiten auch nach Ende der Pandemie deutlich häufiger normal sein als vorher. »Insbesondere in größeren Unternehmen führt die Corona-Pandemie zu einer langfristigen…

Studie zur Sicherheit in der modernen Anwendungsentwicklung

Durch DevSecOps ist das Thema Sicherheit in den Mittelpunkt der modernen Entwicklung gerückt. Sicherheits- und Entwicklungsteams werden jedoch von unterschiedlichen Metriken geleitet, und das kann die Ausrichtung auf ein gemeinsames Ziel erschweren. Die Problematik verschärft sich zusätzlich, weil es den meisten Sicherheitsteams an Wissen fehlt, wie moderne Anwendungsentwicklung tatsächlich abläuft. Microservices-gesteuerte Architekturen, Container und serverfreie…

Anwendungssicherheit: Kombination aus Mensch und Technik

2020 brachte zahlreiche Herausforderungen für Unternehmen. Viele Arbeitnehmer mussten aufgrund der COVID-19-Pandemie über Nacht von Zuhause arbeiten. Sie benötigen daher sichere Arbeitsumgebungen, die gleichzeitig den Zugang zu allen relevanten Anwendungen ermöglichen. Der Verizon 2020 Data Breach Investigations Report zeigte nun, dass Cyberkriminelle diese Umstellung ausnutzen, um neue Wege zu finden, Anwendungen anzugreifen. Um dies zu…

Künstliche Intelligenz für die Zukunft der Cybersicherheit

320.000 neue Schadprogramme täglich: Diese Zahl hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Lagebericht 2019 veröffentlicht. Neben der zunehmenden Zahl der Angriffe werden diese immer professioneller. Cyber-Defense-Lösungen, die zur Entdeckung und Bewertung von Cyberangriffen künstliche Intelligenz (KI) nutzen, liefern dabei wertvolle Informationen für Cyber-Defense-Teams und sind von grundlegender Bedeutung für die…

Data Science für die IT-Sicherheit: KI-Human-Teams können Cyberangreifer stoppen

Trotz der erstaunlichen Fortschritte bei der Leistung der künstlichen Intelligenz in den letzten Jahren ist keine KI perfekt. Tatsächlich wird die Unvollkommenheit einer KI in der Regel durch die Messung der Genauigkeit des Modells an einem Testdatensatz deutlich gemacht. Perfekte Ergebnisse werden weder erwartet noch sind sie üblich.   Christopher Thissen, Data Scientist bei Vectra…

Kritische Kommunikation: Fünf Sicherheitsfallen, die Unternehmen vermeiden sollten

Smartphone und Tablet bieten zahlreiche Einfallstore für Cyberkriminelle. Gerade Betreiber kritischer Infrastrukturen müssen ihre mobile Kommunikation vor den unterschiedlichsten Sicherheitsrisiken schützen, warnt Virtual Solution. Fallen Strom-, Wasser- oder Gesundheitsversorgung durch Hackerangriffe aus, drohen schlimme Konsequenzen für Bürger und Unternehmen. Die Herausforderungen in puncto IT-Sicherheit nehmen für Energieversorger, Krankenhäuser oder Transportunternehmen kontinuierlich zu, denn die Angriffsflächen…

Auf dem Weg ins New Normal: Arbeitgeber unterstützen ihre Mitarbeiter im Home Office nicht umfänglich

Unternehmen brauchen motivierte Mitarbeiter. Ganz besonders, wenn die Wirtschaft wieder anzieht. Das Home Office wird Arbeitnehmer noch eine ganze Weile begleiten. Aktuell rechnen Unternehmensverantwortliche sogar damit, dass die Arbeit außerhalb des Büros Teil einer neuen Normalität sein wird. Von ihren Arbeitgebern fühlen sich 76 Prozent der Deutschen bei ihrer Tätigkeit aus dem Home Office unterstützt.…

Whitepaper: Kollaborationsplattformen aus Sicht der Cybersicherheit – Vergleich und Best Practices

Bei der Auswahl von Kollaborationsplattformen prüfen Unternehmen Anforderungen an Datenschutz und Datensicherheit oftmals nur unzureichend. In dem von der Beratungsboutique für Cybersicherheit carmasec veröffentlichten Whitepaper Kollaborationsplattformen aus Sicht der Cybersicherheit – Vergleich und Best Practices werden die gängigsten Softwarelösungen Google G-Suite, Microsoft Office 365 und Atlassian Jira / Confluence hinsichtlich Aspekten der Cybersicherheit und des…

8 Möglichkeiten, wie Unternehmen zur Sicherheit ihrer Telearbeiter beitragen

Nach wie vor arbeiten viele von zu Hause aus und das wird sich auch nach der Pandemie nicht komplett ändern. Damit dies reibungslos gelingt, muss die IT-Abteilung zusätzliche Geräte freischalten, Anwendungen wie Zoom einsetzen und sichere Verbindungen zu lokalen und Cloud-Diensten bereitstellen, ohne die allgemeine Datensicherheit zu gefährden. Im Folgenden werden acht Möglichkeiten erläutert, wie…

Home Office stellt Unternehmen und Mitarbeiter vor neue soziale Herausforderungen

Umfrage offenbart negative Folgen des Home Office – Was Arbeitgeber jetzt beachten müssen.   Die Corona-Pandemie hat auch Monate nach ihrem Beginn Gesellschaft und Wirtschaft in Deutschland fest im Griff. Das gilt insbesondere für den Arbeitsmarkt. Der Umstieg ins Home Office bedeutet für Angestellte auf der einen Seite einen Gewinn an Zeit und Kosten, stellt…

Cyber Threat Report 2020: Microsoft-Office-Dateien häufiger infiziert, Ransomware auf dem Vormarsch

Ransomware-Attacken weltweit steigen um 20 % (Höchststand in USA mit 109 %). Malware-Attacken gehen global um 24 % zurück. Wachstum um 7 % bei Phishing-Versuchen, die sich der Corona-Krise bedienen. Anstieg um 176 % bei Malware-Attacken mit infizierten Microsoft-Office-Dateien. 23 % der Malware-Angriffe über Nicht-Standard-Ports ausgeführt. IoT-Malware-Angriffe nehmen um 50 % zu. Im Bericht analysierte…

Produktivität leidet wenig im Home Office

Die Produktivität von Mitarbeitern leidet ihrer Selbsteinschätzung nach im Home Office während der Corona-Krise kaum. Das zeigt die Grafik auf Basis einer aktuellen DAK-Umfrage. Demnach sind rund 82 Prozent der Befragten der Ansicht, dass sich entsprechend geeignete Arbeitsaufgaben genauso gut im Home Office erledigen lassen wie am normalen Arbeitsplatz. Rund 59 Prozent meinen sogar, dass…