Office 365 im Visier von Cyberkriminellen

Illustration: Absmeier, Pixabay

Eine neue Studie beleuchtet den Missbrauch von Office 365 bei Cyberangriffen auf Unternehmen. Vectra AI, spezialisiert auf NDR-Lösungen (Network Detection and Response) zur Erkennung und Reaktion auf Bedrohungen im Netzwerk, hat kürzlich seinen 2020 Spotlight Report on Microsoft Office 365 veröffentlicht. Die Studie zeigt auf, wie Cyberkriminelle bei ihren Angriffen integrierte Office-365-Dienste nutzen, um sich Zugang zu Unternehmensdaten zu verschaffen.

 

Anzeige

Nicht nur Office 365 ist betroffen, Software-as-a-Service (SaaS) und Cloud Computing sind generell von Sicherheitsproblemen betroffen. Das größte Sicherheitsrisiko in einer SaaS-Umgebung ist heute die Identität. Konkret handelt es sich um einen Missbrauch der Identität und des privilegierten Zugriffs. Bevor Unternehmen eine SaaS-Plattform implementieren, sollten sie zunächst Überlegungen anstellen, wie viel Zugriff einem Benutzer zu gewähren ist.

Die zunehmende Nutzung von Cloud-Software in Unternehmen war bereits ein Trend, bevor die Covid-19-Pandemie die umfassende und schnelle Umstellung auf Remote-Arbeit erzwang. Microsoft dominiert diesen Markt mit mehr als 250 Millionen aktiven Benutzern pro Monat. Office 365 bildet für viele dieser Anwender die Grundlage zur gemeinsamen Nutzung, Speicherung und zum Austausch von Unternehmensdaten. Genau dies macht die Sache auch sehr attraktiv für Cyberangreifer.

 

Schattenseiten der SaaS-Erfolgsstory

Die SaaS-Erfolgsstory hat aus Sicherheitsperspektive auch ihre Schattenseiten, denn im Verborgenen ist Office 365 zu einem Tummelplatz für Cyberangreifer geworden. Das Prinzip der geringsten Privilegien ist in SaaS-Umgebungen, in denen nur die Identität kontrolliert wird und Daten und Ressourcen in hohem Maße konsolidiert werden, umso wichtiger. Zunehmenden kommen Sicherheitsvorkehrungen zum Schutz von Benutzerkonten wie die Multi-Faktor-Authentifizierung (MFA) zum Einsatz. Dennoch haben 40 Prozent der Unternehmen immer noch mit Cyberangriffen via Office 365 zu kämpfen. Dies führt zu massiven finanziellen Verlusten und Reputationsschäden.

Die Angreifer konzentrieren sich neuerdings auf die Übernahme von Konten und nicht mehr auf die Kompromittierung per E-Mail, um sich erstmaligen Zugang zu verschaffen. Die Angreifer nutzen die Konten dann, um sich seitlich zu anderen Benutzern und privilegierten Ressourcen zu bewegen. Vectra hat diese Aktivitäten mit Zustimmung der Kunden in vier Millionen Konten von Juni bis August 2020 beobachtet. Die Sicherheitsforscher kamen zu dem Ergebnis, dass die seitliche Bewegung die häufigste Art verdächtigen Verhaltens innerhalb von Office 365-Umgebungen ist, dicht gefolgt von Command-and-Control-Kommunikation.

Einige der wichtigsten Erkenntnisse des Vectra 2020 Spotlight Report on Office 365:

  • Bei 96 Prozent der untersuchten Unternehmen fanden seitliche Bewegungen von Angreifern im Netzwerk statt.
  • Bei 71 Prozent der Unternehmen trat verdächtiges Verhalten im Zusammenhang mit Office 365 Power Automate auf.
  • Bei 56 Prozent der Unternehmen kam es zu verdächtigem Verhalten bei Office 365 eDiscovery.

Microsoft Power Automate, ehemals Microsoft Flow, automatisiert alltägliche Benutzeraufgaben wie die Verwaltung von E-Mail-Anhängen oder Genehmigungsabläufe. Es ist standardmäßig bei allen Office-365-Nutzern aktiviert und kann für Prozesse konfiguriert werden, die sowohl legitimen Benutzern aber eben auch Angreifern Zeit und Aufwand sparen. Angreifer machen sich das Tool auf folgende Weise zunutze:

  • Einrichten einer HTTP-Verbindung zu einem Command-and-Control-Punkt, um Daten zu senden.
  • Automatisches Synchronisieren von OneDrive-Dateien mit einem Google-Speicher der Angreifer bei jeder Aktualisierung von Dateiänderungen.
  • Twittern aller E-Mails, die bestimmte Schlüsselwörter enthalten.

Mit über 350 verfügbaren Applikationskonnektoren – und jede Woche kommen weitere hinzu – sind die Möglichkeiten für Cyberangreifer, die Power Automate verwenden, enorm. Office 365 eDiscovery Compliance Search wiederum ermöglicht eine einzige Suche nach Informationen in allen Office-365-Anwendungen. Mit einem einzigen Befehl könnten Angreifer in Microsoft Outlook, in Teams, in allen Dateien in SharePoint und OneDrive sowie in OneNote-Notebooks beispielsweise nach »Kennwort« oder »pwd« suchen. Cyberangreifer machen sich häufig eine Kombination dieser Techniken während des gesamten Lebenszyklus eines Angriffs zunutze. Power Automate und eDiscovery gehörten bei der jüngsten Untersuchung zu den häufigsten verdächtigen Verhaltensweisen in den Office-365-Umgebungen der Vectra-Kunden.

 

Böswillige Aktivitäten gilt es schnell zu erkennen und einzudämmen

Die Kaperung von Benutzerkonten hat sich als der effektivste Weg erwiesen, sich seitlich innerhalb des Netzwerks eines Unternehmens zu bewegen. Dieser Trend könnte sich der Einschätzung von Vectra zufolge in den kommenden Monaten noch verstärken. Die Angreifer werden weiterhin menschliches Verhalten, Social Engineering und Identitätsdiebstahl nutzen, um in jeder Art von Unternehmen oder öffentlichen Institution Fuß zu fassen und Daten zu stehlen.

SaaS-Plattformen wie Office 365 sind anfällig für die Seitwärtsbewegung von Angreifern, weshalb es von größter Wichtigkeit ist, sich auf den Zugang der Benutzer zu Konten und Diensten zu konzentrieren. Im Idealfall, wenn Sicherheitsteams über solide Informationen zur Nutzung der SaaS-Plattformen verfügen, lassen sich böswilliges Verhalten und Privilegienmissbrauch viel leichter und schneller erkennen und eindämmen.

 

1182 Artikel zu „Microsoft Sicherheit“

Mehr Sicherheit für Home Office und Außendienst: Auf diese Microsoft-365-Angriffsarten sollten Firmen verstärkt achten

Phishing, Legacy-Protokolle, Password Spraying, OAuth-Attacken und mehr: Sicherheitsexperten erklären häufige MS-365-Einfallstore für Cyberkriminelle und hilfreiche Abwehrtaktiken. Rund 200 Millionen aktive Nutzer im Monat zählt die Websuite Microsoft 365. Für die riesige Zahl an Anwendern besteht das Risiko, Opfer von Cyberkriminellen zu werden. So lassen sich 85 Prozent der Sicherheitsvorfälle, die von Kudelski Security 2019 registriert…

Facebook, Microsoft, Twitter, Google und Amazon gemeinsam für mehr Websicherheit

In den letzten Tagen fand in Paris das Treffen zwischen der neuseeländischen Premierministerin Jacinda Arden, dem französischen Staatspräsidenten Emmanuel Macron und den fünf High-Tech-Giganten Facebook, Microsoft, Twitter, Google und Amazon statt, das mit dem Ziel einberufen wurde, die Nutzung sozialer Netzwerke durch Terroristen und böswillige Menschen im Allgemeinen drastisch zu begrenzen. Es ist inzwischen klar,…

Microsoft-Sicherheitslücken seit 2013 mehr als verdoppelt

Aufhebung von Administratorrechten könnte 80 Prozent der kritischen Sicherheitslücken von 2017 entschärfen. Avecto hat seinen jährlichen Bericht zu Microsoft-Schwachstellen veröffentlicht, der mittlerweile zum fünften Mal erscheint. Er basiert auf einer Untersuchung sämtlicher 2017 gemeldeter Microsoft-Schwachstellen und zeigt, dass deren Zahl beträchtlich gestiegen ist. Zum Vergleich: Im Jahr 2013 wurden 325 Sicherheitslücken entdeckt, im vergangenen Jahr…

Active Directory von Microsoft offenbart Schwächen bei Hackerangriff – automatisierte Sicherheitsmaßnahmen notwendig

Zwei IT-Sicherheitsforscher haben während der Sicherheitskonferenz »BlueHat IL« eine neue Angriffstechnik gegen die Active-Directory-Infrastruktur veröffentlicht. »DCShadow« genannt, ermöglicht dieser Angriff einem Angreifer mit den entsprechenden Rechten, einen bösartigen Domänencontroller zu erstellen, der bösartige Objekte in eine laufende Active Directory-Infrastruktur replizieren kann (Weitere Details unter … https://blog.alsid.eu/dcshadow-explained-4510f52fc19d).   Gérard Bauer, Vice President EMEA beim IT-Sicherheitsexperten Vectra,…

Microsoft-Admin-Rechte sind für Sicherheitslecks verantwortlich

94 Prozent der Risiken aller als kritisch eingestuften Microsoft-Schwachstellen werden durch das Entfernen von Administratoren-Rechten gemindert. Windows 10 ist nicht sicherer als Windows 8.1. Experten für das Rechtemanagement beklagen, dass die Organisationen immer noch zu wenig für den Schutz vor Angriffen unternehmen. Mark Austin, Mitgründer und Co-CEO bei Avecto und Marco Peretti, Avectos neu ernannter…

Microsoft-Sicherheitslücken erreichen Höchststand

Laut einer aktuellen Studie [1] stieg die Anzahl der Windows-Sicherheitslücken 2015 im Vergleich zum Vorjahr um 52 Prozent. Eine Analyse von Microsoft Security Bulletins ergab, dass insgesamt 524 Sicherheitslücken gemeldet wurden, 48 Prozent davon (251) mit dem Schweregrad »kritisch«. 62 Sicherheitslücken wurden in Microsoft Office-Produkten gefunden, was im Vergleich zu 2014 einem Anstieg von 210…

HR im Umbruch: Digitalisierung erhöht Leistungsfähigkeit und Krisensicherheit gleichermaßen

Demografische Entwicklung, Globalisierung und Digitalisierung sorgen für einen Umbruch im HR-Bereich – und die Corona-Krise hat deutlich gemacht, wie wichtig es ist, das operative Geschäft auch aus der Ferne weiterführen zu können. Intelligente Software ermöglicht nicht nur einen zeit- und ortsunabhängigen Zugriff, sie erlaubt es durch Standardisierung und Automatisierung auch, die Aufwände für administrative Aufgaben…

Externe Zertifizierung besiegelt Rundum-Sicherheit für Industrie-Computer

Trotz härtester Bedingungen und Dauereinsatz arbeiten die noax Industrie-Computer zuverlässig und büßen keine ihrer Funktionen ein. Durch ihr komplett geschlossenes Edelstahlgehäuse kann wirklich nichts in das Gerät eindringen. Diesen Beweis liefert der Härtetest eines unabhängigen Instituts, bei dem noax Industrie-Computer einer der härtesten Reinigungsprozesse überhaupt standhielten: Der Hochdruck- und Dampfstrahlreinigung nach der Schutznorm IP69K.  …

Zurück im Home Office: 5 Tipps für Unternehmen zur Vermeidung von Sicherheitslücken beim mobilen Arbeiten

Lockdown 2.0: Nach dem erneuten Verschärfen der Maßnahmen zum Eindämmen der Corona-Pandemie ist ein großer Teil der Büromitarbeiter bereits wieder im Home Office – falls sie nach Ende des ersten Lockdowns überhaupt an ihren regulären Arbeitsplatz zurückgekehrt waren. Dies hat die Entwicklung des mobilen Arbeitens in den Unternehmen maßgeblich beschleunigt. Ein Problem bei der rasanten…

Wie das Gesundheitswesen den Kampf um die Cybersicherheit gewinnen kann – drei Entwicklungen und vier Lösungsansätze

Nicht erst seit Covid und den jüngsten Ransomware-Attacken ist das Gesundheitswesen einer der dynamischsten Schauplätze von Cyberkriminalität Im Laufe der letzten Jahre haben sich nach Meinung von Vectra AI drei wesentliche Erkenntnisse über Cyberangriffe im Gesundheitswesen herauskristallisiert:   Die wirkliche Bedrohung liegt bereits in den Netzwerken des Gesundheitswesens selbst in Form des Missbrauchs des privilegierten…

Stärke hat tiefe Wurzeln: Ein halbes Jahrhundert Cybersicherheit – und wie man von den Errungenschaften am besten profitiert

Cybersicherheitsunternehmen sind in Zeiten wie diesen vorne mit dabei. In Zusammenarbeit mit Behörden, Finanzdienstleistern/Banken und Unternehmen aus dem Bereich kritische nationale Infrastrukturen bekommen Sicherheitsexperten einiges zu sehen – Gutes wie weniger Gutes. APT-Gruppen starten Angriffe, die im wahrsten Sinne des Wortes »alle Lichter löschen« können oder ein politischer Akt der Verwüstung kommt als harmlos aussehende…

Sicherheitsspezialisten plädieren für Vielfalt und Neurodiversität

Studie: 47 % sehen in Neurodiversität eine Strategie gegen Fachkräftemangel und blinde Flecken. Kein Zweifel: Der Mangel an IT-Sicherheits-Fachkräften und -Expertise ist dramatisch. Rund drei von zehn Cybersecurity-Spezialisten in Deutschland sagen laut einer Bitdefender-Studie einen gravierenden Effekt voraus, wenn der Mangel an Cybersecurity-Expertise für fünf weitere Jahre anhalten wird: 21 % der deutschen Befragten sagen,…

Sicherheit in Unternehmen: 84 Prozent der Unternehmen würden gerne nur Mac-Geräte nutzen

Mehr als drei Viertel der Unternehmen, die Mac- und Nicht-Mac-Geräte parallel verwenden, halten den Mac für das sicherere Gerät. Die Covid-19-Pandemie hat eine nie zuvor gekannte Abwanderungswelle von Angestellten ins Home Office ausgelöst und Unternehmen vor die Aufgabe gestellt, auch in dezentral arbeitenden Teams die Endgerätesicherheit jederzeit zu gewährleisten. Anlässlich des Cybersecurity-Awareness-Monats Oktober befragte Jamf,…

Vulnerability-Report: Diese zehn Sicherheitslücken verursachten die größten Probleme

  Hackerone, eine Sicherheitsplattform für ethisch motivierte Hacker – die sogenannten White Hat Hacker –, hat seinen Report zu den zehn häufigsten Schwachstellen des letzten Jahres veröffentlicht. Das Unternehmen hat anhand der eigenen Daten eine Analyse zu den zehn häufigsten und mit den höchsten Prämien ausbezahlten Schwachstellen erstellt. Aus mehr als 200.000 Sicherheitslücken, welche zwischen…

Microsoft verdient gut mit der Cloud

Microsoft geht es den aktuellen Geschäftszahlen zufolge glänzend. Im ersten Geschäftsquartal 2021 wurden die Erwartungen der Analysten laut Handelsblatt deutlich übertroffen. Sowohl Umsatz (37,2 Milliarden US-Dollar/+12 Prozent) als auch Gewinn (13,9 Milliarden US-Dollar/+30 Prozent) stiegen von Juli bis September zweistellig. Maßgeblich für die guten Zahlen ist das Cloud-Geschäft das für rund 38 Prozent des operativen…

54 % der IT-Sicherheitsexperten sind von Überlastung oder Burnout bedroht

  Beschäftigte in der IT und ganz besonders im Bereich Cybersicherheit sind chronisch überlastet. Dazu gibt es Studien aus unterschiedlichen Fachbereichen und Disziplinen. Laut dem jüngsten The Security Profession 2019/2020 Report des Chartered Institute of Information Security (CIISec) haben über die Hälfte (54 Prozent) der befragten IT-Sicherheitsexperten entweder selbst ihren Arbeitsplatz wegen Überarbeitung oder Burnout…

Nicht alle Schwachstellen sind eine Bedrohung – auf die wesentlichen Sicherheitslücken konzentrieren

Die Computernetzwerke von Organisationen werden ständig erweitert: IT, Cloud, IoT und OT formen eine komplexe Computing-Landschaft, die die moderne Angriffsfläche darstellt. Mit jedem neuen Gerät, jeder neuen Verbindung oder Anwendung vergrößert sich diese Angriffsfläche. Zu dieser Komplexität kommen unzählige Schwachstellen hinzu, die täglich entdeckt werden, und die Herausforderungen scheinen oft unüberwindbar. Die Lösung ist jedoch…

Cybersicherheit im Gesundheitswesen: Nach tödlichem Vorfall im Düsseldorfer Krankenhaus empfehlen Sicherheitsforscher mehr Prävention

Ein kürzlich verübter Ransomware-Angriff, der maßgeblich zum Tod einer Frau im Krankenhaus beigetragen haben soll, hat die Bedeutung der Cybersicherheit im Gesundheitswesen dramatisch ins Blickfeld gerückt. Die Sicherheitsforscher von Malwarebytes analysieren im Folgenden die Cybersicherheitslage bei Gesundheitseinrichtungen und geben konkrete Ratschläge für mehr Sicherheit in diesem speziellen Bereich.   Was ist im Düsseldorfer Krankenhaus genau…

Rückkehr ins Büro: TÜV SÜD gibt Tipps zur IT-Sicherheit

Das Arbeiten im Home-Office während der Corona-Pandemie hat die Angriffsfläche für Cyberkriminelle spürbar vergrößert. Doch auch der Wechsel vom Home-Office zurück ins Büro bringt einige Risiken für die IT-Sicherheit mit sich. Die Experten von TÜV SÜD Sec-IT geben einen Überblick zu den wichtigsten Regeln für die IT-Sicherheit. »Grundsätzlich besteht die größte Gefahr darin, dass sich…