Illustration: Absmeier, Pixabay

Eine neue Studie beleuchtet den Missbrauch von Office 365 bei Cyberangriffen auf Unternehmen. Vectra AI, spezialisiert auf NDR-Lösungen (Network Detection and Response) zur Erkennung und Reaktion auf Bedrohungen im Netzwerk, hat kürzlich seinen 2020 Spotlight Report on Microsoft Office 365 veröffentlicht. Die Studie zeigt auf, wie Cyberkriminelle bei ihren Angriffen integrierte Office-365-Dienste nutzen, um sich Zugang zu Unternehmensdaten zu verschaffen.

Nicht nur Office 365 ist betroffen, Software-as-a-Service (SaaS) und Cloud Computing sind generell von Sicherheitsproblemen betroffen. Das größte Sicherheitsrisiko in einer SaaS-Umgebung ist heute die Identität. Konkret handelt es sich um einen Missbrauch der Identität und des privilegierten Zugriffs. Bevor Unternehmen eine SaaS-Plattform implementieren, sollten sie zunächst Überlegungen anstellen, wie viel Zugriff einem Benutzer zu gewähren ist.

Die zunehmende Nutzung von Cloud-Software in Unternehmen war bereits ein Trend, bevor die Covid-19-Pandemie die umfassende und schnelle Umstellung auf Remote-Arbeit erzwang. Microsoft dominiert diesen Markt mit mehr als 250 Millionen aktiven Benutzern pro Monat. Office 365 bildet für viele dieser Anwender die Grundlage zur gemeinsamen Nutzung, Speicherung und zum Austausch von Unternehmensdaten. Genau dies macht die Sache auch sehr attraktiv für Cyberangreifer.

Schattenseiten der SaaS-Erfolgsstory

Die SaaS-Erfolgsstory hat aus Sicherheitsperspektive auch ihre Schattenseiten, denn im Verborgenen ist Office 365 zu einem Tummelplatz für Cyberangreifer geworden. Das Prinzip der geringsten Privilegien ist in SaaS-Umgebungen, in denen nur die Identität kontrolliert wird und Daten und Ressourcen in hohem Maße konsolidiert werden, umso wichtiger. Zunehmenden kommen Sicherheitsvorkehrungen zum Schutz von Benutzerkonten wie die Multi-Faktor-Authentifizierung (MFA) zum Einsatz. Dennoch haben 40 Prozent der Unternehmen immer noch mit Cyberangriffen via Office 365 zu kämpfen. Dies führt zu massiven finanziellen Verlusten und Reputationsschäden.

Die Angreifer konzentrieren sich neuerdings auf die Übernahme von Konten und nicht mehr auf die Kompromittierung per E-Mail, um sich erstmaligen Zugang zu verschaffen. Die Angreifer nutzen die Konten dann, um sich seitlich zu anderen Benutzern und privilegierten Ressourcen zu bewegen. Vectra hat diese Aktivitäten mit Zustimmung der Kunden in vier Millionen Konten von Juni bis August 2020 beobachtet. Die Sicherheitsforscher kamen zu dem Ergebnis, dass die seitliche Bewegung die häufigste Art verdächtigen Verhaltens innerhalb von Office 365-Umgebungen ist, dicht gefolgt von Command-and-Control-Kommunikation.

Einige der wichtigsten Erkenntnisse des Vectra 2020 Spotlight Report on Office 365:

Bei 96 Prozent der untersuchten Unternehmen fanden seitliche Bewegungen von Angreifern im Netzwerk statt.
Bei 71 Prozent der Unternehmen trat verdächtiges Verhalten im Zusammenhang mit Office 365 Power Automate auf.
Bei 56 Prozent der Unternehmen kam es zu verdächtigem Verhalten bei Office 365 eDiscovery.

Microsoft Power Automate, ehemals Microsoft Flow, automatisiert alltägliche Benutzeraufgaben wie die Verwaltung von E-Mail-Anhängen oder Genehmigungsabläufe. Es ist standardmäßig bei allen Office-365-Nutzern aktiviert und kann für Prozesse konfiguriert werden, die sowohl legitimen Benutzern aber eben auch Angreifern Zeit und Aufwand sparen. Angreifer machen sich das Tool auf folgende Weise zunutze:

Einrichten einer HTTP-Verbindung zu einem Command-and-Control-Punkt, um Daten zu senden.
Automatisches Synchronisieren von OneDrive-Dateien mit einem Google-Speicher der Angreifer bei jeder Aktualisierung von Dateiänderungen.
Twittern aller E-Mails, die bestimmte Schlüsselwörter enthalten.

Mit über 350 verfügbaren Applikationskonnektoren – und jede Woche kommen weitere hinzu – sind die Möglichkeiten für Cyberangreifer, die Power Automate verwenden, enorm. Office 365 eDiscovery Compliance Search wiederum ermöglicht eine einzige Suche nach Informationen in allen Office-365-Anwendungen. Mit einem einzigen Befehl könnten Angreifer in Microsoft Outlook, in Teams, in allen Dateien in SharePoint und OneDrive sowie in OneNote-Notebooks beispielsweise nach »Kennwort« oder »pwd« suchen. Cyberangreifer machen sich häufig eine Kombination dieser Techniken während des gesamten Lebenszyklus eines Angriffs zunutze. Power Automate und eDiscovery gehörten bei der jüngsten Untersuchung zu den häufigsten verdächtigen Verhaltensweisen in den Office-365-Umgebungen der Vectra-Kunden.

Böswillige Aktivitäten gilt es schnell zu erkennen und einzudämmen

Die Kaperung von Benutzerkonten hat sich als der effektivste Weg erwiesen, sich seitlich innerhalb des Netzwerks eines Unternehmens zu bewegen. Dieser Trend könnte sich der Einschätzung von Vectra zufolge in den kommenden Monaten noch verstärken. Die Angreifer werden weiterhin menschliches Verhalten, Social Engineering und Identitätsdiebstahl nutzen, um in jeder Art von Unternehmen oder öffentlichen Institution Fuß zu fassen und Daten zu stehlen.

SaaS-Plattformen wie Office 365 sind anfällig für die Seitwärtsbewegung von Angreifern, weshalb es von größter Wichtigkeit ist, sich auf den Zugang der Benutzer zu Konten und Diensten zu konzentrieren. Im Idealfall, wenn Sicherheitsteams über solide Informationen zur Nutzung der SaaS-Plattformen verfügen, lassen sich böswilliges Verhalten und Privilegienmissbrauch viel leichter und schneller erkennen und eindämmen.

1182 Artikel zu „Microsoft Sicherheit“

NEWS | IT-SECURITY | TIPPS

Mehr Sicherheit für Home Office und Außendienst: Auf diese Microsoft-365-Angriffsarten sollten Firmen verstärkt achten

23. August 2020

Phishing, Legacy-Protokolle, Password Spraying, OAuth-Attacken und mehr: Sicherheitsexperten erklären häufige MS-365-Einfallstore für Cyberkriminelle und hilfreiche Abwehrtaktiken. Rund 200 Millionen aktive Nutzer im Monat zählt die Websuite Microsoft 365. Für die riesige Zahl an Anwendern besteht das Risiko, Opfer von Cyberkriminellen zu werden. So lassen sich 85 Prozent der Sicherheitsvorfälle, die von Kudelski Security 2019 registriert…