Office 365 Tools und Open Services im Visier von Cyberangreifern.

Der kürzlich von Vectra veröffentlichte 2020 Spotlight Report for Office 365 identifizierte die Tools und Dienste unter den Cloud-basierten Anwendungen, die häufig von Angreifern genutzt werden. Die Studie basiert auf der Beobachtung von vier Millionen Office-365-Konten über einen Zeitraum von 90 Tagen. Dadurch waren die Forscher in der Lage, verdächtiges, risikoreiches Verhalten zu identifizieren, das mit Angriffstechniken verbunden ist, die integrierten Funktionen von Office 365 ausnutzen.

Diese Untersuchung fällt zusammen mit einem massiven Übergang zur Fernarbeit – ein Ergebnis der andauernden Covid-19-Pandemie – und der zunehmenden Akzeptanz von SaaS-Plattformen, wie Microsoft Office 365, als die täglichen digitalen Arbeitsbereiche. Während Office 365 der verteilten Belegschaft eine primäre Grundlage für den Geschäftsbetrieb bietet, schafft es auch ein zentrales Repository für Daten und Informationen, das ein Hauptziel für Angreifer ist, um es auszunutzen.

Während die Multi-Faktor-Authentifizierung (MFA) die beste Einzeltechnik ist, um die Möglichkeit eines Vorfalls zu reduzieren, kommt es in Office 365 dennoch weiterhin zu Vorfällen. MFA-Sicherheitsmaßnahmen reichen nicht mehr aus, um böswillige und heimtückische Angriffe zu verhindern. Von diesen Angriffen sind gekaperte Benutzerkonten die am schnellsten wachsenden und am weitesten verbreiteten, die sich nachteilig auf den Ruf der Unternehmen auswirken und finanzielle Konsequenzen nach sich ziehen.

Verhalten von Angreifern in Office 365

Nachdem die Angreifer in einer Office-365-Umgebung Fuß gefasst haben, können mehrere gängige Angriffstechniken auftreten, darunter:

Durchsuchen von E-Mails, Chat-Protokollen und Dateien auf der Suche nach Passwörtern oder anderen interessanten Daten.
Einrichten von Weiterleitungsregeln, um Zugriff auf einen stetigen E-Mail-Strom zu erhalten, ohne sich erneut anmelden zu müssen.
Nutzung des vertrauenswürdigen Kommunikationskanals (d.h. Versenden einer unrechtmäßigen E-Mail vom offiziellen Konto des CEO, die zur sozialen Eingliederung von Mitarbeitern, Kunden oder Partnern verwendet wird).
Einfügen von Malware oder böswilligen Links in Dokumente, denen viele Menschen vertrauen und die von ihnen benutzt werden, wobei wiederum das Vertrauen manipuliert wird, um die Präventionskontrollen zu umgehen, die Warnungen auslösen können.
Stehlen oder Sperren/Verschlüsseln von Dateien und Daten gegen Lösegeld.

Wie machen die das?

Der Spotlight Report stellte fest, dass sich von den Diensten von Office 365 insbesondere drei als nützlich für einen Angriff herausstellten. OAuth wird genutzt, um Fuß zu fassen, Power Automate für die Ausführung und seitliche Bewegung und eDiscovery für Aufklärung und Exfiltration.

OAuth ist ein offener Standard für die Zugriffsauthentifizierung. Er wird häufig von Anwendungen von Drittanbietern verwendet, um Benutzer zu authentifizieren, indem die Anmeldedienste von Office 365 und die zugehörigen Anmeldedaten des Benutzers herangezogen werden. Die OAuth-Autorisierungscode-Gewährung kann in Anwendungen verwendet werden, die auf einem Gerät installiert sind, um Zugang zu geschützten Ressourcen, wie etwa Web-APIs, zu erhalten. Angreifer nutzen von OAuth aktivierte bösartige Azure-Anwendungen, um dauerhaften Zugriff auf die Office-365-Konten der Benutzer zu erhalten.
Mit Power Automate können Benutzer benutzerdefinierte Integrationen und automatisierte Workflows zwischen Office-365-Anwendungen erstellen. Es ist standardmäßig aktiviert und umfasst Konnektoren zu Hunderten von Anwendungen und Diensten von Drittanbietern, aber die Workflows können Sicherheitsrichtlinien einschließlich Data Loss Prevention (DLP) umgehen. Die breite Verfügbarkeit und Benutzerfreundlichkeit von Power Automate macht es auch zu einem teilweise nützlichen Werkzeug für Angreifer, um böswilliges Command-and-Control- und Lateral-Movement-Verhalten zu orchestrieren.
eDiscovery ist ein elektronisches Discovery-Tool, das Office-365-Anwendungen und -Daten durchsucht und die Ergebnisse exportiert. Angreifer nutzen eDiscovery als leistungsstarkes internes Aufklärungs- und Datenexfiltrations-Tool. Beispielsweise könnten sie mit einem einfachen Befehl in Microsoft Outlook, Teams, allen Dateien in SharePoint und OneDrive sowie OneNote-Note-Notebooks nach »password« oder »pwd« suchen.

Darüber hinaus können Angreifer die in Azure Active Directory, Exchange und SharePoint gefundenen Schwachstellen ausnutzen, sobald sie sich die Identitätsdaten und privilegierten Zugriff verschafft haben. Angreifer können nach einer regulären Account-Übernahme Privilegien eskalieren und Operationen auf Administratorebene durchführen. Die Angreifer haben auch Zugang zu einer sensiblen Rolle, um redundanten Zugriff auf das System zu schaffen.

Das soll nicht heißen, dass die Dienste von Office 365 leicht zu infiltrieren sind; es geht vielmehr um die dem Benutzer zugewiesenen Berechtigungen und wie sie verwendet werden. Sicherheitsteams müssen über einen detaillierten Kontext verfügen, der erklärt, wie Entitäten ihre Privilegien – bekannt als beobachtete Privilegien – innerhalb von SaaS-Anwendungen wie Office 365 nutzen.

Dies bedeutet, dass man versteht, wie und von wo aus Benutzer auf Ressourcen von Office 365 zugreifen, ohne jedoch die vollständige Datennutzlast zu betrachten, um die Privatsphäre zu schützen. Es geht um die Nutzungsmuster und Verhaltensweisen, nicht um den statischen Zugriff.

Was Unternehmen zur Risikominimierung tun sollten

Vectra rät Unternehmen, die auf Office 365 beziehungsweise Microsoft 365 setzen deshalb:

Schränken Sie die Verwendung der internen Power-Automate-Lizenz ein oder entfernen Sie diese bei Ihren Office-365-Benutzern, die keine legitimen Anwendungsfälle haben.
Überprüfen Sie die Richtlinien von Office 365 zur Vermeidung von Datenverlusten und verwenden Sie eine »Business-Zone«, um den Zugriff von PowerAutomate auf Ihre Geschäftsdaten einzuschränken.
Beschränken Sie den Zugriff auf eDiscovery auf Office 365-Benutzer, die berechtigte Anwendungsfälle haben.
Ermöglichen Sie Echtzeit-Bedrohungserkennung und -reaktion, um verdächtige und böswillige Nutzung von Office 365-Tools und -Diensten zu erkennen.

Wie wichtig es ist, ein wachsames Auge auf den Missbrauch des Benutzerzugangs zu haben, kann angesichts der Häufigkeit von Angriffen nicht hoch genug eingeschätzt werden. In der aktuellen Cybersicherheitslandschaft reichen Sicherheitsmaßnahmen wie die Multi-Faktor-Authentifizierung nicht mehr aus, um Angreifer abzuschrecken. SaaS-Plattformen wie Office 365 sind ein sicherer Hafen für Angreifer, die sich seitwärts bewegen, so dass es von größter Wichtigkeit ist, sich auf den Benutzerzugang zu Konten und Diensten zu konzentrieren. Wenn Sicherheitsteams solide Informationen haben, lassen sich böswilliges Verhalten und Privilegienmissbrauch viel leichter schnell erkennen und eindämmen.

Der Vectra 2020 Spotlight Report on Office 365 zeigt den Wert von Network Detection and Response (NDR), wenn es darum geht, Angriffe aufzudecken und Sicherheitsteams in die Lage zu versetzen, alle schädlichen Vorgänge zu stoppen, die aufgrund von seitlichen Bewegungen installiert wurden.

278 Artikel zu „Schwachstellen Microsoft“

NEWS | TRENDS SECURITY | IT-SECURITY | WHITEPAPER

Fast zwei Drittel der Schwachstellen könnten längst gepatcht sein

5. November 2020

Cybersecurity-Spezialist veröffentlicht Business-Report zur Bedrohungslandschaft 2020. Ungepatchte Schwachstellen, Verschleierungstaktiken und APTs (Advanced Persistent Threats): Der Bitdefender Business-Report zur aktuellen Bedrohungslage beschreibt die Herausforderungen, denen sich Organisationen stellen müssen [1]. Dazu gehören erstens massenhafte Angriffe auf ältere Schwachstellen, für die bereits Patches verfügbar sind, zweitens die Zunahme von Verschleierungstaktiken, die zusätzliche Erkennungsmechanismen erfordert und drittens die…