Business Security, Schutzprogramme, Verschlüsselung & Datensicherheit

Office 365: Cyberangriffe

Missbräuchliche Übernahme von Accounts in Office 365 ist größter Bedrohungsvektor in der Cloud

Bei den jüngsten Cyberangriffen in Australien nutzten die vermutlich staatlich unterstützten Hacker, die für die Angriffe verantwortlich waren, OAuth-Apps, um sich unberechtigten Zugang zu Cloud-Konten wie Microsoft Office 365 zu verschaffen. Damit steht für Vectra, Anbieter einer Plattform für Cybersicherheit auf Basis künstlicher Intelligenz fest: Mögliche Zweifel, ob Office 365 als Angriffsvektor in der Praxis relevant ist, sind spätestens jetzt nicht mehr angebracht.

Nach dem, was bisher bekannt ist, erfolgen diese Angriffe anhand der folgenden Schritte:

 

  1. Die Angreifer erstellten eine schädliche Office 365-Anwendung, zusätzlich zu einer geeigneten OAuth-Autorisierungs-URL, die als Teil eines Spear-Phishing-Links an die Zielnutzer gesendet werden sollte. Die Anwendung sollte legitim erscheinen. In diesem Fall haben die Akteure die Anwendung ähnlich benannt wie eine bekannte E-Mail-Filterlösung, die in der australischen Regierung weit verbreitet ist.
  2. Beim Empfang überzeugte die schädliche Anwendung das Opfer davon, die Erlaubnis zum Zugriff auf Daten im Konto des Benutzers zu erteilen. Diese umfasst insbesondere Dinge wie Offline-Zugriff, Benutzerprofilinformationen und die Möglichkeit, E-Mails zu lesen, zu verschieben und zu löschen.
  3. Ist der Angriff erfolgreich, hätte der Angreifer direkten Zugriff auf das interne E-Mail-System. Dies ist eine perfekte Plattform, um entweder mit dem Phishing anderer interner Ziele fortzufahren oder Dateien in SharePoint oder OneDrive zu infizieren.

Dauerhafter Zugriff auf Benutzerkonto

Bei dieser Art von Angriffen wird auf dem Endpunkt kein schädlicher Code ausgeführt, so dass kein Signal zur Erkennung durch Endpunkt-Sicherheitssoftware vorhanden ist. Eine gekaperte Office 365-Anwendung bietet dem Angreifer außerdem dauerhaften Zugriff auf ein Benutzerkonto, unabhängig davon, ob der Benutzer sein Kennwort ändert oder die Multi-Faktor-Authentifizierung nutzt. Die meisten Benutzer inventarisieren ihre Office 365-Anwendungen nicht in einem regelmäßigen Turnus, so dass die Angriffsaktivitäten wahrscheinlich für lange Zeit unbemerkt bleiben würden, wie Vectra berichtet. Weitere Einzelheiten hierzu finden sich in den Empfehlungen des Australian Cyber Security Center und im ausgezeichneten Newsletter Risky.biz.

In Zukunft weitere Angriffe dieser Art erwartet

Vectra erwartet, dass diese Art von Angriffen in Zukunft häufiger vorkommen wird. Spear-Phishing-Angriffe sind für E-Mail-Sicherheitslösungen schwer zu erkennen. Office 365 ermöglicht es Endbenutzern standardmäßig, Azure-Apps ohne Genehmigung der Administratoren zu aktivieren. Microsoft empfiehlt Kunden, MFA zu aktivieren, und Admins, die Standardeinstellungen so zu ändern, dass Endbenutzer keine neuen Office 365-Anwendungen installieren können. Diese unverblümte „Alles oder nichts“-Option unterstreicht die Bedeutung von Erkennungslösungen.

Während Präventivmaßnahmen wie MFA darauf ausgelegt sind, auf Berechtigungsnachweisen basierende Angriffe zu stoppen, kann MFA umgangen werden – und wurde auch umgangen.

Erkannt und gestoppt werden können solche Angriffe nur durch Lösungen, die unterstützt von künstlicher Intelligenz potentiell gefährliche Verhaltensweisen erkennen und melden. Derartige Lösungen verdächtige Anwendungsberechtigungen sind so aufgebaut, dass sie die Installation solcher Anwendungen erkennen. Durch die Analyse von Ereignissen wie Anmeldungen, Dateierstellung/-manipulation, DLP-Konfiguration und Änderungen der Mailbox-Routing-Konfiguration und -Automatisierung finden nur solche Lösungen mit Hilfe künstlicher Intelligenz sehr präzise die möglichen Verhaltensmuster von Angreifern über die gesamte Angriffskette für Office 365 hinweg.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben