Rund 200 Millionen aktive Nutzer im Monat zählt die Websuite Microsoft 365. Für die riesige Zahl an Anwendern besteht das Risiko, Opfer von Cyberkriminellen zu werden.
So lassen sich 85 Prozent der Sicherheitsvorfälle, die von Kudelski Security 2019 registriert wurden, auf 365-E-Mail-Angriffe zurückführen. Dieses Einfallstor für Hacker gilt es demnach dringend zu schließen, nicht zuletzt aufgrund der steigenden Anzahl von Mitarbeitern, die während der Corona-Pandemie im Homeoffice auf wichtige Firmendokumente zugreifen, E-Mails verschicken und mehr. Die Spezialisten von Kudelski Security haben daher fünf Handlungsempfehlungen zusammengestellt, die eine sichere Nutzung von MS Office 365 unterstützen.
1. Phishing, Password Spraying und Co.: Auf diese Angriffstaktiken achten
Seit Beginn der weltweiten Lockdowns aufgrund von Covid-19 haben Kudelski Security und andere Experten einen extremen Anstieg von Phishing-Attacken festgestellt. Doch auch Password Spraying kommt vermehrt zum Einsatz. Hierbei versuchen Hacker, Zugriff auf viele Nutzerkonten über einige wenige, jedoch häufig genutzte Passwörter zu erhalten. Selbst mit Multi-Faktor-Authentifizierung (MFA) können Angreifer Microsoft 365-Konten kompromittieren, ohne überhaupt einen MFA-Push nachweisen oder einen zeitbasierten Einmal-Passwort-Code angeben zu müssen.
MFA schließt keine Legacy-Protokolle ein, die genutzt werden, um ältere Geräte und Protokolle zu aktivieren, die E-Mails anders als neuere Devices abrufen. Darum sind Legacy Office-Clients oder Drittparteilösungen, die keine aktive Synchronisierung verwenden und auf Legacy-Protokolle setzen, also beispielsweise der Unternehmensdrucker, willkommene Einfallstore für Hacker: Hier werden sie nicht zur Eingabe eines MFA-Codes aufgefordert. Es gibt verschiedenste Tools, die es Angreifern via Brute-Force ermöglichen, Office 365-Accounts auf diese Art und Weise zu kompromittieren.
2. Zugriff auf Legacy-Protokolle einschränken und Kontrollfunktionen nutzen
Wer wissen will, ob dies für die eigene Microsoft 365-Umgebung zutrifft, kann die Sign-In-Activity aufrufen. Zeigt die Client-Anwendung ältere Office-Clients oder andere Clients an, ist das ein Anzeichen für eine Legacy-Authentifizierung, die MFA nicht unterstützt. Bis vor Kurzem waren Legacy-Protokolle in Office 365 standardmäßig aktiviert. Wer Office 365-Tenants seit mehr als sechs Monaten im Einsatz hat, muss dies also besonders beachten. Legacy-Protokolle umgehen MFA, da sie darauf ausgelegt sind, Geräte zu unterstützen, die neuere E-Mail-Kommunikationsprotokolle nicht nutzen. Tipp: Der Zugriff auf derartige Protokolle sollte so schnell wie möglich mit Kontrollfunktionen des Azure Active Directory (Azure Active Directory Conditional Access) eingeschränkt werden. Es ist empfehlenswert, Legacy-Protokoll-Zugriffe nach Service-Account-Nutzernamen oder Office-IP-Adressen zu filtern, wenn es sich um Geräte wie Drucker oder Scanner handelt, die Daten senden müssen. Außerdem sollten spezielle Service-Konten erstellt werden, mit denen sich E-Mails von Geräten senden lassen, die MFA-fähige Protokolle nicht unterstützen. Zugleich müssen diese Accounts verlässlich überwacht werden.
3. OAuth-Attacken im Auge behalten
Eine weitere Methode, die Angreifer nutzen, um Microsoft 365-Konten auszuspähen, ist OAuth. Hierbei handelt es sich um zwei verschiedene offene Protokolle, die eine standardisierte API-Autorisierung für Desktop-, Web- und Mobile-Anwendungen erlauben. Sie sind für Aktionen wie „Sign in with Facebook“ oder „Sign in with Google“ zuständig. Aber sie steuern auch viele der Active Directory Single-Sign-On (SSO)-Migrationen. Das Gefahrenpotenzial von OAuth hängt davon ab, wie einer Anwendung Zugriff auf Daten gewährt wird. Ein Beispiel: Wird mit Google eingeloggt, erlaubt Google den Anwendungen nur, E-Mails und den Namen des Anwenders abzurufen, denn das ist alles, was benötigt wird. Die Anwendungen können jedoch alle vorhandenen OAuth-Berechtigungen anfordern.
Es kommt aktuell immer häufiger vor, dass Angreifer gefälschte Anwendungen bauen, die Lesezugriff auf E-Mails ohne Passwort und ohne jegliche Zugangsdaten anfordern. In dem Moment, in dem ein Benutzer auf „Akzeptieren“ drückt, gewährt er Hackern Zugriff auf seinen E-Mail-Posteingang, ohne dass diese ein Passwort angeben müssen. Das Problem: Office 365-Administratoren können dauerhaft Zugang zu allen Daten einer Organisation, Mailboxen und Active Directory-Umgebung gewähren. Dies bereitet Sicherheitsexperten zunehmend Sorge. Tipp: Microsoft stellt spezielle Tools zur Verfügung, die es Organisationen ermöglichen, nach bösartigen Zugriffen Ausschau zu halten. Administratoren können Anwendungen, die derartige Informationen anfordern, zudem vorab genehmigen – ein weiterer wichtiger Schritt in Richtung mehr Sicherheit.
4. Risiko E-Mail-Weiterleitungen nicht unterschätzen
Ein weiteres Problem ist, dass Cyberkriminelle Mailweiterleitungsregeln in IT-Umgebungen ausnutzen, in denen das Thema Sicherheit zu einseitig und nachlässig behandelt wird. So wiegen sich Unternehmen in Sicherheit, da sie einen Angriff aufgedeckt haben. Es kommt jedoch häufig vor, dass Angreifer, die Zugriff auf ein Konto erhalten haben, sofort eine Weiterleitung einrichten: Jede E-Mail an dieses Konto geht sofort weiter an eine dritte Partei. Hinzu kommen Weiterleitungsregeln, die nach Aufforderungen wie „Hallo, ich habe gerade eine E-Mail von dir erhalten, die seltsam aussieht. Bist du sicher, dass du sie geschickt hast?“ suchen. Angreifer löschen derartige Antworten automatisch, so dass, wenn ein Benutzer kompromittiert wurde und jemand auf diese Mails antwortet, der User es nicht sehen kann.
E-Mail-Regeln dieser Art bleiben selbst nach Änderung der Anmeldeinformationen bestehen. Es gibt sogar ein Tool, das es Angreifern ermöglicht, eine von MS zur Verfügung gestellte API zu nutzen, die Regeln vor Outlook-Clients zu verstecken und ihr Handeln so noch besser zu verschleiern. Tipp: Unternehmen sollten sich immer wieder mit neuen Angriffsarten und Abwehrmechanismen beschäftigen und gegebenenfalls Experten zurate ziehen.
5. Einfallstor Outlook-Formular berücksichtigen
Hacker nutzen außerdem vermehrt Outlook-Formulare (Outlook Forms), um Microsoft 365-Konten zu kompromittieren. Derartige Formulare werden verwendet, um benutzerdefinierte Anwendungen anzuzeigen, die etwa mit E-Mail-Kalendereinladungen einhergehen. Das Team von MS hat ein Outlook-Formular entworfen, mit dem User diese Einladungen annehmen oder ablehnen können. Angreifer können allerdings eigene Formulare erstellen und sie in bestimmten Ordnern wie dem Posteingang veröffentlichen. Anschließend wird dieser mit dem Firmen-Laptop synchronisiert oder dem E-Mail-Client des Handys, auf dem Outlook genutzt wird. Um das Outlook-Formular und den darin eingebetteten Code auszulösen, muss ein Angreifer lediglich eine E-Mail der entsprechenden Nachrichtenklasse senden. Dieser Problematik sollten sich MS 365-Anwenderunternehmen demnach ebenfalls widmen.
Fazit: IAM vereinfachen, Daten verlässlich sichern und Abwehr stärken
Philippe Borloz, Vice President EMEA Sales bei Kudelski Security, resümiert: „Immer mehr Unternehmen wünschen sich, dass ihre Mitarbeiter überall produktiv arbeiten können. Die Corona-Krise hat diesen Trend noch verstärkt. Microsoft 365 kann sie dabei unterstützen. Gleichzeitig gilt es, Daten, Anwendungen und Benutzer in der Cloud bestmöglich abzusichern. Hier mangelt es so manchem Sicherheitsteam an Ressourcen und Expertise. Mithilfe der nativen Sicherheitsfunktionen in Microsoft 365 und Azure im Zusammenspiel mit unseren proprietären Lösungen und unserer Expertise unterstützen wir Unternehmen, ihr Identity Access Management – kurz IAM – zu vereinfachen, Daten besser zu schützen und zu kontrollieren. Zudem optimieren wir den Überblick über existierende Bedrohungen, helfen ihnen bei der Abwehr hochentwickelter Angriffe sowie bei der Gewährleistung verlässlicher Sicherheit.“
www.kudelskisecurity.