Mehr Sicherheit für Homeoffice und AußendienstAuf diese MS365-Angriffsarten sollten Firmen achten

2. September 2020

Phishing, Legacy-Protokolle, Password Spraying, OAuth-Attacken und mehr: Security-Experten von erklären häufige MS365-Einfallstore für Cyber-Kriminelle und hilfreiche Abwehrtaktiken.

Rund 200 Millionen aktive Nutzer im Monat zählt die Webanwendungs-Suite Microsoft 365 (ehemals Microsoft Office 365). Für die riesige Zahl an Anwendern besteht das Risiko, Opfer von Cyber-Kriminellen zu werden. So lassen sich 89 Prozent der Sicherheitsvorfälle, die von Kudelski Security 2019 registriert wurden, auf 365-E-Mail-Angriffe zurückführen.

Anzeige
corp x opta

Dieses Einfallstor für Hacker gilt es demnach dringend zu schließen, nicht zuletzt aufgrund der steigenden Anzahl von Mitarbeitern, die während der Corona-Pandemie im Homeoffice auf wichtige Firmendokumente zugreifen, E-Mails verschicken und mehr. Spezialisten haben fünf Handlungsempfehlungen zusammengestellt, die eine sichere Nutzung von MS Office 365 unterstützen.

Auf diese Angriffstaktiken achten

Seit Beginn der weltweiten Lockdowns aufgrund von Covid-19 haben Experten einen extremen Anstieg von Phishing-Attacken festgestellt. Doch auch Password Spraying kommt vermehrt zum Einsatz. Hierbei versuchen Hacker, Zugriff auf viele Nutzerkonten über einige wenige, jedoch häufig genutzte Passwörter zu erhalten. Selbst mit Multi-Faktor-Authentifizierung (MFA) können Angreifer 365-Konten kompromittieren, ohne überhaupt einen MFA-Push nachweisen oder einen zeitbasierten Einmal-Passwort-Code angeben zu müssen.

MFA schließt keine Legacy-Protokolle ein, die genutzt werden, um ältere Geräte zu aktivieren, die E-Mails anders als neuere Devices abrufen. Darum sind Clients, die keine aktive Synchronisierung wie iPhone- oder Outlook-Webclient verwenden, also beispielsweise der Unternehmensdrucker, willkommene Einfallstore für Hacker: Hier werden sie nicht zur Eingabe eines MFA-Codes aufgefordert. Es gibt verschiedenste Tools, die es Angreifern via Brute-Force ermöglichen, Office 365-Accounts auf diese Art und Weise zu kompromittieren.

Zugriff auf Legacy-Protokolle einschränken

Wer wissen will, ob dies für die eigene 365-Umgebung zutrifft, kann die Sign-In-Activity aufrufen. Zeigt die Client-Anwendung ältere Office-Clients oder andere Clients an, ist das ein Anzeichen für eine Legacy-Authentifizierung, die MFA nicht unterstützt. Bis vor Kurzem waren Legacy-Protokolle in Office 365 standardmäßig aktiviert.

Wer Office 365-Tenants seit mehr als sechs Monaten im Einsatz hat, muss dies also besonders beachten. Legacy-Protokolle umgehen MFA, da sie darauf ausgelegt sind, Geräte zu unterstützen, die neuere E-Mail-Kommunikationsprotokolle nicht nutzen. Tipp: Der Zugriff auf derartige Protokolle sollte so schnell wie möglich mit Kontrollfunktionen des Azure Active Directory eingeschränkt werden. Es ist empfehlenswert, Legacy-Protokoll-Zugriffe nach Service-Account-Nutzernamen oder Office-IP-Adressen zu filtern, wenn es sich um Geräte wie Drucker oder Scanner handelt, die Daten senden müssen. Außerdem sollten spezielle Service-Konten erstellt werden, mit denen sich E-Mails von Geräten senden lassen, die MFA-fähige Protokolle nicht unterstützen. Zugleich müssen diese Accounts verlässlich überwacht werden.

OAuth-Attacken im Auge behalten

Eine weitere Methode, die Angreifer nutzen, um 365-Konten auszuspähen, ist Open Authorization (OAuth). Hierbei handelt es sich um zwei verschiedene offene Protokolle, die eine standardisierte API-Autorisierung für Desktop-, Web- und Mobile-Anwendungen erlauben. Sie sind für Aktionen wie „Sign in with Facebook“ oder „Sign in with Google“ zuständig. Aber sie steuern auch viele der Active Directory SSO-Migrationen. Das Gefahrenpotenzial von OAuth hängt davon ab, wie einer Anwendung Zugriff auf Daten gewährt wird.

Ein Beispiel: Wird mit Google eingeloggt, erlaubt Google den Anwendungen nur, E-Mails und den Namen des Anwenders abzurufen, denn das ist alles, was benötigt wird. Die Anwendungen können jedoch alle vorhandenen OAuth-Berechtigungen anfordern. Es kommt aktuell immer häufiger vor, dass Angreifer gefälschte Anwendungen bauen, die Lesezugriff auf E-Mails ohne Passwort und ohne jegliche Zugangsdaten anfordern. In dem Moment, in dem ein Benutzer auf „Akzeptieren“ drückt, gewährt er Hackern Zugriff auf seinen E-Mail-Posteingang, ohne dass diese ein Passwort angeben müssen.

Das Problem: Office 365-Administratoren können dauerhaft Zugang zu allen Daten einer Organisation, Mailboxen und Active Directory-Umgebung gewähren. Dies bereitet Sicherheitsexperten zunehmend Sorge. Tipp: Microsoft stellt spezielle Tools zur Verfügung, die es Organisationen ermöglichen, nach bösartigen Zugriffen Ausschau zu halten. Administratoren können Anwendungen, die derartige Informationen anfordern, zudem vorab genehmigen – ein weiterer wichtiger Schritt in Richtung mehr Sicherheit.

Risiko E-Mail-Weiterleitungen nicht unterschätzen

Ein weiteres Problem ist, dass Cyber-Kriminelle Mailweiterleitungsregeln in IT-Umgebungen ausnutzen, in denen das Thema Sicherheit zu einseitig und nachlässig behandelt wird. So wiegen sich Unternehmen in Sicherheit, da sie einen Angriff aufgedeckt haben. Es kommt jedoch häufig vor, dass Angreifer, die Zugriff auf ein Konto erhalten haben, sofort eine Weiterleitung einrichten: Jede E-Mail an dieses Konto geht sofort weiter an eine dritte Partei.

Hinzu kommen Weiterleitungsregeln, die nach Aufforderungen wie „Hallo, ich habe gerade eine E-Mail von dir erhalten, die seltsam aussieht. Bist du sicher, dass du sie geschickt hast?“ suchen. Angreifer löschen derartige Antworten automatisch, so dass, wenn ein Benutzer kompromittiert wurde und jemand auf diese Mails antwortet, der User es nicht sehen kann. E-Mail-Regeln dieser Art bleiben selbst nach Änderung der Anmeldeinformationen bestehen.
Es gibt sogar ein Tool, das es Angreifern ermöglicht, eine von MS zur Verfügung gestellte API zu nutzen und ihr Handeln so noch besser zu verschleiern. Tipp: Unternehmen sollten sich immer wieder mit neuen Angriffsarten und Abwehrmechanismen beschäftigen und gegebenenfalls Experten zurate ziehen.

Einfallstor Outlook-Formular berücksichtigen

Hacker nutzen außerdem vermehrt Outlook-Formulare (Outlook Forms), um 365-Konten zu kompromittieren. Derartige Formulare werden verwendet, um benutzerdefinierte Anwendungen anzuzeigen, die etwa mit E-Mail-Kalendereinladungen einhergehen. Das Team von MS hat ein Outlook-Formular entworfen, mit dem User diese Einladungen annehmen oder ablehnen können. Angreifer können allerdings eigene Formulare erstellen und sie in bestimmten Ordnern wie dem Posteingang veröffentlichen.

Anschließend wird dieser mit dem Firmen-Laptop synchronisiert oder dem E-Mail-Client des Handys, auf dem Outlook genutzt wird. Um das Outlook-Formular und den darin eingebetteten Code auszulösen, muss ein Angreifer lediglich eine E-Mail der entsprechenden Nachrichtenklasse senden. Dieser Problematik sollten sich MS365-Anwenderunternehmen demnach ebenfalls widmen. (rhh)

Kudelski Security

Lesen Sie auch