Eine aktuelle CISA-Warnung wirft ein beunruhigendes Licht auf den Schutz der Machine-to-Machine-Kommunikation (M2M). Angreifer nutzen gezielt Standardkonfigurationen und überprivilegierte Service-Principals in Microsoft Azure und anderen Cloud-SaaS-Umgebungen. [...]
Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) warnt vor Bedrohungsakteuren, die SaaS-Cloud-Anwendungen von Commvault missbrauchen, um auf sicherheitskritische Anwendungs-Secrets ihrer Kunden zuzugreifen. Laut CISA haben Bedrohungsakteure möglicherweise geheime Client-Schlüssel der Backup-Lösung „Metallic Microsoft 365“ offengelegt, die in Microsoft Azure verwaltet wird. Damit könnten sie sich unbefugten Zugriff auf die M365-Umgebungen der Kunden verschaffen, in denen Anwendungsgeheimnisse gespeichert sind.
Der Fall veranschaulicht exemplarisch die Risiken, die mit der Gewährung privilegierter Zugriffsrechte für Drittanwender auf sensible Umgebungen verbunden sind. Viele Unternehmen verfügen zwar über robuste Kontrollen bei der Ausstellung und Verwaltung von Zugriffen auf Personenkonten, die von Auftragnehmern und Dritten verwendet werden. Bei der Absicherung maschineller Identitäten und Secrets sieht es aber ganz anders aus. Die Interaktion zwischen Maschinen untereinander erfolgt oft mittels überprivilegierter und nicht ausreichend überwachter Zugriffsrechte.
Zum Schutz der Machine-to-Machine-Kommunikation (M2M) gilt es, Privilegien für alle Identitäten zu reduzieren, Sichtbarkeitslücken zu schließen und die Auswirkungen von Sicherheitsverletzungen zu minimieren. Der unbefugte Zugriff auf Secrets für den M365 von Commvault wurde durch einen Zero-Day-Exploit erreicht. Bereits im Februar hatte Microsoft vor der schwerwiegenden Schwachstelle CVE-2025-3928 gewarnt, die Zugriff auf Azure-Umgebungen verschaffe. In einem Advisory äußerte die CISA schon damals den Verdacht, dass die Ausnutzung dieser Sicherheitslücke ein Teil einer umfassenderen Kampagne sei, die auf SaaS-Anwendungen mit Standardeinstellungen und High-Level-Berechtigungen abziele.
Durch Ausnutzen der Zero-Day-Lücke gelangten offenbar nationalstaatliche Akteure an zahlreiche App-Anmeldeinformationen, die zur Authentifizierung auf M365-Umgebungen verwendet wurden. Der schwerwiegende Fehler (CVSS 8.7 von 10) ermöglichte es den böswilligen Akteuren, Webshells in kompromittierten Umgebungen zu erstellen und auszuführen.
Was Unternehmen zum Schutz der M2M-Kommunikation ändern müssen
Der von der CISA dokumentierte Vorfall unterstreicht die Risiken durch Auftragnehmer und Dritte mit privilegierten Zugriffsrechten auf Cloud-Umgebungen, deren Kompromittierung schwerwiegende Sicherheitsverletzungen nach sich zieht. Anhand der folgenden Maßnahme verbessern IT-Verantwortliche die Sicherheitslage ihrer Organisation und wehren identitätsbasierte Angriffe ab.
1. Transparenz über Identitäten
Ein vollständiger Überblick über die identitätsbasierten Informationen einer IT-Umgebung minimiert potenzielle Risiken. Proaktiv lassen sich identifizierte Rollen, Richtlinien und Berechtigungen nach Sicherheitskriterien konfigurieren.
2. Erkennung von Anomalien
Nicht verwaltete Konten verursachen potenzielle Sicherheitslücken und fehlerhafte Konfigurationen in geschäftlichen IT-Umgebungen. Die Erkennung von Anomalien beim Einsatz von Benutzer- und Adminkonten zählt dabei zu den grundlegenden Abwehrmaßnahmen. Sicherheitsverantwortliche müssen privilegierte Konten überwachen und unbefugte Zugriffe durch Bedrohungsakteure erkennen, um Seitwärtsbewegungen im Netzwerk rechtzeitig zu unterbinden.
3. Schutz digitaler Identitäten
Social-Engineering-Attacken oder die Ausnutzung bekannter Sicherheitslücken setzen digitale Identitäten unter Dauerfeuer. Insbesondere bei Konten mit weitreichenden Privilegien ist entscheidend, den Missbrauch von Anmeldeinformationen und anderen identitätsbezogenen Bedrohungen schnellstmöglich zu stoppen. Gerade bei maschinellen Konten mangelt es oft an klaren Zuordnungen oder Passwortrichtlinien. Hier helfen Least-Privilege-Vorgaben, die nur Berechtigungen erlauben, die zur Erledigung zugewiesener Aufgaben und Funktionen erforderlich sind.
4. Sichere Nutzerauthentifizierung
Multi-Faktor-Authentifikation (MFA) ist ein zentraler Bestandteil von Sicherheitsstrategien zum Schutz von digitalen Identitäten. MFA-Technologien helfen gegen Password-Spraying-Angriffe und Brute-Force-Attacken auf Kennwörter. Selbst wenn ein Angreifer das Passwort eines Benutzers erhält, benötigt er immer noch den zweiten Faktor — einen telefonisch zugestellten Code, einen Fingerabdruck-Scan oder ein Sicherheitstoken. Für IT-Sicherheitsabteilungen ist ebenso wichtig, dass sie automatisiert über gescheiterte Anmeldeversuche, Fehlkonfigurationen oder deaktivierte Multi-Faktor-Authentifizierung informiert werden.
5. Keine Schatten-IT
Unter Schatten-IT fallen Systeme, auf die ohne Wissen der Sicherheitsverantwortlichen zugegriffen wird. Häufig erstellen Benutzer eigene SaaS-Konten und umgehen den Genehmigungsprozess der IT-Abteilung. Die hohe Anzahl solcher Konten verstärkt das Risiko zusätzlich. Sie bleiben mit missbrauchsanfälligen Zugriffsberechtigungen auf geschäftskritische Funktionen, Prozesse und Abläufe unbeobachtet aktiv. Identitätssicherheit erfordert nicht nur Tools, die Transparenz und Kontrolle über Identitäten und Privilegien zur Risikominderung und Bedrohungserkennung schaffen. Angesichts der zunehmenden Anzahl von spektakulären und breit dokumentierten Angriffen auf die Identitätssicherheit müssen Unternehmen ihre Verteidigungsstrategien neu ausrichten. Wichtig ist ein systematischer Wandel einer Organisation mit dem Ziel, digitale Identitäten, Zugriffsrechte und Sicherheitsvorgaben miteinander verzahnen zu können.
* Mohamed Ibbich ist Senior Director Solutions Engineering bei BeyondTrust.
Be the first to comment