Office 365 zunehmend im Fokus vor Cyberkriminellen

Vectra warnt vor wachsendem Missbrauch von Nutzerkonten und vor Hackern, die mit ausgefeilten Methoden sogar Multi-Faktor-Authentifizierung umgehen. [...]

„Bei Erfolg hat der Angreifer direkten Zugriff auf ein internes Office 365-Konto. Dies ist eine perfekte Plattform zum Phishing anderer interner Ziele oder zum Ausführen schädlicher Aktionen innerhalb von Office 365 im Zusammenhang mit SharePoint, OneDrive, Exchange und Teams“, erklärt Andreas Müller, Director DACH bei Vectra AI. (c) Vectra AI

Die Multi-Faktor-Authentifizierung (MFA) ist eine gängige Maßnahme, aber es gibt immer Wege, um präventive Kontrollen zu umgehen. Eine der bekannten MFA-Umgehungstechniken ist die Installation von schädlichen Azure/O365-OAuth-Applikationen. Vectra AI sieht in den jüngsten Cyberangriffen auf die australische Regierung und Unternehmen ein deutliches Warnsignal für Unternehmen und öffentliche Einrichtungen auch in Europa. Die staatlich unterstützten Cyberkriminelle, die für die Angriffe in Australien verantwortlich waren, setzten OAuth ein, eine Standardtechnik, die für die Zugriffsdelegation in Applikationen verwendet wird, um unbefugten Zugang zu Cloud-Konten wie Microsoft Office 365 zu erhalten.

Den Berichten zufolge schufen die Angreifer eine schädliche Office 365-Anwendung, die als Teil eines Speer-Phishing-Links an Zielnutzer gesendet werden sollte. Die Anwendung wird als legitim dargestellt; in diesem Fall wurde die Anwendung ähnlich benannt wie eine bekannte E-Mail-Filterlösung, die in der australischen Regierung weit verbreitet ist. Beim Empfang überzeugt die schädliche Anwendung das Opfer davon, die Erlaubnis zum Zugriff auf Daten im Konto des Benutzers zu erteilen. Dabei geht es vor allem um Dinge wie Offline-Zugriff, Benutzerprofilinformationen und die Möglichkeit, E-Mails zu lesen, zu verschieben und zu löschen.

„Bei Erfolg hat dann der Angreifer direkten Zugriff auf ein internes Office-365-Konto. Dies ist eine perfekte Plattform zum Phishing anderer interner Ziele oder zum Ausführen schädlicher Aktionen innerhalb von Office 365 im Zusammenhang mit SharePoint, OneDrive, Exchange und Teams“, erklärt Andreas Müller, Director DACH bei Vectra AI.

Dauerhafter Zugriff für Angreifer

Bei dieser Art von Angriff wird auf dem Endpunkt kein Schadcode ausgeführt, so dass kein Signal für die Erkennung durch Endpunktsicherheitssoftware entsteht. Eine legitim konstruierte Office-365-Anwendung, die für solche böswilligen Absichten verwendet wird, bietet dem Angreifer auch dauerhaften Zugriff auf ein Benutzerkonto, unabhängig davon, ob der Benutzer sein Kennwort ändert oder MFA nutzt. Die meisten Benutzer inventarisieren ihre Office 365-Anwendungen nicht regelmäßig in einem regelmäßigen Rhythmus, so dass es für längere Zeit unwahrscheinlich ist, dass sie etwas bemerken würden.

„Wir erwarten, dass diese Art von Angriffen in Zukunft häufiger vorkommen wird. Office 365 ermöglicht es Endbenutzern, Anwendungen ohne Zustimmung der Administratoren zu installieren. Ein effektiver Ansatz ist die Implementierung von Detection-basierten Lösungen. Durch die Analyse und Korrelation von Ereignissen wie verdächtige Anmeldungen, schädlicher Anwendungsinstallationen, Regeln für die E-Mail-Weiterleitung oder Missbrauch nativer Office 365-Tools ist es möglich, Sicherheitsteams zu alarmieren, bevor Schaden entsteht. Mittlerweile gibt es aber Anwendungen in Security-Plattformen, die auf künstlicher Intelligenz basieren, und die explizit zur Erkennung solcher Verhaltensweisen in Office 365 entwickelt wurden“, sagt Andreas Müller.


Mehr Artikel

News

Samsung OLED-TV S95D im Test

Extrem in allem: Samsungs brandneuer OLED-TV S95D ist ultradünn, ultraschmall gebaut und löst ultrascharf auf. Wir haben das neue OLED-Spitzenmodell mit mattem Bildschirm (!) und 65-Zoll-Bilddiagonale getestet. […]

News

Große Sprachmodelle und Data Security: Sicherheitsfragen rund um LLMs

Bei der Entwicklung von Strategien zur Verbesserung der Datensicherheit in KI-Workloads ist es entscheidend, die Perspektive zu ändern und KI als eine Person zu betrachten, die anfällig für Social-Engineering-Angriffe ist. Diese Analogie kann Unternehmen helfen, die Schwachstellen und Bedrohungen, denen KI-Systeme ausgesetzt sind, besser zu verstehen und robustere Sicherheitsmaßnahmen zu entwickeln. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*