Schwachstellen

Office 365 Tools und Open Services geraten zunehmend ins Visier von Cyberangreifern

, München/Wien/Zürich, Vectra AI | Autor: Herbert Wieler

Office 365 Tools und Open Services geraten zunehmend ins Visier von Cyberangreifern

Vectra untersucht wie Cyberkriminelle die Schwachstellen bei Office 365 missbrauchen

Der kürzlich von Vectra veröffentlichte 2020 Spotlight Report for Office 365 identifizierte die Tools und Dienste unter den Cloud-basierten Anwendungen, die häufig von Angreifern genutzt werden. Die Studie basiert auf der Beobachtung von vier Millionen Office 365-Konten über einen Zeitraum von 90 Tagen. Dadurch waren die Security-Forscher in der Lage, verdächtiges, risikoreiches Verhalten zu identifizieren, das mit Angriffstechniken verbunden ist, die integrierte Funktionen von Office 365 ausnutzen.

Diese Untersuchung fällt zusammen mit einem massiven Übergang zur Fernarbeit – ein Ergebnis der andauernden COVID-19-Pandemie – und der zunehmenden Akzeptanz von SaaS-Plattformen, wie Microsoft Office 365, als die täglichen digitalen Arbeitsbereiche. Während Office 365 der verteilten Belegschaft eine primäre Grundlage für den Geschäftsbetrieb bietet, schafft es auch ein zentrales Repository für Daten und Informationen, das ein Hauptziel für Angreifer ist, um es auszunutzen.

Während die Multi-Faktor-Authentifizierung (MFA) die beste Einzeltechnik ist, um die Möglichkeit eines Vorfalls zu reduzieren, kommt es in Office 365 dennoch weiterhin zu Vorfällen. MFA-Sicherheitsmaßnahmen reichen nicht mehr aus, um böswillige und heimtückische Angriffe zu verhindern. Von diesen Angriffen sind gekaperte Benutzerkonten die am schnellsten wachsenden und am weitesten verbreiteten, die sich nachteilig auf den Ruf der Unternehmen auswirken und finanzielle Konsequenzen nach sich ziehen.

Verhalten von Angreifern in Office 365

Nachdem die Angreifer in einer Office 365-Umgebung Fuß gefasst haben, können mehrere gängige Angriffstechniken auftreten, darunter:

  1. Durchsuchen von E-Mails, Chat-Protokollen und Dateien auf der Suche nach Passwörtern oder anderen interessanten Daten.
  2. Einrichten von Weiterleitungsregeln, um Zugriff auf einen stetigen E-Mail-Strom zu erhalten, ohne sich erneut anmelden zu müssen.
  3. Nutzung des vertrauenswürdigen Kommunikationskanals (d.h. Versenden einer unrechtmäßigen E-Mail vom offiziellen Konto des CEO, die zur sozialen Eingliederung von Mitarbeitern, Kunden oder Partnern verwendet wird).
  4. Einfügen von Malware oder böswilligen Links in Dokumente, denen viele Menschen vertrauen und die von ihnen benutzt werden, wobei wiederum das Vertrauen manipuliert wird, um die Präventionskontrollen zu umgehen, die Warnungen auslösen können.
  5. Stehlen oder Sperren/Verschlüsseln von Dateien und Daten gegen Lösegeld.

Vorgehensweise

Der Spotlight Report stellte fest, dass sich von den Diensten von Office 365 insbesondere drei als nützlich für einen Angriff herausstellten. OAuth wird genutzt, um Fuß zu fassen, Power Automate für die Ausführung und seitliche Bewegung und eDiscovery für Aufklärung und Exfiltration.

OAuth ist ein offener Standard für die Zugriffsauthentifizierung

Er wird häufig von Anwendungen von Drittanbietern verwendet, um Benutzer zu authentifizieren, indem die Anmeldedienste von Office 365 und die zugehörigen Anmeldedaten des Benutzers herangezogen werden. Die OAuth-Autorisierungscode-Gewährung kann in Anwendungen verwendet werden, die auf einem Gerät installiert sind, um Zugang zu geschützten Ressourcen, wie z.B. Web-APIs, zu erhalten. Angreifer nutzen von OAuth aktivierte bösartige Azure-Anwendungen, um dauerhaften Zugriff auf die Office 365-Konten der Benutzer zu erhalten.

Mit Power Automate können Benutzer benutzerdefinierte Integrationen und automatisierte Workflows zwischen Office 365-Anwendungen erstellen

Es ist standardmäßig aktiviert und umfasst Konnektoren zu Hunderten von Anwendungen und Diensten von Drittanbietern, aber die Workflows können Sicherheitsrichtlinien einschließlich Data Loss Prevention (DLP) umgehen. Die breite Verfügbarkeit und Benutzerfreundlichkeit von Power Automate macht es auch zu einem teilweise nützlichen Werkzeug für Angreifer, um böswilliges Command-and-Control- und Lateral-Movement-Verhalten zu orchestrieren.

eDiscovery ist ein elektronisches Discovery-Tool, das Office 365-Anwendungen und -Daten durchsucht und die Ergebnisse exportiert

Angreifer nutzen eDiscovery als leistungsstarkes internes Aufklärungs- und Datenexfiltrations-Tool. Beispielsweise könnten sie mit einem einfachen Befehl in Microsoft Outlook, Teams, allen Dateien in SharePoint und OneDrive sowie OneNote-Note-Notebooks nach „password“ oder „pwd“ suchen.

Darüber hinaus können Angreifer die in Azure Active Directory, Exchange und SharePoint gefundenen Schwachstellen ausnutzen, sobald sie sich die Identitätsdaten und privilegierten Zugriff verschafft haben. Angreifer können nach einer regulären Account-Übernahme Privilegien eskalieren und Operationen auf Administratorebene durchführen. Die Angreifer haben auch Zugang zu einer sensiblen Rolle, um redundanten Zugriff auf das System zu schaffen.

Das soll nicht heißen, dass die Dienste von Office 365 leicht zu infiltrieren sind; es geht vielmehr um die dem Benutzer zugewiesenen Berechtigungen und wie sie verwendet werden. Sicherheitsteams müssen über einen detaillierten Kontext verfügen, der erklärt, wie Entitäten ihre Privilegien – bekannt als beobachtete Privilegien – innerhalb von SaaS-Anwendungen wie Office 365 nutzen. Dies bedeutet, dass man versteht, wie und von wo aus Benutzer auf Ressourcen von Office 365 zugreifen, ohne jedoch die vollständige Datennutzlast zu betrachten, um die Privatsphäre zu schützen. Es geht um die Nutzungsmuster und Verhaltensweisen, nicht um den statischen Zugriff.

Was Unternehmen zur Risikominimierung tun sollten

Vectra rät Unternehmen, die auf Office 365 bzw. Microsoft 365 setzen deshalb:

  1. Schränken Sie die Verwendung der internen Power Automate-Lizenz ein oder entfernen Sie diese bei Ihren Office 365-Benutzern, die keine legitimen Anwendungsfälle haben.
  2. Überprüfen Sie die Richtlinien von Office 365 zur Vermeidung von Datenverlusten und verwenden Sie eine „Business-Zone“, um den Zugriff von PowerAutomate auf Ihre Geschäftsdaten einzuschränken.
  3. Beschränken Sie den Zugriff auf eDiscovery auf Office 365-Benutzer, die berechtigte Anwendungsfälle haben.
  4. Ermöglichen Sie Echtzeit-Bedrohungserkennung und -reaktion , um verdächtige und böswillige Nutzung von Office 365-Tools und -Diensten zu erkennen.

Wie wichtig es ist, ein wachsames Auge auf den Missbrauch des Benutzerzugangs zu haben, kann angesichts der Häufigkeit von Angriffen nicht hoch genug eingeschätzt werden. In der aktuellen Cyber Security-Landschaft reichen Sicherheitsmaßnahmen wie die Multi-Faktor-Authentifizierung nicht mehr aus, um Angreifer abzuschrecken. SaaS-Plattformen wie Office 365 sind ein sicherer Hafen für Angreifer, die sich seitwärts bewegen, so dass es von größter Wichtigkeit ist, sich auf den Benutzerzugang zu Konten und Diensten zu konzentrieren. Wenn Sicherheitsteams solide Informationen haben, lassen sich böswilliges Verhalten und Privilegien-Missbrauch viel leichter schnell erkennen und eindämmen.

Der Vectra 2020 Spotlight Report on Office 365 zeigt den Wert von Network Detection and Response (NDR), wenn es darum geht, Angriffe aufzudecken und Sicherheitsteams in die Lage zu versetzen, alle schädlichen Vorgänge zu stoppen, die aufgrund von seitlichen Bewegungen installiert wurden.