Wir nutzen Cookies, um Ihren Besuch auf unserer Website und unseren Service zu optimieren.
Wir betrachten die weitere Nutzung unserer Website als Zustimmung zu der Verwendung von Cookies.
PortalDerWirtschaft.de



Suchmaschinenoptimierung mit PdW
mit Content-Marketing - Ihre News

Mehr Sicherheit für Homeoffice und Außendienst

Von Kudelski Security

Auf diese MS 365-Angriffsarten sollten Firmen verstärkt achten

Phishing, Legacy-Protokolle, Password Spraying, OAuth-Attacken und mehr: Experten von Kudelski Security erklären häufige MS 365-Einfallstore für Cyberkriminelle und hilfreiche Abwehrtaktiken.

Cheseaux-sur-Lausanne, Schweiz, und Phoenix (AZ), USA, 20. August 2020Rund 200 Millionen aktive Nutzer im Monat zählt die Webanwendungssuite Microsoft 365 (ehemals Microsoft Office 365). Für die riesige Zahl an Anwendern besteht das Risiko, Opfer von Cyberkriminellen zu werden. So lassen sich 89 Prozent der Sicherheitsvorfälle, die von Kudelski Security 2019 registriert wurden, auf 365-E-Mail-Angriffe zurückführen. Dieses Einfallstor für Hacker gilt es demnach dringend zu schließen, nicht zuletzt aufgrund der steigenden Anzahl von Mitarbeitern, die während der Corona-Pandemie im Homeoffice auf wichtige Firmendokumente zugreifen, E-Mails verschicken und mehr. Die Spezialisten von Kudelski Security haben daher fünf Handlungsempfehlungen zusammengestellt, die eine sichere Nutzung von MS Office 365 unterstützen.

 

1.     Phishing, Password Spraying und Co.: Auf diese Angriffstaktiken achten

 

Seit Beginn der weltweiten Lockdowns aufgrund von Covid-19 haben Kudelski Security und andere Experten einen extremen Anstieg von Phishing-Attacken festgestellt. Doch auch Password Spraying kommt vermehrt zum Einsatz. Hierbei versuchen Hacker, Zugriff auf viele Nutzerkonten über einige wenige, jedoch häufig genutzte Passwörter zu erhalten. Selbst mit Multi-Faktor-Authentifizierung (MFA) können Angreifer 365-Konten kompromittieren, ohne überhaupt einen MFA-Push nachweisen oder einen zeitbasierten Einmal-Passwort-Code angeben zu müssen. MFA schließt keine Legacy-Protokolle ein, die genutzt werden, um ältere Geräte zu aktivieren, die E-Mails anders als neuere Devices abrufen. Darum sind Clients, die keine aktive Synchronisierung wie iPhone- oder Outlook-Webclient verwenden, also beispielsweise der Unternehmensdrucker, willkommene Einfallstore für Hacker: Hier werden sie nicht zur Eingabe eines MFA-Codes aufgefordert. Es gibt verschiedenste Tools, die es Angreifern via Brute-Force ermöglichen, Office 365-Accounts auf diese Art und Weise zu kompromittieren.

 

2.     Zugriff auf Legacy-Protokolle einschränken und Kontrollfunktionen nutzen

 

Wer wissen will, ob dies für die eigene 365-Umgebung zutrifft, kann die Sign-In-Activity aufrufen. Zeigt die Client-Anwendung ältere Office-Clients oder andere Clients an, ist das ein Anzeichen für eine Legacy-Authentifizierung, die MFA nicht unterstützt. Bis vor Kurzem waren Legacy-Protokolle in Office 365 standardmäßig aktiviert. Wer Office 365-Tenants seit mehr als sechs Monaten im Einsatz hat, muss dies also besonders beachten. Legacy-Protokolle umgehen MFA, da sie darauf ausgelegt sind, Geräte zu unterstützen, die neuere E-Mail-Kommunikationsprotokolle nicht nutzen. Tipp: Der Zugriff auf derartige Protokolle sollte so schnell wie möglich mit Kontrollfunktionen des AZURE Active Directory eingeschränkt werden. Es ist empfehlenswert, Legacy-Protokoll-Zugriffe nach Service-Account-Nutzernamen oder Office-IP-Adressen zu filtern, wenn es sich um Geräte wie Drucker oder Scanner handelt, die Daten senden müssen. Außerdem sollten spezielle Service-Konten erstellt werden, mit denen sich E-Mails von Geräten senden lassen, die MFA-fähige Protokolle nicht unterstützen. Zugleich müssen diese Accounts verlässlich überwacht werden. 

 

3.     OAuth-Attacken im Auge behalten

 

Eine weitere Methode, die Angreifer nutzen, um 365-Konten auszuspähen, ist Open Authorization (OAuth). Hierbei handelt es sich um zwei verschiedene offene Protokolle, die eine standardisierte API-Autorisierung für Desktop-, Web- und Mobile-Anwendungen erlauben. Sie sind für Aktionen wie „Sign in with Facebook“ oder „Sign in with Google“ zuständig. Aber sie steuern auch viele der Active Directory SSO-Migrationen. Das Gefahrenpotenzial von OAuth hängt davon ab, wie einer Anwendung Zugriff auf Daten gewährt wird. Ein Beispiel: Wird mit Google eingeloggt, erlaubt Google den Anwendungen nur, E-Mails und den Namen des Anwenders abzurufen, denn das ist alles, was benötigt wird. Die Anwendungen können jedoch alle vorhandenen OAuth-Berechtigungen anfordern. Es kommt aktuell immer häufiger vor, dass Angreifer gefälschte Anwendungen bauen, die Lesezugriff auf E-Mails ohne Passwort und ohne jegliche Zugangsdaten anfordern. In dem Moment, in dem ein Benutzer auf „Akzeptieren“ drückt, gewährt er Hackern Zugriff auf seinen E-Mail-Posteingang, ohne dass diese ein Passwort angeben müssen. Das Problem: Office 365-Administratoren können dauerhaft Zugang zu allen Daten einer Organisation, Mailboxen und Active Directory-Umgebung gewähren. Dies bereitet Sicherheitsexperten zunehmend Sorge. Tipp: Microsoft stellt spezielle Tools zur Verfügung, die es Organisationen ermöglichen, nach bösartigen Zugriffen Ausschau zu halten. Administratoren können Anwendungen, die derartige Informationen anfordern, zudem vorab genehmigen – ein weiterer wichtiger Schritt in Richtung mehr Sicherheit.

 

4.     Risiko E-Mail-Weiterleitungen nicht unterschätzen

 

Ein weiteres Problem ist, dass Cyberkriminelle Mailweiterleitungsregeln in IT-Umgebungen ausnutzen, in denen das Thema Sicherheit zu einseitig und nachlässig behandelt wird. So wiegen sich Unternehmen in Sicherheit, da sie einen Angriff aufgedeckt haben. Es kommt jedoch häufig vor, dass Angreifer, die Zugriff auf ein Konto erhalten haben, sofort eine Weiterleitung einrichten: Jede E-Mail an dieses Konto geht sofort weiter an eine dritte Partei. Hinzu kommen Weiterleitungsregeln, die nach Aufforderungen wie „Hallo, ich habe gerade eine E-Mail von dir erhalten, die seltsam aussieht. Bist du sicher, dass du sie geschickt hast?“ suchen. Angreifer löschen derartige Antworten automatisch, so dass, wenn ein Benutzer kompromittiert wurde und jemand auf diese Mails antwortet, der User es nicht sehen kann. E-Mail-Regeln dieser Art bleiben selbst nach Änderung der Anmeldeinformationen bestehen. Es gibt sogar ein Tool, das es Angreifern ermöglicht, eine von MS zur Verfügung gestellte API zu nutzen und ihr Handeln so noch besser zu verschleiern. Tipp: Unternehmen sollten sich immer wieder mit neuen Angriffsarten und Abwehrmechanismen beschäftigen und gegebenenfalls Experten zurate ziehen.

 

5.     Einfallstor Outlook-Formular berücksichtigen

 

Hacker nutzen außerdem vermehrt Outlook-Formulare (Outlook Forms), um 365-Konten zu kompromittieren. Derartige Formulare werden verwendet, um benutzerdefinierte Anwendungen anzuzeigen, die etwa mit E-Mail-Kalendereinladungen einhergehen. Das Team von MS hat ein Outlook-Formular entworfen, mit dem User diese Einladungen annehmen oder ablehnen können. Angreifer können allerdings eigene Formulare erstellen und sie in bestimmten Ordnern wie dem Posteingang veröffentlichen. Anschließend wird dieser mit dem Firmen-Laptop synchronisiert oder dem E-Mail-Client des Handys, auf dem Outlook genutzt wird. Um das Outlook-Formular und den darin eingebetteten Code auszulösen, muss ein Angreifer lediglich eine E-Mail der entsprechenden Nachrichtenklasse senden. Dieser Problematik sollten sich MS 365-Anwenderunternehmen demnach ebenfalls widmen.

 

Fazit: IAM vereinfachen, Daten verlässlich sichern und Abwehr stärken

Philippe Borloz, Vice President Sales EMEA, resümiert: „Immer mehr Unternehmen wünschen sich, dass ihre Mitarbeiter überall produktiv arbeiten können. Die Corona-Krise hat diesen Trend noch verstärkt. Microsoft 365 kann sie dabei unterstützen. Gleichzeitig gilt es, Daten, Anwendungen und Benutzer in der Cloud bestmöglich abzusichern. Hier mangelt es so manchem Sicherheitsteam an Ressourcen und Expertise. Mithilfe der nativen Sicherheitsfunktionen in Microsoft 365 und Azure im Zusammenspiel mit unseren proprietären Lösungen und unserer Expertise unterstützen wir Unternehmen, ihr Identity Access Management – kurz IAM – zu vereinfachen, Daten besser zu schützen und zu kontrollieren. Zudem optimieren wir den Überblick über existierende Bedrohungen, helfen ihnen bei der Abwehr hochentwickelter Angriffe sowie bei der Gewährleistung verlässlicher Sicherheit.“

02. Sep 2020

Bewerten Sie diesen Artikel

1 Bewertung (Durchschnitt: 5)

Teilen Sie diesen Artikel

Hinweis

Für den Inhalt der Pressemitteilung ist der Einsteller, Kai Faulbaum (Tel.: 0211 – 88 24 76 17), verantwortlich.

Pressemitteilungstext: 1029 Wörter, 8677 Zeichen. Artikel reklamieren

Kudelski Security ist ein global agierendes, führendes Unternehmen für innovative Cybersecurity-Lösungen für moderne Organisationen. Mittels langfristiger Partnerschaften ist die kontinuierliche Analyse der Sicherheitslage möglich, wodurch Unternehmensrisiken auf Basis von Vorschriften und Standards minimiert werden. Zu den Kunden zählen sowohl Konzerne, Mittelständler und Unternehmen als auch Regierungsorganisationen in Europa und den Vereinigten Staaten. Das umfassende Lösungsportfolio umfasst unter anderem ausführliche Beratung, neuste Technologien sowie Manages Security Services und kundenspezifische Innovationen.

Kommentar hinzufügen

Name*
E-Mail*
Institution
Website
Ihr Kommentar*
Bitte lösen Sie 4 + 6

Weitere Pressemeldungen von Kudelski Security


Neues Mitglied im Cyber-Sicherheitsrat Deutschland e.V.: Kudelski Security startet mit Webinar zu zukunftsweisenden IT-Sicherheitsstrategien

Cyber-Sicherheitsexperten erklären, wie Chief Information Security Officer ihr zunehmend wichtiges Reporting gegenüber der Geschäftsführung optimal gestalten

15.06.2020
15.06.2020: Cheseaux-sur-Lausanne, Schweiz, und Phoenix (AZ), USA, 10. Juni 2020 – Kudelski Security, die Cyber-Sicherheitsabteilung der Kudelski-Gruppe, ist neues aktives Mitglied des Cyber-Sicherheitsrat Deutschland e.V. und gestaltet am 18. Juni 2020 das Webinar „How CISOs Gain Trust in the Boardroom“ der Organisation. Der Fokus liegt dabei auf einer gleichnamigen Studie, in der die IT-Security-Experten die Herausforderungen in der Kommunikation von Unternehmensrisiken, Cyber-Sicherheitsreife und Programmentwicklung gegenüber der Geschäftsführung untersuchen. Laut einer Prognose vo... | Weiterlesen

Kudelski Security kooperiert mit Hosho, um Blockchain-Ökosysteme abzusichern

Neue Partnerschaft bietet umfassende Möglichkeiten für neue Sicherheitsstufen bei der Blockchain-Entwicklung

19.03.2019
19.03.2019: Cheseaux-sur-Lausanne, Schweiz / Phoenix (AZ), USA / Las Vegas (Nevada), USA, 19.03.2019 (PresseBox) - Kudelski Security, die Cybersicherheitsabteilung der Kudelski-Gruppe (SIX:KUD.S), gab heute die strategische Partnerschaft mit Hosho, einem weltweit führenden Anbieter für Blockchain-Sicherheit und Smart Contract-Auditing, bekannt. Das Ziel ist die Erweiterung der Möglichkeiten des kürzlich von Kudelski Security veröffentlichten Blockchain Security Center (BSC). Durch die Partnerschaft stehen das einzigartige Know-how beider Unternehmen, marktführende Services und bewährtes geistiges... | Weiterlesen

Kudelski Security führt seine Secure Blueprint Lösung auf dem schweizerischen und europäischen Markt ein

Dank der SaaS-basierten Lösung können CISOs ihre Sicherheitsprogramme mit den Geschäftszielen abstimmen und sie in die Praxis umsetzen sowie kontinuierlich aktualisieren – und zudem die Berichte an die Geschäftsleitung automatisieren

19.02.2019
19.02.2019: Cheseaux-sur-Lausanne, 19.02.2019 (PresseBox) - Cheseaux-sur-Lausanne, Schweiz, und Phoenix (AZ), USA, XX. Februar 2019 – Kudelski Security, die Cybersicherheitsabteilung der Kudelski-Gruppe (SIX:KUD.S), gab heute bekannt, dass Secure Blueprint jetzt auch in der Region EMEA verfügbar ist. Secure Blueprint ist die erste SaaS-basierte Lösung auf dem Markt, mit der Chief Information Security Officers (CISOs) die Entwicklung und Umsetzung einer kohärenten Cybersicherheitsstrategie beschleunigen können, die mit den Anforderungen an die digitale Transformation Schritt hält. Zudem ist es mögl... | Weiterlesen