ADMIN

2023

12

2023-11-30T12:00:00

Container und Applikationsmanagement

PRAXIS

050

Sicherheit

Cloud

Azure

Angriffe auf Azure und Microsoft 365

Unbemerktes Eindringen

von Thomas Joos

Veröffentlicht in Ausgabe 12/2023 - PRAXIS

Seit dem Frühjahr dieses Jahres greifen Hacker immer aggressiver Abonnenten von Microsoft 365 über Teams an und schleusen so auch Ransomware in Unternehmen ein. Dabei ist es denkbar, dass auch der Verlust des sehr mächtigen OpenID Signing Keys für Entra ID eine Rolle spielt. In diesem Beitrag gehen wir auf die aktuellen Angriffe ein und zeigen, wie sich MS Teams absichern lässt.

Nach einer schwerwiegenden Attacke durch chinesische Hacker auf Exchange-Systeme von Behörden, darunter auch wichtige Postfächer der US-Regierung, steht Microsoft mit seinen Clouddiensten derzeit massiv unter Druck. Betroffen sind Postfächer auf höchster Ebene der US-Administration, zum Beispiel von Außenminister Antony Blinken, Handelsministerin Gina Raimondo und hochrangigen Mitarbeitern für die Zusammenarbeit mit China.
Derzeit untersuchen sogar die US Cybersecurity and Infrastructure Security Agency (CISA) und die Federal Trade Commission (FTC), inwieweit Microsoft für diese Angriffe Verantwortung übernehmen muss. Betroffen sind mehr als ein Dutzend Systeme der US-Regierung. Dies ist derzeit aber nur die Spitze des Eisbergs, denn diverse Phishing-Angriffe, unter anderem durch russische Hacker, bringen Microsoft derzeit stark in Bedrängnis.
Zugang zu zentralen Azure-Ressourcen gestohlen
Microsoft schreibt den Diebstahl des OpenID Signing Keys der Hackergruppe Storm-0558 zu. Ursprünglich hieß es seitens Redmond, dass nur private Microsoft-Konten von dem Angriff betroffen seien. Dann wurde schnell bekannt, dass auch Exchange Online Opfer war. Nach verschiedenen Untersuchungen ist das aber noch nicht alles: Sicherheitsforscher gehen davon aus, dass der gestohlene Schlüssel für große Teile der Microsoft-Cloud funktionierte, darunter auch Azure und Microsoft 365. Damit können Angreifer nahezu beliebige Anmeldedaten für Ressourcen von Microsoft-Kunden erstellen. Auch weitreichender Zugriff auf SharePoint Online und Teams soll damit möglich gewesen sein.
Nach einer schwerwiegenden Attacke durch chinesische Hacker auf Exchange-Systeme von Behörden, darunter auch wichtige Postfächer der US-Regierung, steht Microsoft mit seinen Clouddiensten derzeit massiv unter Druck. Betroffen sind Postfächer auf höchster Ebene der US-Administration, zum Beispiel von Außenminister Antony Blinken, Handelsministerin Gina Raimondo und hochrangigen Mitarbeitern für die Zusammenarbeit mit China.
Derzeit untersuchen sogar die US Cybersecurity and Infrastructure Security Agency (CISA) und die Federal Trade Commission (FTC), inwieweit Microsoft für diese Angriffe Verantwortung übernehmen muss. Betroffen sind mehr als ein Dutzend Systeme der US-Regierung. Dies ist derzeit aber nur die Spitze des Eisbergs, denn diverse Phishing-Angriffe, unter anderem durch russische Hacker, bringen Microsoft derzeit stark in Bedrängnis.
Zugang zu zentralen Azure-Ressourcen gestohlen
Microsoft schreibt den Diebstahl des OpenID Signing Keys der Hackergruppe Storm-0558 zu. Ursprünglich hieß es seitens Redmond, dass nur private Microsoft-Konten von dem Angriff betroffen seien. Dann wurde schnell bekannt, dass auch Exchange Online Opfer war. Nach verschiedenen Untersuchungen ist das aber noch nicht alles: Sicherheitsforscher gehen davon aus, dass der gestohlene Schlüssel für große Teile der Microsoft-Cloud funktionierte, darunter auch Azure und Microsoft 365. Damit können Angreifer nahezu beliebige Anmeldedaten für Ressourcen von Microsoft-Kunden erstellen. Auch weitreichender Zugriff auf SharePoint Online und Teams soll damit möglich gewesen sein.
Microsoft hat reagiert und den OpenID Signing Key gesperrt. Experten vermuten jedoch, dass es den Angreifern zuvor gelungen ist, an verschiedenen Stellen Hintertüren zu platzieren, die auch nach der Sperrung einen Zugriff auf Kundendaten ermöglichen. Microsoft hat nun ein Playbook veröffentlicht, das erklärt, wie Sie Ihr Abonnement überprüfen [1]. Leider ist die Vorgehensweise nicht ganz einfach, da Sie entweder Zugriff auf Microsoft Sentinel oder ein anderes SIEM-Tool benötigen, das in der Lage ist, die notwendigen Daten auszulesen und anschließend auszuwerten.
Derzeit sieht es so aus, als ob ein Absturz des Signaturservers für den Datendiebstahl verantwortlich ist. Der Absturz löste eine Kette von unglücklichen Umständen aus, die letztendlich ein Hacker ausnutzte, um den OpenID Signing Key zu erbeuten. Allein dies zeigt, wie schnell selbst kleine Lücken massive Auswirkungen haben können: Beim Absturz hat das Betriebssystem einen Crash-Dump erstellt. So weit, so normal, doch durch einen Softwarefehler war in diesem Crash-Dump der OpenID Signing Key gespeichert. Das wäre an dieser Stelle nicht weiter schlimm gewesen, da sich der Server in einem besonders gesicherten Subnetz befindet.
Um den Vorfall zu untersuchen, haben Microsoft-Mitarbeiter die Crash-Dateien jedoch in ein weniger sicheres, mit dem Internet verbundenes Netzwerk verschoben. Dies wäre auch nicht weiter tragisch, nur wurde der untersuchende Microsoft-Ingenieur parallel Opfer eines Phishing-Angriffs durch ein Mitglied der Hackergruppe Storm-0558. Das zeigt, welche Qualität Phishing-Angriffe annehmen können, wenn sogar ein Systemingenieur innerhalb eines Microsoft-Netzwerkes zum Opfer wird. Durch die Phishing-Attacke konnte der Angreifer auf die Daten des Crash Dumps zugreifen, den OpenID Signing Key extrahieren und aus dem Netzwerk entwenden. All diese Vorgänge blieben durch die zahlreichen Sicherheitslösungen, Richtlinien und Überwachungssysteme völlig unbemerkt.
Bild 1: MFA spielt für den Schutz vor Angriffen eine wesentliche Rolle.
Massive Angriffe auf Teams
Parallel zu diesem Vorfall finden derzeit massive Phishing-Attacken auf Microsoft Teams statt. Der Fall des gestohlenen OpenID Signing Keys zeigt eindringlich, warum Unternehmen solche Angriffe keinesfalls unterschätzen sollten. Viele Phishing-Versuche sind sehr gut gemacht und kaum als solche zu erkennen. Hinzu kommen die Zusammenarbeit mehrerer Hackergruppen und der Einsatz von KI. Unternehmen, die sich nicht umfassend schützen, sind leichte Beute. So ist es nicht verwunderlich, dass derzeit vor allem die Microsoft-365-Abonnements von KMUs im Fokus stehen. Hier fehlen oft Budget und Mitarbeiter, um Cloudumgebungen optimal abzusichern. Angreifer versuchen, Microsoft-Abonnements zu kompromittieren, um weitere Unternehmen in der Lieferkette anzugreifen.
Das kann kleine Unternehmen schnell in Bedrängnis bringen, wenn aufgrund mangelnder Sicherheit im eigenen Abonnement Kunden und Lieferanten erfolgreich angegriffen werden. Hier drohen schnell empfindliche Strafen und natürlich Image- und Kundenverlust. Der Aufwand, eine gehackte Infrastruktur und durch Ransomware verschlüsselte Daten wiederherzustellen, kommt noch hinzu. Letztlich leiden auch die Mitarbeiter, vor allem in der IT-Abteilung, was sich wiederum massiv auf die Zufriedenheit und Gesundheit der Beschäftigten auswirken kann.
Bei den aktuellen Angriffen auf Teams sind russische Hacker der Hackergruppe Midnight Blizzard aktiv, früher bekannt als NOBELIUM. Auch die Gruppen APT29, UNC2452 und Cozy Bear sind in Erscheinung getreten. Dabei handelt es sich teilweise um die gleichen Hacker, die unter verschiedenen Namen arbeiten. Ziel der Angreifer ist es, an die Zugangsdaten von Teams-Benutzern zu gelangen. Diese Angriffe haben vermutlich nichts mit dem Diebstahl des OpenID Signing Keys zu tun, gehen aber in die gleiche Richtung. Es geht darum, Zugang zu einem Microsoft-365-Abonnement zu erhalten, um von dort aus andere Unternehmen anzugreifen und ebenfalls Daten zu stehlen. Am Ende des Angriffs steht in den meisten Fällen ein Ransom­­ware-Angriff mit Erpressung samt weiterer unschöner Folgen.
Die Angriffe auf Teams laufen bereits seit Mai 2023. Firmen, die Microsoft als Ziel identifiziert hat, wurden bereits gewarnt. Allerdings scheint Redmond noch längst nicht alle kompromittierten Abonnements gefunden zu haben. Gravierend ist an dieser Stelle, dass auch hier eine Sicherheitslücke [2] relevant ist, die bereits im Juni 2023 von den Sicherheitsforschern von Jumptec ermittelt wurde. Microsoft reagiert nach Angaben des Unternehmens nicht wirklich effektiv, um das Problem erfolgreich zu bekämpfen. Die Lücke macht es Angreifern jedoch nur leichter, auch ohne diese können Phishing-Angriffe dieser Art erfolgreich sein.
Bild 2: Das kostenpflchtige Entra ID Identity Protection kann zum Schutz vor Cyberattacken auf Benutzerkonten notwendig sein, wenn die Bordmittel nicht mehr ausreichen.
Alle MFA-Anfragen sind als böswillig einzustufen
Die Angriffe sind sehr professionell und für ungeschulte Mitarbeiter kaum zu erkennen. Selbst IT-Profis laufen Gefahr, darauf hereinzufallen, wie der Zwischenfall bei Microsoft zeigt. Grundsätzlich sollten Anwender misstrauisch sein, wenn sie aufgefordert werden, ihre Anmeldedaten preiszugeben oder ein vermeintlicher Microsoft-Systemdienst eine Authentifizierung verlangt, die über ein Chatfenster in Teams erfolgt. Ist bereits eine Multifaktor-Authentifizierung (MFA) im Einsatz, sollten User keine MFA-Anfragen bestätigen, die sie nicht selbst initiiert haben.
Viele Unternehmen verlassen sich darauf, dass MFA sie vor Phishing-Attacken schützt. Es ist klar, dass Angreifer ohne MFA noch leichter an Anmeldedaten kommen und ein M365-Abonnement umfassend gefährdet ist. Aber auch MFA schützt nicht vollständig vor massiven Phishing-Attacken. Haben Angreifer die Anmeldedaten bereits erbeutet, lösen sie so lange MFA-Abfragen aus, bis einige Nutzer irgendwann versehentlich bestätigen. Dieses MFA-Bombing führt zu einer MFA-Müdigkeit bei den Anwendern und ist oft erfolgreich. Microsoft hat die Situation bereits so eingestuft, dass die Empfehlung lautet, alle MFA-Anfragen zunächst als böswillig zu betrachten und nur dann zu bestätigen, wenn klar ist, dass sie vom Benutzer selbst stammen.
So laufen Angriffe auf Teams ab
Bei den aktuellen Angriffen versuchen die Kriminellen vor allem über Teamchats, per E-Mail, über Videokonferenzen und Telefonanrufe an Zugangsdaten zu gelangen. Dabei setzen die Bösewichte zum Teil KI-Technologien ein, die mit Deep Fakes Stimmen täuschend echt imitieren. Die Angreifer bauen oft Druck auf, dass die Herausgabe der Zugangsdaten unbedingt notwendig sei.
Häufig schreiben die Cyberkriminellen über den Teamchat eine Nachricht an das potenzielle Opfer und fordern auch zur Bestätigung von MFA-Anfragen auf. Dabei kommen die Domänen von Microsoft zum Einsatz, die in jedem Microsoft-365-Abonnement enthalten sind. Die Domäne "onmicrosoft.com" erzeugt bei vielen Nutzern ein gewisses Vertrauen.
Parallel dazu nutzen Cyberkriminelle auch selbst erstellte Domains auf bereits gekaperten Domains. Auch hier verwenden die Täter häufig wieder "onmicrosoft.com". Microsoft sperrt erkannte Domains zwar sofort, die Angreifer können aber offensichtlich auf zahlreiche Domains zugreifen und auch jederzeit neue Accounts anlegen. Ein Zusammenhang mit dem Diebstahl des OpenID Signing Keys aus Azure ist dabei nicht ganz auszuschließen.
Sind sie erfolgreich, versuchen die Angreifer parallel mit FOGGYWEB und MAGICWEB in lokale Netzwerke einzudringen. Dabei ist es auch die Absicht der Bösewichte, Authentifizierungsdienste im lokalen Netzwerk zu kompromittieren. Ist das erfolgreich, attackieren die Hacker massiv verschiedene Dienste in der Cloud und wenn möglich auch im lokalen Netzwerk. Dabei stehen auch öffentlich bekannte, aber noch nicht geschlossene Sicherheitslücken im Fokus. Darüber hinaus versuchen die Kriminellen, eigene Workstations zu Entra ID hinzuzufügen. Damit umgehen sie Richtlinien, die externe Anmeldungen blockieren und ermöglichen noch mehr Angriffe.
Teams absichern
Zum Schutz von Teams stehen einerseits kostenpflichtige Sicherheitsdienste von Microsoft zur Verfügung, die im Rahmen des M365-Abos Angriffe vereiteln können. Sinnvoll ist beispielsweise "Entra ID Identity Protection" [3]. Beachten Sie aber, dass die Angreifer auch Chats mit den Nutzern starten und sich dabei oft als "Microsoft Identity Protection" ausgeben.
Als Bordmittel können Sie externe Chats einfach abschalten oder auf die von Ihnen benötigten Domänen beschränken. Dies erledigen Sie im Teams Admin Center unter "Benutzer / Externer Zugriff", wo Sie die Option "Nur bestimmte externe Domänen zulassen" oder "Alle externen Domänen blockieren" aktivieren. Dadurch stellen Sie sicher, dass keine externen Chat-Angriffe möglich sind.
Zudem sollten Sie MFA für jeden Benutzer aktivieren und einrichten. Die Einstellungen dazu finden Sie im Microsoft 365 Admin Center unter "Benutzer / Aktive Benutzer". Die Aktivierung erfolgt über den Button "Multi-Faktor-Authentifizierung". Anschließend müssen die User ihre Anmeldungen noch mit einer App aktivieren, zum Beispiel mit dem Microsoft Authenticator, der für Android und iOS kostenlos zur Verfügung steht.
Ein Höchstmaß an Sicherheit bringt die Lizenz "Microsoft 365 Business Premium" mit sich. Mit diesem Abonnement erhalten alle enthaltenen Dienste laufend Updates, auch in Sachen Sicherheit. Bei Business Premium steht der "Schutz vor komplexen Cyberangriffen" im Mittelpunkt. Dazu gehören Schutz vor Malware und vor Phishing über Exchange Online und Teams. Hinzu kommen Sicherheitsfunktionen für den Zugriff auf Dokumente, die sich über die Rechteverwaltung wesentlich umfangreicher absichern lassen. Und Microsoft 365 Defender erfährt durch die Buchung von Business Premium eine Erweiterung.
Fazit
Um sich vor den wachsenden Bedrohungen in der Microsoft-Cloud zu schützen, reicht es nicht mehr aus, sich auf Standardmittel zu verlassen. Es sind Maßnahmen erforderlich, um die Anmeldedaten der Nutzer und damit auch die eigenen Daten umfassend zu schützen. Derzeit sind die Clouddienste von Microsoft besonders stark gefährdet, was umfassende Sicherheitsmaßnahmen erfordert.
(jp)
Link-Codes