Nachlässiger Umgang mit Identitäten ist Ursache für Hacker-Angriff auf Microsoft

Die jüngste Sicherheitsverletzung bei Microsoft zeigt einmal mehr, dass Erkennung und Reaktion nicht ausreichen. Da die Quelle von Angriffen fast immer auf einen einzigen übersehenen Benutzer und dessen Berechtigungen hinausläuft, ist eine starke präventive Sicherheit für Unternehmen unerlässlich.

Am 19. Januar gab Microsoft bekannt, dass es über Entra ID (vormals Azure AD) von einem staatlich gesponserten Bedrohungsakteur namens Midnight Blizzard angegriffen wurde. Microsoft hat Informationen über den Angriff veröffentlicht, darunter Taktiken, Techniken und Verfahren (TTPs) und seine Anleitungen für Responder. Unternehmen drücken sich mitunter absichtlich vage über bestimmte Details eines Angriffs aus, um die Vertraulichkeit ihrer internen Umgebung zu wahren und den Schaden für ihren Ruf zu minimieren. Microsoft stellt jedoch einige Informationen zur Verfügung, anhand derer sich nachvollziehen lässt, was Midnight Blizzard ausgenutzt hat, um in die Unternehmensumgebung von Microsoft einzudringen.

Was bei dieser Sicherheitsverletzung besonders deutlich wird, ist die Notwendigkeit besserer präventiver Sicherheitsmaßnahmen, um die Risiken zu reduzieren, die durch Nachlässigkeit in Zusammenhang mit Identitäten entstehen. Übersehene Identitäten, übermäßige Berechtigungen und falsch konfigurierte Einstellungen können schwerwiegende Folgen haben – selbst dann, wenn hochentwickelte Tools und Funktionen für Erkennung und Reaktion vorhanden sind. Tenable Identity Exposure identifiziert die Schwachstellen, die bei solchen Angriffen ausgenutzt werden könnten, darunter:

• Fehlende Multifaktor-Authentifizierung (MFA) 
• Gefährliche API-Berechtigungen
• Analysen von Administratorkonten

Fassen wir kurz zusammen, was geschehen ist.

In der Ankündigung von Microsoft wurden zwar viele unterschiedliche Angriffsschritte beschrieben, doch der Angriff nutzte einige sehr gängige Sicherheitsschwächen aus, darunter schlechte Passworthygiene, fehlende MFA, übermäßige Berechtigungen und privilegierte Entra-Rollen.

Die erste Phase dieses Angriffs war ein einfacher „Passwort-Spray“, eine Angriffstechnik, bei der ein Angreifer auf Identitäten mit schwachen oder kompromittierten Passwörtern abzielt. Dieser Erstangriff zielte auf eine Nicht-Produktionsumgebung ab und Midnight Blizzard traf in dieser Phase sorgfältige Vorkehrungen, um eine Entdeckung zu vermeiden. Wie Microsoft erklärte: „Der Akteur hat seine Passwort-Spray-Angriffe auf eine begrenzte Anzahl von Konten konzentriert und dabei eine geringe Anzahl von Versuchen verwendet, um der Entdeckung zu entgehen (...) außerdem wurden diese Angriffe von einer verteilten Proxy-Infrastruktur (...) auf ein Konto gerichtet, das keine Multi-Faktor-Authentifizierung aktiviert hatte.“

Wäre für dieses Konto MFA aktiviert gewesen wäre, obwohl es kein Produktionskonto ist, hätte der Passwort-Spray-Angriff sein eigentliches Ziel nicht erreichen können. Zumindest wäre es für den Passwort-Spray-Angriff schwieriger geworden, erfolgreich zu sein, und somit wäre es viel einfacher gewesen, ihn zu erkennen.

Als nächstes wechselten die Angreifer von der Testumgebung in die Produktionsumgebung des Unternehmens, indem sie überhöhte Graph API-Berechtigungen ausnutzten. Obwohl die Anwendung im Test-Mandanten von Microsoft registriert war, wurden der entsprechenden Identität gefährliche Graph API-Berechtigungen im Production-Mandanten des Unternehmens erteilt. 

Die Angreifer verschafften sich über zwei Monate lang Zugang zu den Posteingängen wichtiger Microsoft-Führungskräfte.

Dadurch war es dem Bedrohungsakteur möglich, die App-Registrierung zu kompromittieren und über die entsprechende Dienstidentität in den Produktions-Mandanten zu wechseln. Nachdem sie sich Zugang zur Microsoft-Unternehmensumgebung verschafft hatten, gewährten sie den neuen bösartigen Anwendungen, die sie erstellt hatten, die API-Berechtigung „full_access_as_app“ für Office 365 Exchange Online und konnten so über zwei Monate lang auf die Postfächer wichtiger Führungskräfte zugreifen.

API-Berechtigungen gewähren häufig einen Zugriff, dessen Auswirkungen komplex zu entschlüsseln sind, und Microsoft Graph API ist bekanntermaßen äußerst schwer zu verstehen. Es könnte sein, dass auch Microsoft selbst dieser Komplexität zum Opfer gefallen ist. Diese mangelnde Sorgfalt im Umgang mit Identitäten hat sich die Hacker-Gruppe eindeutig zunutze gemacht, um in die Produktionsumgebung von Microsoft einzudringen und sich Zugang zu sensiblen Unternehmensinformationen zu verschaffen.

Die Notwendigkeit, das Identitätsrisiko kontinuierlich zu bewerten und zu verstehen, um auf intelligente Weise Korrekturen vorzunehmen und die Angriffsoberfläche zu reduzieren, bevor es zu einem Angriff kommt, liegt auf der Hand. Auch wenn Microsoft zahlreiche Tools und Services zur Erkennung und Unterbindung von Angriffen anbietet, liegt der Grund für komplexe Sicherheitsverletzungen oft an kleinen Unachtsamkeiten bei einem einzelnen Konto oder einer Berechtigung. Die Problematik bei einer präventiven Reduzierung der Angriffsoberfläche von Identitäten wird dadurch verschärft, dass diese sich ständig verändern und eine kontinuierliche Überprüfung hinsichtlich ihres Risikos erfordern.

Tenable Identity Exposure überprüft kontinuierlich den Sicherheitsstatus von Microsoft-Identitätssystemen und priorisiert risikobehaftete Identitäten, Berechtigungen und Konfigurationen, um die Angriffsoberfläche umgehend zu reduzieren.

Tenable stellt vier spezifische Indicators of Exposure (IoEs) zur Verfügung, um diese Art von Angriffen zu verhindern. Zwei IoEs zur Ermittlung von Identitätsrisiken bieten Kunden die Möglichkeit, Konten zu identifizieren, die aufgrund fehlender MFA gefährdet sind. Diese IoEs decken Microsoft Entra ID-Konten auf, die über keine registrierte MFA-Methode verfügen und daher häufig für Passwort-Spray-Angriffe ausgenutzt werden:

• Fehlende MFA für privilegiertes Konto
• Fehlende MFA für nicht-privilegiertes Konto

Außerdem verfügt Identity Exposure über zwei IoEs, die gefährliche Microsoft Entra-Rollen und Microsoft Graph API-Berechtigungen erkennen und analysieren, sodass diese Angriffsvektoren beseitigt werden können, bevor es zu einem Angriff kommt:

• Gefährliche API-Berechtigungen, die den Mandanten betreffen
• Hohe Anzahl von Administratoren

Wenn diese Indikatoren aktiviert sind, überprüft Identity Exposure kontinuierlich verschiedene kritische und oft übersehene Aspekte der Identitätssysteme von Microsoft. Tenable ermittelt zudem die risikoreichsten Identitäten und stellt eine Schritt-für-Schritt-Anleitung für die Behebung zur Verfügung. Die von Midnight Blizzard verwendeten Taktiken sind ein Paradebeispiel für die Arten von Identitätsrisiken und Angriffspfaden, bei deren Beseitigung Tenable Identity Exposure behilflich sein kann, um so einen erfolgreichen Angriff zu verhindern.

Wenn Sie mehr darüber erfahren möchten, wie Tenable Identity Exposure dazu beiträgt, die Angriffsoberfläche Ihrer Microsoft-Identitätsumgebung zu reduzieren, fordern Sie eine Demo an oder laden Sie unser Datenblatt zu Identity Exposure herunter.