Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable Blog

Abonnieren

Nachlässiger Umgang mit Identitäten ist Ursache für Hacker-Angriff auf Microsoft

Nachlässiger Umgang mit Identitäten ist Ursache für Hacker-Angriff auf Microsoft

Die jüngste Sicherheitsverletzung bei Microsoft zeigt einmal mehr, dass Erkennung und Reaktion nicht ausreichen. Da die Quelle von Angriffen fast immer auf einen einzigen übersehenen Benutzer und dessen Berechtigungen hinausläuft, ist eine starke präventive Sicherheit für Unternehmen unerlässlich.

Am 19. Januar gab Microsoft bekannt, dass es über Entra ID (vormals Azure AD) von einem staatlich gesponserten Bedrohungsakteur namens Midnight Blizzard angegriffen wurde. Microsoft hat Informationen über den Angriff veröffentlicht, darunter Taktiken, Techniken und Verfahren (TTPs) und seine Anleitungen für Responder. Unternehmen drücken sich mitunter absichtlich vage über bestimmte Details eines Angriffs aus, um die Vertraulichkeit ihrer internen Umgebung zu wahren und den Schaden für ihren Ruf zu minimieren. Microsoft stellt jedoch einige Informationen zur Verfügung, anhand derer sich nachvollziehen lässt, was Midnight Blizzard ausgenutzt hat, um in die Unternehmensumgebung von Microsoft einzudringen.

Was bei dieser Sicherheitsverletzung besonders deutlich wird, ist die Notwendigkeit besserer präventiver Sicherheitsmaßnahmen, um die Risiken zu reduzieren, die durch Nachlässigkeit in Zusammenhang mit Identitäten entstehen. Übersehene Identitäten, übermäßige Berechtigungen und falsch konfigurierte Einstellungen können schwerwiegende Folgen haben – selbst dann, wenn hochentwickelte Tools und Funktionen für Erkennung und Reaktion vorhanden sind. Tenable Identity Exposure identifiziert die Schwachstellen, die bei solchen Angriffen ausgenutzt werden könnten, darunter:

  • Fehlende Multifaktor-Authentifizierung (MFA) 
  • Gefährliche API-Berechtigungen
  • Analysen von Administratorkonten

Fassen wir kurz zusammen, was geschehen ist.

In der Ankündigung von Microsoft wurden zwar viele unterschiedliche Angriffsschritte beschrieben, doch der Angriff nutzte einige sehr gängige Sicherheitsschwächen aus, darunter schlechte Passworthygiene, fehlende MFA, übermäßige Berechtigungen und privilegierte Entra-Rollen.

Die erste Phase dieses Angriffs war ein einfacher „Passwort-Spray“, eine Angriffstechnik, bei der ein Angreifer auf Identitäten mit schwachen oder kompromittierten Passwörtern abzielt. Dieser Erstangriff zielte auf eine Nicht-Produktionsumgebung ab und Midnight Blizzard traf in dieser Phase sorgfältige Vorkehrungen, um eine Entdeckung zu vermeiden. Wie Microsoft erklärte: „Der Akteur hat seine Passwort-Spray-Angriffe auf eine begrenzte Anzahl von Konten konzentriert und dabei eine geringe Anzahl von Versuchen verwendet, um der Entdeckung zu entgehen (...) außerdem wurden diese Angriffe von einer verteilten Proxy-Infrastruktur (...) auf ein Konto gerichtet, das keine Multi-Faktor-Authentifizierung aktiviert hatte.“

Wäre für dieses Konto MFA aktiviert gewesen wäre, obwohl es kein Produktionskonto ist, hätte der Passwort-Spray-Angriff sein eigentliches Ziel nicht erreichen können. Zumindest wäre es für den Passwort-Spray-Angriff schwieriger geworden, erfolgreich zu sein, und somit wäre es viel einfacher gewesen, ihn zu erkennen.

Als nächstes wechselten die Angreifer von der Testumgebung in die Produktionsumgebung des Unternehmens, indem sie überhöhte Graph API-Berechtigungen ausnutzten. Obwohl die Anwendung im Test-Mandanten von Microsoft registriert war, wurden der entsprechenden Identität gefährliche Graph API-Berechtigungen im Production-Mandanten des Unternehmens erteilt. 

Die Angreifer verschafften sich über zwei Monate lang Zugang zu den Posteingängen wichtiger Microsoft-Führungskräfte.

Dadurch war es dem Bedrohungsakteur möglich, die App-Registrierung zu kompromittieren und über die entsprechende Dienstidentität in den Produktions-Mandanten zu wechseln. Nachdem sie sich Zugang zur Microsoft-Unternehmensumgebung verschafft hatten, gewährten sie den neuen bösartigen Anwendungen, die sie erstellt hatten, die API-Berechtigung „full_access_as_app“ für Office 365 Exchange Online und konnten so über zwei Monate lang auf die Postfächer wichtiger Führungskräfte zugreifen.

API-Berechtigungen gewähren häufig einen Zugriff, dessen Auswirkungen komplex zu entschlüsseln sind, und Microsoft Graph API ist bekanntermaßen äußerst schwer zu verstehen. Es könnte sein, dass auch Microsoft selbst dieser Komplexität zum Opfer gefallen ist. Diese mangelnde Sorgfalt im Umgang mit Identitäten hat sich die Hacker-Gruppe eindeutig zunutze gemacht, um in die Produktionsumgebung von Microsoft einzudringen und sich Zugang zu sensiblen Unternehmensinformationen zu verschaffen.

Die Notwendigkeit, das Identitätsrisiko kontinuierlich zu bewerten und zu verstehen, um auf intelligente Weise Korrekturen vorzunehmen und die Angriffsoberfläche zu reduzieren, bevor es zu einem Angriff kommt, liegt auf der Hand. Auch wenn Microsoft zahlreiche Tools und Services zur Erkennung und Unterbindung von Angriffen anbietet, liegt der Grund für komplexe Sicherheitsverletzungen oft an kleinen Unachtsamkeiten bei einem einzelnen Konto oder einer Berechtigung. Die Problematik bei einer präventiven Reduzierung der Angriffsoberfläche von Identitäten wird dadurch verschärft, dass diese sich ständig verändern und eine kontinuierliche Überprüfung hinsichtlich ihres Risikos erfordern.

Tenable Identity Exposure überprüft kontinuierlich den Sicherheitsstatus von Microsoft-Identitätssystemen und priorisiert risikobehaftete Identitäten, Berechtigungen und Konfigurationen, um die Angriffsoberfläche umgehend zu reduzieren.

Tenable stellt vier spezifische Indicators of Exposure (IoEs) zur Verfügung, um diese Art von Angriffen zu verhindern. Zwei IoEs zur Ermittlung von Identitätsrisiken bieten Kunden die Möglichkeit, Konten zu identifizieren, die aufgrund fehlender MFA gefährdet sind. Diese IoEs decken Microsoft Entra ID-Konten auf, die über keine registrierte MFA-Methode verfügen und daher häufig für Passwort-Spray-Angriffe ausgenutzt werden:

Außerdem verfügt Identity Exposure über zwei IoEs, die gefährliche Microsoft Entra-Rollen und Microsoft Graph API-Berechtigungen erkennen und analysieren, sodass diese Angriffsvektoren beseitigt werden können, bevor es zu einem Angriff kommt:

Wenn diese Indikatoren aktiviert sind, überprüft Identity Exposure kontinuierlich verschiedene kritische und oft übersehene Aspekte der Identitätssysteme von Microsoft. Tenable ermittelt zudem die risikoreichsten Identitäten und stellt eine Schritt-für-Schritt-Anleitung für die Behebung zur Verfügung. Die von Midnight Blizzard verwendeten Taktiken sind ein Paradebeispiel für die Arten von Identitätsrisiken und Angriffspfaden, bei deren Beseitigung Tenable Identity Exposure behilflich sein kann, um so einen erfolgreichen Angriff zu verhindern.

Wenn Sie mehr darüber erfahren möchten, wie Tenable Identity Exposure dazu beiträgt, die Angriffsoberfläche Ihrer Microsoft-Identitätsumgebung zu reduzieren, fordern Sie eine Demo an oder laden Sie unser Datenblatt zu Identity Exposure herunter.

Verwandte Artikel

Aktuelles zum Thema Cybersecurity

Geben Sie Ihre E-Mail-Adresse ein, um zeitnahe Warnungen und Sicherheitsempfehlungen von den Experten bei Tenable zu erhalten.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Tenable Vulnerability Management Testversionen, die überall außer in den VAE erstellt werden, beinhalten auch Tenable Lumin und Tenable Web App Scanning.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

100 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Tenable Vulnerability Management Testversionen, die überall außer in den VAE erstellt werden, beinhalten auch Tenable Lumin und Tenable Web App Scanning.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

100 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Tenable Vulnerability Management Testversionen, die überall außer in den VAE erstellt werden, beinhalten auch Tenable Lumin und Tenable Web App Scanning.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

100 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable Web App Scanning testen

Profitieren Sie im Rahmen der Exposure-Management-Plattform Tenable One von unserem neuesten Angebot zum Scannen von Webanwendungen, das speziell für moderne Anwendungen entwickelt wurde. Scannen Sie auf sichere Weise Ihr gesamtes Online-Portfolio auf Schwachstellen – mit hoher Genauigkeit und ohne großen manuellen Aufwand oder Unterbrechung kritischer Web-Apps. Melden Sie sich jetzt an.

Ihre Testversion von Tenable Web App Scanning umfasst außerdem Tenable Vulnerability Management und Tenable Lumin.

Tenable Web App Scanning kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

5 FQDN

3.578,00 USD

Jetzt kaufen

Tenable Lumin testen

Mit Tenable Lumin können Sie Ihr Exposure-Management visualisieren und genauer untersuchen, die Risikoreduzierung im Zeitverlauf verfolgen und Benchmark-Vergleiche mit ähnlichen Unternehmen anstellen.

Ihre Testversion von Tenable Lumin umfasst außerdem Tenable Vulnerability Management und Tenable Web App Scanning.

Tenable Lumin kaufen

Kontaktieren Sie einen Vertriebsmitarbeiter, um zu erfahren, wie Tenable Lumin Sie dabei unterstützen kann, unternehmensweit Einblick zu gewinnen und Cyberrisiken zu managen.

Testen Sie Tenable Nessus Professional kostenlos

7 TAGE KOSTENLOS

Tenable Nessus ist derzeit der umfassendste Schwachstellen-Scanner auf dem Markt.

NEU - Tenable Nessus Expert
Jetzt verfügbar

Nessus Expert bietet noch mehr Funktionen, darunter das Scannen externer Angriffsflächen sowie die Möglichkeit, Domänen hinzuzufügen und die Cloud-Infrastruktur zu scannen. Klicken Sie hier, um Nessus Expert zu testen.

Füllen Sie das Formular unten aus, um mit einer Nessus Pro-Testversion fortzufahren.

Tenable Nessus Professional kaufen

Tenable Nessus ist derzeit der umfassendste Schwachstellen-Scanner auf dem Markt. Tenable Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Mehrjahreslizenz kaufen und sparen! Mit Advanced Support erhalten Sie rund um die Uhr, 365 Tage im Jahr Zugang zum Support – per Telefon, Chat und über die Community.

Lizenz auswählen

Mehrjahreslizenz kaufen und sparen!

Support und Training hinzufügen

Testen Sie Tenable Nessus Expert kostenlos

7 TAGE KOSTENLOS

Mit Nessus Expert, das für die moderne Angriffsfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Sie haben Tenable Nessus Professional bereits?
Upgraden Sie auf Nessus Expert – 7 Tage kostenlos.

Tenable Nessus Expert kaufen

Mit Nessus Expert, das für die moderne Angriffsfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Lizenz auswählen

Mehrjahreslizenz kaufen und noch mehr sparen!

Support und Training hinzufügen