Unsere kürzlich veröffentlichte Untersuchung im 2020 Spotlight Report für Office 365 identifiziert die Tools und Dienste innerhalb der cloud-basierten Anwendung, die häufig von Angreifern ausgenutzt werden. Durch die Beobachtung von 4 Millionen Office 365-Konten über einen Zeitraum von 90 Tagen waren wir in der Lage, verdächtige, risikoreiche Verhaltensweisen zu identifizieren, die mit Angreifertechniken in Verbindung stehen, die integrierte Office 365-Funktionen ausnutzen.
Diese Untersuchung fällt zusammen mit einer großen Umstellung auf Remote-Arbeit - ein Ergebnis der anhaltenden COVID-19-Pandemie - und der zunehmenden Nutzung von SaaS-Plattformen wie Microsoft Office 365 als tägliche digitale Arbeitsumgebung. Office 365 bietet verteilten Mitarbeitern zwar eine primäre Domäne für die Abwicklung von Geschäften, schafft aber auch ein zentrales Repository für Daten und Informationen, das ein Hauptziel für Angreifer darstellt.
Obwohl die Multi-Faktor-Authentifizierung (MFA) die beste Methode ist, um die Wahrscheinlichkeit eines Einbruchs zu verringern, kommt es immer wieder zu Einbrüchen in Office 365. Die MFA-Sicherheitsmaßnahmen reichen nicht mehr aus, um bösartige und heimtückische Angriffe abzuwehren. Von diesen Angriffen sind die Verstöße durch die Übernahme von Konten die am schnellsten wachsenden und am häufigsten vorkommenden, die sich negativ auf den Ruf von Unternehmen auswirken und finanzielle Konsequenzen nach sich ziehen.
Verhalten von Angreifern in Office 365
Nachdem Angreifer in einer Office 365-Umgebung Fuß gefasst haben, gibt es mehrere gängige Techniken, die zum Einsatz kommen können, darunter:
- Durchsuchen von E-Mails, Chatverläufen und Dateien auf der Suche nach Passwörtern oder anderen interessanten Daten
- Einrichtung von Weiterleitungsregeln, um Zugriff auf einen ständigen Strom von E-Mails zu erhalten, ohne sich erneut anmelden zu müssen
- Ausnutzung des vertrauenswürdigen Kommunikationskanals (z. B. Versenden einer unzulässigen E-Mail vom offiziellen Konto des Geschäftsführers, die dazu verwendet wird, Mitarbeiter, Kunden oder Partner sozial zu beeinflussen)
- Einschleusen von Malware oder bösartigen Links in Dokumente, denen viele Menschen vertrauen und die sie nutzen, wobei wiederum das Vertrauen manipuliert wird, um Präventionskontrollen zu umgehen, die Warnungen auslösen könnten
- Diebstahl oder Lösegeldforderung für Dateien und Daten
Wie machen sie das?
Der Spotlight-Bericht stellte fest, dass von den Office 365-Diensten vor allem drei als nützlich für einen Angriff gelten. OAuth wird für die Etablierung und Persistenz verwendet, Power Automate für die Befehlsgewalt und laterale Bewegung und eDiscovery für die Erkundung und Exfiltration.
1. OAuth ist ein offener Standard für die Zugangsauthentifizierung
OAuth wird häufig von Anwendungen von Drittanbietern verwendet, um Benutzer zu authentifizieren, indem Office 365-Anmeldedienste und die zugehörigen Anmeldedaten des Benutzers verwendet werden. Der OAuth-Autorisierungscode kann in Anwendungen verwendet werden, die auf einem Gerät installiert sind, um Zugriff auf geschützte Ressourcen, wie z. B. Web-APIs, zu erhalten. Angreifer nutzen OAuth-fähige bösartige Azure-Anwendungen, um dauerhaften Zugriff auf Office 365-Konten von Benutzern zu erhalten.
2. Mit Power Automate können Benutzer benutzerdefinierte Integrationen und automatisierte Workflows zwischen Office 365-Anwendungen erstellen
Es ist standardmäßig aktiviert und enthält Verbindungen zu Hunderten von Anwendungen und Diensten von Drittanbietern, aber die Datenströme können Sicherheitsrichtlinien, einschließlich Data Loss Prevention (DLP), umgehen. Die breite Verfügbarkeit und die einfache Nutzung von Power Automate machen es auch zu einem teilweise nützlichen Werkzeug für Angreifer, um bösartige Command-and-Control- und Lateral Movement-Aktivitäten zu orchestrieren.
3. eDiscovery ist ein Tool zur elektronischen Recherche, das Office 365-Anwendungen und -Daten durchsucht und die Ergebnisse exportiert.
Angreifer nutzen eDiscovery als leistungsstarkes internes Aufklärungs- und Datenexfiltrationstool. So könnten sie beispielsweise mit einem einfachen Befehl "password" oder "pwd" in Microsoft Outlook, Teams, allen Dateien in SharePoint und OneDrive sowie OneNote-Notizbüchern suchen.
Darüber hinaus können Angreifer Schwachstellen in Azure Active Directory, Exchange und SharePoint ausnutzen, sobald sie Identitätsanmeldeinformationen und privilegierten Zugriff erlangt und ausgenutzt haben. Angreifer können nach einer regulären Kontoübernahme ihre Berechtigungen erweitern und Operationen auf Administratorebene durchführen. Die Angreifer haben sich auch Zugang zu einer sensiblen Rolle verschafft, um redundanten Zugang zum System zu schaffen.
Das soll nicht heißen, dass Office 365-Dienste leicht zu infiltrieren sind. Vielmehr geht es um die Berechtigungen, die dem Benutzer zugewiesen werden, und wie sie verwendet werden. Sicherheitsteams müssen über einen detaillierten Kontext verfügen, der erklärt, wie Entitäten ihre Privilegien - bekannt als beobachtete Privilegien - innerhalb von SaaS-Anwendungen wie Office 365 nutzen.
Das bedeutet, dass wir verstehen müssen, wie und von wo aus die Nutzer auf die Ressourcen von Office 365 zugreifen, ohne jedoch die gesamte Datenmenge zu betrachten, um die Privatsphäre zu schützen. Es geht um die Nutzungsmuster und Verhaltensweisen, nicht um den statischen Zugriff.
Was Sie tun sollten, um das Risiko zu mindern
- Beschränken Sie die Nutzung von Power Automate oder entfernen Sie die interne Power Automate-Lizenz von Ihren Office 365-Nutzern, die keine legitimen Anwendungsfälle haben.
- Überprüfen Sie Ihre Office 365-Richtlinien zur Verhinderung von Datenverlusten und verwenden Sie eine "Geschäftszone", um den Zugriff von Power Automate auf Ihre Geschäftsdaten zu beschränken.
- Beschränkung des Zugriffs auf eDiscovery auf Office 365, die legitime Anwendungsfälle haben
- Ermöglicht die Erkennung von und Reaktion auf Bedrohungen in Echtzeit, um verdächtige und böswillige Nutzung von Office 365-Tools und -Diensten zu identifizieren
Es kann nicht hoch genug eingeschätzt werden, wie wichtig es ist, ein wachsames Auge auf den Missbrauch des Benutzerzugangs zu haben, da dieser in der realen Welt häufig vorkommt. In der aktuellen Cybersicherheitslandschaft reichen Sicherheitsmaßnahmen wie die Multi-Faktor-Authentifizierung nicht mehr aus, um Angreifer abzuschrecken. SaaS-Plattformen wie Office 365 sind ein sicheres Pflaster für Angreifer , weshalb der Benutzerzugriff auf Konten und Dienste im Mittelpunkt stehen muss. Wenn Sicherheitsteams über solide Informationen und Erwartungen in Bezug auf SaaS-Plattformen wie Office 365 verfügen, lassen sich böswillige Verhaltensweisen und der Missbrauch von Privilegien viel leichter erkennen und eindämmen.
Vectra Detect for Office 365 ist ohne Agenten in wenigen Minuten einsatzbereit und gibt Ihnen einen Überblick über Ihre Office 365-Angriffsfläche und ermöglicht es Ihnen,:
- Erkennen Sie verdächtige Kontoaktivitäten, wie z. B. mehrere fehlgeschlagene Anmeldeversuche gefolgt von einem Erfolg, und welche Konten in beiden Szenarien verwendet wurden.
- Achten Sie auf die Erstellung von Power Automate-Flows, das Hinzufügen neuer Konten und die Installation schädlicher Anwendungen
- Entdecken Sie die Ausweitung von Privilegien, einschließlich des Hinzufügens von Benutzern zu Gruppen
Der Vectra 2020 Spotlight Report zu Office 365 zeigt den Wert von Network Detection and Response (NDR ) auf, wenn es darum geht, Angriffe zu entdecken und Sicherheitsteams in die Lage zu versetzen, schädliche Prinzipien zu stoppen, die aufgrund von Seitwärtsbewegungen installiert wurden.