{"id":1131,"date":"2024-12-09T03:24:00","date_gmt":"2024-12-09T03:24:00","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=1131"},"modified":"2024-12-09T03:24:00","modified_gmt":"2024-12-09T03:24:00","slug":"password-spraying-verhindern-in-4-schritten","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=1131","title":{"rendered":"Password Spraying verhindern in 4 Schritten"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
\n

Lesen Sie, wie Sie sich vor Password-Spraying-Angriffen sch\u00fctzen.<\/p>\n

Markus Mainka | shutterstock.com<\/p>\n<\/div>\n

Microsoft hat vor kurzem offengelegt, dass seine Systeme vom ber\u00fcchtigten Bedrohungsakteur Midnight Blizzard (auch bekannt als Nobelium) angegriffen wurden<\/a>. Dabei war es den Angreifern m\u00f6glich, sich \u00fcber einen Test-Tenant Zugang zu E-Mail-Postf\u00e4chern zu verschaffen. Parallel wurde zudem bekannt, dass auch E-Mail-Konten bei HPE von nationalstaatlichen Akteuren, die mit Russland in Verbindung stehen, kompromittiert werden konnten<\/a>. In beiden F\u00e4llen scheint es sich um Password-Spraying-Angriffe (Angreifer versuchen mit einer kleinen Teilmenge der beliebtesten respektive wahrscheinlichsten Passw\u00f6rter<\/a> ihr Gl\u00fcck bei einer Vielzahl von Konten) auf Legacy-E-Mail-Konten gehandelt zu haben.<\/p>\n

Microsoft ver\u00f6ffentlichte Ende Januar 2024 eine Analyse der Vorg\u00e4nge in Form eines Blogeintrags<\/a>. Darin gibt der Konzern unter anderem zu, dass f\u00fcr den gehackten Test Account keine Multifaktor-Authentifizierung<\/a> aktiviert war. Inzwischen hat sich au\u00dferdem herausgestellt, dass die kriminellen Hacker die Informationen, die sie im Rahmen des initialen Angriffs stehlen konnten, weiter gewinnbringend einzusetzen versuchen. <\/p>\n

\u201cIn den vergangenen Wochen konnten wir nachweisen, dass Midnight Blizzard sich mit Hilfe der Informationen die urspr\u00fcnglich aus unseren Corporate-E-Mail-Systemen exfiltriert wurden, dazu nutzt, sich unautorisierten Zugriff zu verschaffen \u2013 oder es versucht. Davon waren auch interne Systeme und Quellcode-Repositories betroffen\u201d, schreibt Microsoft in einem Update zum urspr\u00fcnglichen Blogpost<\/a>. Midnight Blizzard habe das ohnehin gro\u00dfe Angriffsvolumen, das im Januar 2024 zu beobachten gewesen sei, im Februar in einigen Aspekten nochmals deutlich gesteigert.<\/p>\n

Im Folgenden geben wir Ihnen Tipps an die Hand, um sich \u2013 und Ihr Unternehmen \u2013 bestm\u00f6glich vor Attacken dieser Art zu sch\u00fctzen.<\/p>\n

1. MFA aktivieren<\/h3>\n

Die erste Lektion, die man aus dem Angriff auf Microsoft ziehen kann: Aktivieren Sie Multifaktor-Authentifizierung (MFA) f\u00fcr alles und \u00fcberpr\u00fcfen Sie die Prozesse, die f\u00fcr Test-Accounts zur Anwendung kommen, die Zugriff auf Ihren Micorosoft-365-Haupt-Produktions-Tenant haben. MFA<\/a> ist heutzutage Pflicht f\u00fcr jeden Cloud Service \u2013 ein Passwort f\u00fcr Unternehmens-Assets nicht ausreichend.<\/p>\n

Sollte Ihre User-Basis MFA-Implementierungen kritisch gegen\u00fcberstehen, gibt es M\u00f6glichkeiten, ihnen diese Option schmackhaft zu machen<\/a>. Sie k\u00f6nnten MFA beispielsweise so konfigurieren, dass eine Authentifizierung bei vertrauensw\u00fcrdigen Standorten nicht obligatorisch ist. Dabei sollten Sie je nach Risikotoleranz Ihrer Organisation abw\u00e4gen, ob eine IP-Whitelist, die sicherstellt, dass die F\u00fchrungskr\u00e4fte nicht von MFA-Aufforderungen \u201cbel\u00e4stigt\u201d werden, angebracht ist<\/a>. Im Fall von Microsoft nutzten die Angreifer vermeintlich harmose IP-Adressen f\u00fcr ihre Attacken: \u201cDer Bedrohungsakteur hat eine private, verteilte Proxy-Infrastruktur genutzt, um seine Angriffe zu starten und die Wahrscheinlichkeit zu verringern, entdeckt zu werden\u201d, schreibt Microsoft.<\/p>\n

In diesem Fall konnten die Abwehrsysteme also nicht bez\u00fcglich eines riskanten User-Standorts Alarm schlagen. Sie sollten deshalb in Erw\u00e4gung ziehen, statische IP-Adressen f\u00fcr Personen einzurichten, die besonders attraktive Ziele f\u00fcr kriminelle Hacker<\/a> darstellen. Das gew\u00e4hrleistet, High-Level-Zugriffe besser identifizieren und absichern zu k\u00f6nnen. <\/p>\n

2. Location checken<\/h3>\n

Sie sollten nicht davon ausgehen, dass kriminelle Hacker mit einer offensichtlich b\u00f6sartigen IP-Adresse \u201canklopfen\u201d. Den genauen Standort zu bestimmen, von dem aus sich ein Nutzer anmeldet, ist jedoch oft diffizil \u2013 speziell wenn der Zugriff \u00fcber ein Mobilger\u00e4t stattfindet. Sie sollten deshalb in Erw\u00e4gung ziehen, zus\u00e4tzliche Infrastruktur einzurichten, um die Zugriffe \u00fcber einen gesch\u00fctzten \u2013 und einsehbaren \u2013 Tunnel zu leiten.<\/p>\n

Beim Angriff auf Microsofts E-Mail-Server nutzte Midnight Blizzard seinen initialen Zugang, um eine Legacy<\/a> OAuth-Test-Applikation zu kompromittieren, wie Microsoft beschreibt: \u201cDas erm\u00f6glichte erweiterten Zugriff auf die Systemlandschaft. Die Angreifer konnten weitere, b\u00f6sartige OAuth-Anwendungen erstellen. Letzteren wurden \u00fcber den Legacy-Testaccount die 365-Exchange-Rolle full_access_as_app zugewiesen, was den Zugriff auf die Postf\u00e4cher erm\u00f6glichte.\u201d<\/p>\n

Das wirft ein Schlaglicht auf unsere kollektive Anf\u00e4lligkeit, wenn es um Cloud-Implementierungen geht. Die Authentifizierung hat sich von der traditionellen Kombination aus Benutzername und Passwort<\/a> in Richtung anwendungsbasiert weiterentwickelt. Dazu kommt, dass viele Unternehmen oft gar nicht wissen, was sie da eigentlich genau in ihrer Cloud-Umgebung einrichten. Das f\u00fchrt in der Folge oft dazu, dass wichtige Berechtigungen respektive Konfigurationsoptionen unbeachtet bleiben.<\/p>\n

3. Berechtigungen konfigurieren<\/h3>\n

Allen Benutzern zu erm\u00f6glichen, Apps zu registrieren und Unternehmensdaten freizugeben, ist demnach keine empfehlenswerte Strategie<\/a>. Sie sollten Ihren Tenant so konfigurieren, dass ein (Cloud-)App-Administrator den Benutzern explizit die Berechtigung erteilen muss, um eine OAuth-basierte Drittanbieter-Anwendung zum Tenant hinzuf\u00fcgen zu k\u00f6nnen. Das gilt speziell f\u00fcr Unternehmen, die sensible Daten jeglicher Art managen: Hier sollte jede App, die dem Microsoft-365-Tenant hinzugef\u00fcgt wird, einen manuellen Autorisierungsprozess durchlaufen.<\/p>\n

Rufen Sie dazu die Einstellungen im Microsoft 365 Admin Center<\/strong> auf und w\u00e4hlen Sie den Punkt \u201cUser consent to apps<\/em>\u201c. Hier deaktivieren Sie das Kontrollk\u00e4stchen, um sicherzustellen, dass Anwendungen \u00fcberpr\u00fcft werden m\u00fcssen, bevor sie den Usern bereitgestellt werden. Das gilt auch f\u00fcr die Cloud: Rufen Sie das Admin Center von Microsoft Entra<\/strong> auf und suchen Sie in den App-Einstellungen nach entsprechenden Registrierungen. Vergewissern Sie sich dabei, dass alle her aufgef\u00fchrten Apps identifiziert und genehmigt sind (keine Panik, der gelistete \u201cP2PServer\u201d ist ein Platzhalter f\u00fcr den ersten AD-verbundenen Rechner). \u00dcberpr\u00fcfen Sie anschlie\u00dfend in den Benutzereinstellungen folgende Settings:<\/p>\n

\u201cNamed Users can register applications\u201d sollte deaktiviert sein<\/strong>.<\/p>\n

\u201cRestrict non-admin users from creating tenants\u201d sollte aktiviert sein<\/strong>.<\/p>\n

\u201cUsers can create security groups\u201d sollte deaktiviert sein<\/strong>.<\/p>\n

\u201cRestrict access to the Microsoft Entra admin center\u201d sollte aktiviert sein<\/strong>.<\/p>\n

Wenn Benutzer Apps einrichten wollen, sollte dazu wie bereits erw\u00e4hnt die Zustimmung durch einen Admin obligatorisch sein. Um sicherzustellen, dass dabei alles wie vorgesehen abl\u00e4uft, empfiehlt es sich zudem, diesen Freigabe- beziehungsweise Genehmigungsprozess zu testen. Dabei ist au\u00dferdem wichtig, dass Administratoren<\/a> sich nicht \u00fcber private Devices anmelden, sondern ausschlie\u00dflich dedizierte, abgesicherte Ger\u00e4te f\u00fcr ihre TAsks nutzen.<\/p>\n

4. Cloud-Apps pr\u00fcfen<\/h3>\n

Die Cloud hat unser Leben in vielerlei Hinsicht leichter gemacht, aber auch potenzielle neue Risiken<\/a> geschaffen. Zum Beispiel die Microsoft-Graph-App-Berechtigung AppRoleAssigment.ReadWrite.All, mit der Zustimmungsprozesse (eigentlich zu Implementierungszwecken) umgangen werden k\u00f6nnen.<\/p>\n

Weil in vielen F\u00e4llen nicht wirklich verstanden wird, was da gerade in Sachen Cloud implementiert wird, werden auch die damit verbundenen Risiken nicht erkannt. Dazu kommt, dass Cloud-Implementierungen oft nicht auf ihre Funktionst\u00fcchtigkeit oder mit Blick auf neue Sicherheitsstandards und -Features \u00fcberpr\u00fcft werden. Machen Sie es also besser und \u00fcberpr\u00fcfen Sie, ob die oben genannte Berechtigung erteilt wurde<\/a>. Falls ja: der bessere Weg besteht darin, die Consent Policy zu nutzen<\/a>. (fm)<\/p>\n

Sie wollen weitere interessante Beitr\u00e4ge rund um das Thema IT-Sicherheit lesen? <\/strong>Unser kostenloser Newsletter<\/strong><\/a> liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.<\/strong><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Lesen Sie, wie Sie sich vor Password-Spraying-Angriffen sch\u00fctzen. Markus Mainka | shutterstock.com Microsoft hat vor kurzem offengelegt, dass seine Systeme vom ber\u00fcchtigten Bedrohungsakteur Midnight Blizzard (auch bekannt als Nobelium) angegriffen wurden. Dabei war es den Angreifern m\u00f6glich, sich \u00fcber einen Test-Tenant Zugang zu E-Mail-Postf\u00e4chern zu verschaffen. Parallel wurde zudem bekannt, dass auch E-Mail-Konten bei HPE […]<\/p>\n","protected":false},"author":0,"featured_media":1132,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-1131","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/1131"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1131"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/1131\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/1132"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1131"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1131"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1131"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}