Informationen
6 Minuten lesen

‍Microsoft Firmen-E-Mail-Hack treibt Veränderung voran

Zuletzt aktualisiert:
4. April 2024
Zurück zum Blog
‍Microsoft Firmen-E-Mail-Hack treibt Veränderung voran

‍MicrosoftFirmen-E-Mail-Hack treibt Veränderung voran

Ein kürzlich erfolgter Hack von Microsoft®-Unternehmens-E-Mail-Konten hat Microsoft dazu veranlasst, seinen Ansatz für die Cybersicherheit von Unternehmen grundlegend zu ändern.

Der Hack

Am 12. Januar 2024 entdeckte das Cybersicherheitsteam von Microsoft einen Angriff auf die Unternehmenssysteme und aktivierte sofort seinen Reaktionsprozess, um den Angriff abzuschwächen und zu beenden. Die Untersuchung von Microsoft ergab, dass der Angriff im November 2023 mit einem Passwort-Spray-Angriff begann (ein Brute-Force-Angriff, bei dem eine Liste gängiger schwacher Passwörter verwendet wird, um auf Hunderte von Konten zuzugreifen), um ein altes, nicht produktives Testmieterkonto zu kompromittieren.

Von dort aus nutzte der Bedrohungsakteur die Berechtigungen des Legacy-Kontos, um auf die E-Mail-Konten und angehängten Dokumente von Microsoft-Führungskräften und Mitarbeitern zuzugreifen, die hauptsächlich in den Bereichen Cybersicherheit und Recht tätig sind.

Microsoft identifizierte den Bedrohungsakteur als Midnight Blizzard (auch bekannt als Nobelium), eine von der russischen Regierung gesponserte Organisation. Nobelium war für den Einbruch in mindestens neun US-Behörden im Dezember 2020 verantwortlich und nutzte die Software des Bundesauftragnehmers SolarWinds®, um sich Zugang zu den nicht klassifizierten E-Mail-Systemen der Behörden zu verschaffen und zu verfolgen, wie die US-Regierung auf die Einbrüche von Nobelium reagierte.

Ähnlich wie beim SolarWinds-Angriff ergab die Untersuchung des Angriffs auf die Microsoft-Unternehmenssysteme, dass der Bedrohungsakteur Informationen über Midnight Blizzard selbst suchte.

Microsoft teilte erste Details zu dem Angriff in einem Beitrag des Microsoft Security Response Centervom 19. Januar mit und gab dann in einem Beitrag von Microsoft Threat Intelligence vom25. Januar Hinweise zur Reaktion. Aus den Reaktionsanweisungen ging hervor, dass Midnight Blizzard neben Microsoft auch andere globale Technologieunternehmen ins Visier genommen hat. Diese Beobachtung wurde durch einen Bericht von Hewlett Packard Enterprise (HPE) an die US-Börsenaufsicht SEC bestätigt, aus dem hervorging, dass Midnight Blizzard im Mai 2023 in die Cloud-gehostete E-Mail-Umgebung von HPE eingedrungen war.

Wie kam es zu dem Hack?

Wie bereits erwähnt, wurde bei dem Microsoft-E-Mail-Hack eine Passwort-Spray-Attacke eingesetzt, um ein altes, nicht produktives Test-Mieterkonto zu kompromittieren. Dieses Konto verstieß gegen zwei grundlegende Cybersicherheitsregeln. Erstens hatte das Konto ein leicht zu erratendes Passwort. Zweitens war für das Konto keine Multi-Faktor-Authentifizierung (MFA) aktiviert.

Microsoft räumte in seinem Beitragvom 25. Januar ein, dass, wenn das alte Konto heute eingerichtet worden wäre, die Microsoft-Standardrichtlinien und -Workflows dafür gesorgt hätten, dass MFA vorhanden war.

Nachdem sich Midnight Blizzard über das kompromittierte E-Mail-Testkonto Zugang verschafft hatte, identifizierten und kompromittierten sie eine alte OAuth-Testanwendung mit erweitertem Zugriff auf die Unternehmensumgebung von Microsoft. (HINWEIS: OAuth ist ein offenes Standard-Autorisierungsprotokoll, das es einer Anwendung oder Website ermöglicht, auf Daten einer anderen Anwendung oder Website zuzugreifen, z. B. um in der Cloud gespeicherte Dateien per E-Mail an einen anderen Benutzer zu senden oder einer Website wie ESPN.com den Zugriff auf Ihr Facebook-Profil zu ermöglichen, ohne Ihr Facebook-Passwort anzugeben).

Dann erstellte Midnight Blizzard weitere bösartige OAuth-Anwendungen und ein neues Benutzerkonto, das den bösartigen OAuth-Anwendungen den Zugriff auf die Unternehmensumgebung von Microsoft ermöglichte. Schließlich nutzte Midnight Blizzard die kompromittierte Legacy-Test-OAuth-Anwendung, um ihnen eine Office 365 Exchange Online-Rolle zu gewähren, die den Zugriff auf Mitarbeiterpostfächer ermöglicht.

Midnight Blizzard nutzte das Vorhandensein eines veralteten E-Mail-Testkontos und einer veralteten OAuth-Testanwendung, die nie aktualisiert wurden, um modernen Cybersicherheitsstandards zu entsprechen.

Was ändert Microsoft an seinem Sicherheitskonzept?

Im November 2023 kündigte Microsoft seine Secure Future Initiative (SFI) an, die alle Bereiche von Microsoft zusammenbringt, um den Schutz der Cybersicherheit erheblich zu verbessern. Die Initiative strebt ein Gleichgewicht zwischen Sicherheit und Geschäftsrisiko an. Aus der Perspektive des Geschäftsrisikos ist die Durchführung eines Audits zur Identifizierung und Sicherung aller alten Konten oder Anwendungen, die in der fast 50-jährigen Geschichte von Microsoft erstellt (und dann vergessen) wurden, und die Änderung unzähliger Geschäftsprozesse im Zusammenhang mit der Einrichtung und Sicherung neuer Konten und Anwendungen eine Aufgabe, die viel Personal und Zeit erfordert.

Leider ist Midnight Blizzard sehr gut darin, Legacy-Konten und OAuth-Anwendungen auszunutzen, um in Unternehmenssysteme einzudringen und Zugang zu Unternehmens- und Kundendaten zu erhalten. In Anbetracht dieser Erfahrung hat Microsoft die Notwendigkeit erkannt, seine Legacy-Konten und -Anwendungen eher früher als später zu sichern, wie im Beitrag des Microsoft Security Response Centervom 19. Januar dargelegt:

"...Wir werden sofort handeln, um unsere aktuellen Sicherheitsstandards auf Microsoft-eigene Altsysteme und interne Geschäftsprozesse anzuwenden, selbst wenn diese Änderungen zu einer Unterbrechung der bestehenden Geschäftsprozesse führen könnten. Dies wird wahrscheinlich ein gewisses Maß an Unterbrechung verursachen, während wir uns an diese neue Realität anpassen, aber dies ist ein notwendiger Schritt und nur der erste von mehreren, die wir unternehmen werden, um diese Philosophie zu übernehmen." 

Was können Sie tun, um Ihre Kunden und Anwendungen zu schützen?

Wie Microsoft ist eine Prüfung der alten Konten und OAuth-Anwendungen mit anschließenden Maßnahmen zur Beseitigung der nicht mehr genutzten Konten und zur Sicherung der noch genutzten Konten unter Verwendung moderner Cybersicherheitsstandards ein notwendiger erster Schritt. Microsoft hat in seinem oben erwähnten Beitragvom 25. Januar weitere Empfehlungen gegeben.

ISVs, MSPs und Wiederverkäufer, die ihren Kunden einen sicheren webbasierten Zugang zu Windows-Anwendungen bieten müssen, können die Technologie bewerten, die verwendet wird, um diese Anwendungen für die Benutzer zugänglich zu machen, einschließlich:

  • Verwendetes Netzwerkkommunikationsprotokoll - ist es sicher? (HINWEIS: Wenn Sie das Microsoft Remote Desktop Protocol (RDP) verwenden, ist RDP laut Sophos, einem weltweit tätigen IT-Sicherheitsunternehmen, nach wie vor "eines der am häufigsten missbrauchten Tools", um kompromittierte Anmeldedaten für den internen Zugriff zu nutzen; weitere Einzelheiten finden Sie in unserem Blogbeitrag ).
  • Standardeinstellungen - kann ein Administrator oder böswilliger Akteur die gemeinsame Nutzung von Server- oder Client-Ressourcen aktivieren? 
  • Multi-Faktor-Authentifizierung - ermöglicht Ihre Fernzugriffslösung die Multi-Faktor-Authentifizierung? Der oben beschriebene Microsoft-Hack wurde zum Teil durch das Fehlen von MFA in einer älteren Test-E-Mail-Anwendung ermöglicht.
  • Single Sign-On - unterstützt Ihre Fernzugriffslösung Single Sign-On-Lösungen? Der oben beschriebene Microsoft-Hack wurde zum Teil durch ein leicht zu erratendes Passwort ermöglicht.

Wenn Ihre webbasierte Zugangslösung Ihre Anwendungen und Kundendaten anfällig für böswillige Akteure macht, sollten Sie GO-Global in Betracht ziehen.

  • RapidX Protocol (RXP) - RXP ist ein proprietäres Protokoll mit geringer Bandbreite für die Konnektivität über serielle Leitungen. Es ist adaptiv, verwendet mehrere Komprimierungsebenen und ist optimiert, um die geringstmögliche Bandbreitennutzung zu gewährleisten. Da RXP ein Closed-Source-Protokoll ist, bietet es zusätzlichen Schutz vor Angreifern im Vergleich zu Open-Source-Protokollen wie Microsoft RDP, bei denen Sicherheitslücken gefunden und ausgenutzt wurden.
  • Standardeinstellungen: Alle Konfigurationsoptionen, die die gemeinsame Nutzung von Server- oder Client-Ressourcen ermöglichen, sind deaktiviert. Außerdem veröffentlicht GO-Global keine Standardanwendungen.
  • Zwei-Faktor-Authentifizierung (2FA) -GO-Global bietet 2FA, eine fortschrittliche Authentifizierungsfunktion, die eine zusätzliche Sicherheitsebene bietet, indem sie optional verlangt, dass Benutzer zusätzlich zu ihrem Benutzernamen und Passwort einen 6-stelligen Code über eine Authentifizierungs-App auf einem Smartphone eingeben.
  • Single Sign-On-Unterstützung für OpenID® Connect (OIDC): Ermöglicht Unternehmen die Verwendung von OIDC-Identitätsanbietern wie Okta® und Microsoft® Active Directory Federated Services (ADFS) für Single Sign-On auf GO-Global Windows-Hosts.

Der mehrschichtige Ansatz von GO-Global zur Sicherung von Windows-Anwendungen und Kundendaten reduziert das Risiko durch böswillige Akteure. Erfahren Sie mehr hier.

Um die Preise von GO-Global für gleichzeitige Benutzer mit SSO zu sehen und Ihre geschätzten GO-Global Preise zu berechnen, klicken Sie hier.

Um eine Demo anzufordern, klicken Sie hier; für einen kostenlosen 30-Tage-Test von GO-Global klicken Sie hier.

Kostenlose 30-Tage-Testversion
Demo anfordern
Autor
Nannette Vilushis
Direktorin für Marketing

Versuchen Sie GO-Global

Eine einfache, benutzerfreundliche und kostengünstige Lösung

Kostenlose 30-Tage-Testversion
Demo anfordern

Verwandte Beiträge

Alle Beiträge durchsuchen
Broadcom veräußert VMware EUC
Informationen
6 Minuten lesen
Welche Auswirkungen hat die Vereinbarung zwischen der Cloud Software Group und Microsoft auf ISVs?
Informationen
7 Minuten lesen
Application Publishing-Lösungen für MSPs
Informationen
5 Minuten Lesen

Reduzieren Sie die Kosten und die Komplexität der Bereitstellung Ihrer Windows-Anwendung

Abonnieren Sie unseren Newsletter
Vielen Dank, dass Sie sich für unseren Newsletter angemeldet haben.
Huch! Beim Absenden des Formulars ist etwas schief gelaufen.