85 Prozent der Sicherheits-Vorfälle bei Microsoft-365-Anwendungen sind nach Untersuchungen des Cyber-Security-Anbieters Kudelski Security im Jahr 2019 auf E-Mail-Angriffe zurückzuführen. Dieses Einfallstor für Hacker sollte sofort geschlossen werden. Vor allem im Hinblick auf die steigende Anzahl von Mitarbeitern, die während der Corona-Pandemie im Home-Office auf Firmen-Dokumente zugreifen. Auch ältere Geräte, wie etwa MFP- und Drucker-Systeme, entpuppen sich als Schwachstellen.
„Immer mehr Unternehmen wünschen sich, dass ihre Mitarbeiter überall produktiv arbeiten können. Die Corona-Krise hat diesen Trend noch verstärkt. Microsoft 365 kann sie dabei unterstützen. Gleichzeitig gilt es, Daten, Anwendungen und Benutzer in der Cloud bestmöglich abzusichern. Hier mangelt es so manchem Sicherheitsteam an Ressourcen und Expertise. Mithilfe der nativen Sicherheits-Funktionen in Microsoft 365 und Azure im Zusammenspiel mit unseren proprietären Lösungen und unserer Expertise unterstützen wir Unternehmen, ihr Identity Access Management (IAM) zu vereinfachen, Daten besser zu schützen und zu kontrollieren“, erklärt Philippe Borloz, Vice President EMEA Sales bei Kudelski Security Nagravision SA in der Schweiz.
Das global agierende Unternehmen, welches in Cheseaux-sur-Lausanne (Schweiz) und Phoenix (USA) ansässig ist, betreut sowohl große Konzerne als auch Mittelständler sowie Regierungs-Organisationen. Das Lösungs-Portfolio umfasst unter anderem Beratung, Managed Security Services und „kundenspezifische Innovationen“. In Deutschland besteht eine Niederlassung in Ismaning bei München.
Der Security-Spezialist empfiehlt bei der Nutzung von MS Office 365 auf Angriffs-Taktiken wie Phishing oder Password Spraying zu achten. Seit Beginn des weltweiten Lockdowns stellte der Anbieter im Einklang mit anderen Experten (-> IBM-Artikel INFO-MARKT Nr. 25/2020) einen extremen Anstieg von Phishing-Attacken fest. Auch Password Spraying kommt vermehrt zum Einsatz. Hierbei versuchen Hacker, Zugriff auf viele Nutzerkonten über einige wenige, jedoch häufig genutzte Passwörter zu erhalten.
Eine bekannte Schwachstelle: Die Multi-Faktor-Authentifizierung (MFA), die eine Kombination von zwei oder mehr Berechtigungs-Nachweisen für die Prüfung der Identität nutzt, schließt keine Legacy-Protokolle mit ein. Die ‚Legacy-Authentifizierung‘ bezieht sich auf eine Authentifizierungs-Anforderung von älteren Office-Clients, die keine modernen Verifizierungs-Verfahren verwenden (zum Beispiel Office-2010-Client), und jeden Client, der veraltete E-Mail-Protokolle wie IMAP/SMTP/POP3 einsetzt. Sie wird genutzt, um ältere Geräte und Protokolle zu aktivieren, die E-Mails anders als neue System-Generationen abrufen. Darum sind Legacy-Office-Clients oder Drittpartei-Lösungen, die keine aktive Synchronisierung verwenden, wie beispielsweise ein älterer Unternehmens-Drucker, begehrte Einfallstore für Hacker. Denn hier werden sie nicht zur Eingabe eines MFA-Codes aufgefordert.
Eine weitere Methode zur Ausspähung von Microsoft-365-Konten ist OAuth. Hierbei handelt es sich um zwei verschiedene offene Protokolle, die eine standardisierte API-Autorisierung für Desktop-, Web- und Mobile-Anwendungen erlauben. Sie sind für Aktionen wie ‚Sign in with Facebook‘ oder ‚Sign in with Google‘ zuständig. Aber sie steuern auch viele der Active-Directory-Single-Sign-On (SSO)-Migrationen, bei denen ein Nutzer nach einer einmaligen Authentifizierung (Einmal-Anmeldung) an einem Arbeitsplatz auf alle Rechner und Dienste, für die er lokal berechtigt ist, vom selben Arbeitsplatz aus zugreifen kann, ohne sich bei den einzelnen Diensten jedes Mal zusätzlich anmelden zu müssen. Das Gefahrenpotenzial von OAuth hängt davon ab, wie einer Anwendung Zugriff auf Daten gewährt wird.
Headquarter von Kudelski Security in Cheseaux-sur-Lausanne (Schweiz): Der Security-Spezialist empfiehlt bei der Nutzung von MS Office 365 auf Angriffs-Taktiken wie Phishing oder Password Spraying zu achten.
Ein Problem: Office-365-Administratoren können dauerhaft Zugang zu allen Daten einer Organisation, zu Mailboxen und Active-Directory-Umgebungen gewähren. Dies bereitet Sicherheits-Experten zunehmend Sorge. Die Lösung: Microsoft stellt spezielle Tools zur Verfügung, die es Organisationen ermöglichen, nach bösartigen Zugriffen Ausschau zu halten. Administratoren können Anwendungen, die derartige Informationen anfordern, zudem vorab genehmigen.
Eine weitere Problematik besteht darin, dass Cyber-Kriminelle Mail-Weiterleitungs-Regeln in IT-Umgebungen ausnutzen, in denen das Thema Sicherheit zu einseitig und nachlässig behandelt wird. So wiegen sich Unternehmen in Sicherheit, wenn sie einen Angriff aufgedeckt haben. Es kommt jedoch häufig vor, dass Angreifer, die Zugriff auf ein Konto erhielten, sofort eine Weiterleitung einrichten: Jede E-Mail an dieses Konto wird an eine dritte Partei weitergeschickt.
Des Weiteren nutzen Cyber-Kriminelle vermehrt Outlook-Formulare, um Microsoft-365-Konten zu infiltrieren. Die Angreifer können eigene Formulare erstellen und sie in bestimmten Ordnern wie dem Posteingang veröffentlichen. Anschließend wird dieser mit dem Firmen-Gerät synchronisiert. Um das Outlook-Formular und den darin eingebetteten Code auszulösen, muss der Hacker lediglich eine E-Mail der entsprechenden Nachrichtenklasse senden.
