Photographee.eu - Fotolia

Brute-Force-Angriffe auf Office-365-Konten abwenden

Viele Unternehmen setzen Office 365 ein und speichern dabei zunehmend auch sensible Daten in der Cloud. Das macht die Nutzerkonten zu einem attraktiven Ziel für Hacker.

Angreifer suchen immer wieder neue Wege, um in Unternehmenssysteme einzudringen. Jetzt haben sie Cloud-Services als attraktives Ziel für sich entdeckt. Das war nur eine Frage der Zeit. Denn je mehr Unternehmen beispielsweise Office 365 einsetzen, desto größer ist auch die Wahrscheinlichkeit, hier sensible Daten vorzufinden. Erst vor kurzem konnten Brute-Force-Attacken auf Office-365-Konten bei 48 verschiedenen Unternehmen aufgedeckt werden – glücklicherweise, bevor sie Schaden anrichten konnten. Die Angreifer haben selbst von populären Public-Cloud-Plattformen aus agiert und raffinierte Methoden eingesetzt, um unentdeckt zu bleiben.

Bei einer klassischen Brute-Force-Attacke versuchen Hacker Login-Daten zu knacken, indem sie mithilfe einer Software innerhalb von kürzester Zeit viele verschiedene Zeichenketten durchprobieren. Diese Methode ist jedoch sehr auffällig, denn Systeme verzeichnen dabei in wenigen Sekunden eine Vielzahl von fehlgeschlagenen Anmeldeversuchen. Internet Service Provider (ISP) oder Content Security Policies (CSP) hätten Alarm geschlagen.

In besagtem Fall waren die Angreifer dagegen vorsichtiger und wählten einen „Slow and Low“-Ansatz: Sie verteilten ihre Anmeldeversuche über einen Zeitraum von mehreren Monaten hinweg und gingen nicht breitflächig, sondern nur gegen ausgewählte Opfer vor. Die betroffenen Anwender waren durchweg in Führungspositionen oder schon seit vielen Jahren im Unternehmen. Dadurch rechneten sich die Angreifer vermutlich höhere Chancen aus, in den Konten der Opfer auf sensible Daten zu stoßen.

Gespickt war die Slow-and-Low-Phase von kurzen, intensiven Peaks, in denen die Hacker verschiedene Varianten eines User-Namens von mehreren IP-Adressen aus testeten. So verzeichnete Sherry Wheeler (Name geändert) innerhalb von fünf Sekunden 95 Login-Versuche in ihren Office-365-Account von 13 verschiedenen IP-Adressen aus. Während die erste IP es zum Beispiel mit sherry_wheeler und sherry.wheeler versuchte, testete die zweite s_wheeler und s.wheeler. Hätten die Angreifer 95 Versuche von einer einzigen IP-Adresse aus gestartet, wären sie aufgeflogen. Nur dank eines Cloud Access Security Brokers (CASB) gelang es, die Attacken schließlich aufzudecken. Mithilfe von Algorithmen für maschinelles Lernen konnte das spezialisierte Cloud-Sicherheitssystem ungewöhnliche Verhaltensmuster erkennen und schlug Alarm.

Sicherheitslücken und Risikofaktoren

Die Angreifer spekulierten bei ihren Attacken darauf, dass die Zielunternehmen keine mehrstufige Authentifizierung (MFA) aktiviert hatten, obwohl Office 365 diese Möglichkeit bietet. Nutzer müssten ihre Identität dann noch einmal auf einem zweiten Weg verifizieren, um sich am System anzumelden, etwa über eine SMS oder App-Benachrichtigung. Ohne MFA genügt dagegen ein einfacher Login.

Außerdem erhofften sie sich, dass die ausgewählten Opfer dasselbe Passwort für mehrere Services nutzten. Laut Studien tun dies fast die Hälfte aller Online User. Sie finden es schlichtweg lästig, sich für jeden Cloud-Dienst ein separates Passwort zu merken. Dadurch haben Angreifer gute Chancen, mit einer Nutzerkennung gleich viele Konten zu knacken und erheblichen Schaden anzurichten. Im oben geschilderten Fall haben die Hacker vermutlich andernorts im Web Passwörter abgegriffen und nun die zugehörigen Nutzernamen gesucht.

Zupass kam ihnen auch, dass die Unternehmen kein Single Sign-On (SSO) verwendeten. Dieses Authentifizierungsverfahren bietet mehr Sicherheit, weil Mitarbeiter sich nicht mehr von Hand bei einzelnen Services anmelden müssen. Sie loggen sich nur noch mit ihrem Master-Kennwort an ihrem Arbeitsplatz ein, und das SSO meldet sie dann automatisch bei den anderen Anwendungen an, für die sie autorisiert sind.

So kann ein CASB vor Angriffen auf Cloud-Services schützen

Es ist schwer für Unternehmen, Cloud-Services sicher zu konfigurieren. Und selbst wenn sie mehrstufige Authentifizierung und SSO aktiviert haben, bleibt ein Restrisiko. Mit einem Trick können sich Hacker eine SSO-Infrastruktur sogar zu Nutze machen. Denn sie verhält sich unterschiedlich, je nachdem, ob man einen richtigen oder einen falschen Usernamen eingibt. Ist der User-Name korrekt, aber das Passwort falsch, landet man auf einer zentralen Login-Seite. Bei einem falschen Namen nicht. Auf diese Weise können Angreifer herausfinden, ob sie eine richtige Kennung erwischt haben und dann zum Beispiel Phishing-Attacken auf die Betroffenen starten, um Passwörter auszuspionieren. Am Ende bleibt immer noch der Risikofaktor Mensch, der durch beabsichtigtes oder versehentliches Fehlverhalten Gefahren heraufbeschwört. Deshalb brauchen Unternehmen ein Sicherheitssystem, das auf die Cloud spezialisiert ist. CASBs bieten verschiedene Schutzfunktionen.

Für Angriffe, die in der Cloud stattfinden und auch aus der Cloud heraus ausgeführt werden, benötigen Unternehmen Sicherheitsmechanismen, die innerhalb der Cloud-Infrastruktur greifen. Firewalls und Proxies sind in der Regel nicht in der Lage, solche Vorfälle zu entdecken. Ein CASB ist dagegen per API an die Cloud-Services angebunden und hat dadurch Einblick in alle Aktivitäten, die dort stattfinden. Das schließt auch Aktivitäten außerhalb des Netzwerkes auf nicht gemangten Endgeräten ein.

Außerdem kann ein CASB auch raffinierte Angriffe aufdecken, indem er alle Aktivitäten in der Cloud analysiert und dabei Algorithmen für maschinelles Lernen einsetzt. So ist er in der Lage, ungewöhnliche Verhaltensmuster zu identifizieren. Dank dieser Methode und der tiefen Cloud-Integration konnte der CASB die oben geschilderten Attacken erkennen.

 „Noch sind Cloud-zu-Cloud-Angriffe ein relativ neues Phänomen. Es ist jedoch davon auszugehen, dass sie zunehmen werden.“

 Daniel Wolf, Skyhigh Networks

Unternehmen setzen zudem zunehmend IaaS-Plattformen (Infrastructure as a Service) wie Amazon Web Services ein und betreiben darauf ihre eigenen Applikationen. Doch häufig führen Fehlkonfigurationen in AWS zu Risiken – etwa, weil keine mehrstufige Authentifizierung eingestellt oder kein CloudTrail aktiviert ist. CASBs können die AWS-Konfiguration auf solche Schwachstellen überprüfen. Außerdem können sie Sicherheitsmechanismen wie Aktivitätsüberwachung und DLP auf die Applikationen in der IaaS-Umgebung anwenden.

Aufdecken von Schatten-IT

Im Durchschnitt setzen Unternehmen 1427 Cloud-Services ein, aber nur zehn Prozent davon sind von der IT-Abteilung genehmigt. Viele dieser Cloud-Dienste in der Schatten-IT sind nicht durch Kontrollmechanismen geschützt, enthalten aber sensible Daten, die in die Hände von Angreifern fallen könnten. CASBs bringen sämtliche Cloud-Dienste ans Licht, die Mitarbeiter nutzen. Mit ihrer Hilfe können Sicherheitsverantwortliche unerlaubte Services sperren, Anwender auf sichere Alternativen umleiten oder andere Schutzmaßnahmen anwenden.

Wer von Cloud-Diensten wie Office 365 profitieren möchte, sollte nicht auf geeignete Sicherheitsmaßnahmen verzichten. Denn Hacker haben zunehmend auch Cloud-Nutzerkonten im Visier. Herkömmliche Sicherheitssysteme wie Firewalls und Proxies können Angriffe, die von Cloud zu Cloud ausgeführt werden, in der Regel nicht entdecken. Deshalb brauchen Unternehmen einen Cloud Access Security Broker, der per API an die Cloud-Services angebunden ist und mithilfe von intelligenten Algorithmen verdächtige Verhaltensmuster innerhalb der Cloud aufdecken kann. Noch sind Cloud-zu-Cloud-Angriffe ein relativ neues Phänomen. Es ist jedoch davon auszugehen, dass sie zunehmen werden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Die Office-Sicherheit mit Office 365 Secure Score verbessern

DLP-Richtlinen für Office 365 umsetzen

So kann man den sicheren Betrieb von Office 365 sicherstellen

Artikel wurde zuletzt im September 2017 aktualisiert

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close