freshidea - Fotolia

Online-Datenspeicher vor Man-in-the-Cloud-Angriffen schützen

Man-in-the-Cloud-Angriffe nutzen eine Sicherheitslücke in Speicherdiensten wie Box, Dropbox, Google Drive oder Microsoft OneDrive aus. Eine Erklärung.

Auf der Konferenz Black Hat in Las Vegas erhält die Branche viele Informationen rund um die neuesten und größten Sicherheitsbedrohungen. Eine wichtige Präsentation von Imperva betraf sogenannte Man-in-the-Cloud-Angriffe. Diese nutzen eine Sicherheitslücke in Speicherdiensten wie Box, Google Drive, Microsoft OneDrive oder Dropbox aus. Cyberkriminelle können dadurch auf online gespeicherte Dateien zugreifen oder auch Malware auf Rechner übertragen.

Man-in-the-Cloud-Angriffe profitieren von einer Sicherheitslücke bei den Synchronisations-Tokens der genannten Cloud-Anwendungen. Hintergrund: Wenn Nutzer einen Cloud-Service auf ihrem Gerät einrichten, können sie spezielle Synchronisationsordner angeben, die ihre Inhalte automatisch mit dem zentralen Server in der Cloud abgleichen. Damit werden alle Dateien, die entweder auf dem lokalen Gerät oder dem Cloud-Server gespeichert sind, mit allen Geräten synchronisiert, die mit derartigen Synchronisationsordnern konfiguriert wurden. Damit die Synchronisation reibungslos und automatisch geschieht, ohne dass der Nutzer bei jedem Aufruf des Dienstes seinen Benutzernamen und sein Passwort eingeben muss, verwenden die Cloud-Services ein Passwort-Token. Dieses ist für jeden Benutzer einzigartig. Bei einem Passwort-Token handelt es sich um eine kleine Datei auf dem Gerät der Anwender, in der die Anmeldedaten hinterlegt sind.

Man-in-the-Cloud-Angriffe nutzen aus, dass diese Token nicht an ein bestimmtes Gerät gebunden sind. Erhalten Hacker Zugriff auf dieses Synchronisations-Token, können sie auf alle Dateien des Nutzers zugreifen, ohne erkannt zu werden und ohne den Benutzernamen und das Passwort kennen zu müssen.

Der Angriff erfolgt in wenigen Schritten. Erstens muss der Angreifer den Betroffenen dazu bringen, eine schädliche Datei zu öffnen. Diese Malware wird üblicherweise per E-Mail-Phishing oder Drive-by-Download auf das Gerät eingeschleust. Öffnet der Nutzer diese Datei, erhält der Angreifer automatisch Zugriff auf das Synchronisations-Token des Opfers. Dadurch kann er von einem anderen Rechner aus das Konto des Nutzers übernehmen. Das heißt, bei jeder Aktualisierung des Sync-Ordners werden die Dateien auch auf das Gerät des Hackers kopiert. Der Angreifer ist damit in der Lage, auf alle online abgelegten Dateien des Nutzers zuzugreifen. Gefahr droht auch auf dem umgekehrten Weg: Der Hacker kann von der Cloud aus Malware in die lokal synchronisierten Ordner seines Opfers einschleusen sowie für weitere Angriffe nutzen.

Das Perfide: Die Anwender erkennen nicht, dass der Angreifer ein anderes Gerät mit ihrem Konto verknüpft hat, und dass alle Dateien, die sie im Sync-Ordner ablegen, auf das Gerät des Eindringlings kopiert werden.  Zudem können sie gegen den Angriff nichts unternehmen. Selbst eine Änderung des Passworts bringt nichts, da das Token mit dem Gerät des Nutzers verknüpft ist.

Die potenziellen Auswirkungen dieser Man-in-the-Cloud-Attacken sind vor allem sehr gravierend, wenn Unternehmen Online-Dienste wie Dropbox, Google Drive & Co. für die Sicherung vertraulicher Daten nutzen. Ein Angreifer könnte dadurch auf diese Informationen zugreifen – und die Infiltration wäre extrem schwer zu erkennen. Die Attacke trifft aber zumindest am Anfang noch auf eine Hürde: Der Mitarbeiter muss eine schädliche Datei zunächst öffnen, damit der Angreifer auf das Sicherheits-Token zugreifen kann.

Wenn der Perimeter der Unternehmensnetzwerke nicht mehr klar abgegrenzt ist und Firmen sich stärker der Cloud zuwenden, lässt sich diese Angriffsform immer schwerer entdecken und abwehren. Die Lösung: Die Unternehmen sollten bei der Nutzung von Filesharing-Diensten sehr vorsichtig sein und im Vorfeld genau festlegen, welche Daten in der Cloud gespeichert werden dürfen. Sie können einen Man-in-the-Cloud-Angriff komplett vermeiden, wenn sie auf Sync Ordner verzichten. Der Angriff ließe sich zudem am ersten Berührungspunkt verhindern, indem Unternehmen ihre Mitarbeiter schulen und sie darauf hinweisen, keine Dateianhänge zu öffnen oder nicht auf verdächtige Links zu klicken. Zudem gibt es Kontrollsysteme wie sogenannte Cloud-Access-Security-Broker-Services, welche die Cloud-Nutzung überwachen.

Fazit

Ein Man-in-the-Cloud-Angriff ist für Hacker eine effektive Methode für den Zugriff auf die Cloud-Ressourcen eines Unternehmens. Firmen müssen daher jede Cloud-Funktionalität sorgfältig prüfen, die sie in ihrem Netzwerk erlauben. Dazu gehören auch Funktionen, die in Produkten wie Microsoft Office automatisch aktiviert sind. Grundsätzlich sollten Unternehmen jeglichen Zugriff auf die Cloud streng kontrollieren.

Über den Autor:
Rob Shapland ist Spezialist für die Sicherheit von Webanwendungen und Penetrationstester bei First Base Technologies. Er ist davon überzeugt, dass alle Penetrationstests im Kern aus manuellen Techniken bestehen und durch automatisierte Tools ergänzt werden sollten. Weitere Fachgebiete von Shapland sind Netzwerktests und Social Engineering.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über Datensicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close