Exchange Online-Hack:
So wurde Microsoft ausgetrickst
Kürzlich wurde bekannt, dass ausgerechnet Microsoft selbst Opfer einer Schwachstelle geworden ist, durch die sich eine staatlich finanzierte Hackergruppe Zugriff auf Exchange Online-Konten verschaffen konnte. Nun erklärt der Konzern, wie das passieren konnte.
Midnight Blizzard - auch bekannt als APT29 - ist vermutlich die Gruppe, die Regierungsorganisationen, Softwareentwickler und IT-Dienstleister in den USA und Europa seit Monaten ins Visier genommen hat.
Diese durch den russischen Auslandsgeheimdienst (SVR) unterstützte Cyberspionage-Gruppe, soll sich eine Schwachstelle der Exchange Online-Konten zunutze machen, wobei der zu lasche Umgang mit den Absicherungsmaßnahmen vonseiten der Administratoren Midnight Blizzard in die Karten spielt.
Laut Microsoft starteten die Bedrohungsakteure Residental-Proxys und Brute-Force-Angriffe ("Password Spraying"), um Konten anzugreifen. Einer der so geknackten Konten war im Falle des Microsoft-Hacks ein sogenannter "Legacy, Non-Production Test Tenant Account" war - also nicht einer Person zugeordnet, sondern für Testzwecke erstellt.
Als Microsoft dies als Einfallstor benannte, kam die Frage auf, ob die empfohlene Multi-Faktor-Authentifizierung (MFA) auf diesem Testkonto aktiviert war und wie ein Test-Legacy-Konto genügend Privilegien haben konnte, um sich dann seitlich auf andere Konten im Unternehmen auszubreiten.
Das sei aber nicht der Fall gewesen. Microsoft hat nun bestätigt, dass MFA für dieses Konto nicht aktiviert war, sodass die Bedrohungsakteure auf die Systeme von Microsoft zugreifen konnten, sobald sie das richtige Kennwort geknackt hatten. Microsoft erklärt außerdem, dass dieses Testkonto Zugriff auf eine OAuth-Anwendung mit erweitertem Zugriff auf die Unternehmensumgebung von Microsoft hatte. Das war überaus unvorsichtig.
Dieser erweiterte Zugriff ermöglichte es den Bedrohungsakteuren, weitere OAuth-Anwendungen zu erstellen, um sich Zugang zu anderen Unternehmens-Mailboxen zu verschaffen. Midnight Blizzard nutzte den anfänglichen Zugang, um eine ältere OAuth-Testanwendung zu identifizieren und zu kompromittieren, die über einen erweiterten Zugriff auf die Microsoft-Unternehmensumgebung verfügte. Infografik Hacking & Cyberkriminalität: Die größten Datendiebstähle der Welt
So wurde ein neues Benutzerkonto erstellt, um den vom Akteur kontrollierten bösartigen OAuth-Anwendungen die Zustimmung in der Microsoft-Unternehmensumgebung zu erteilen. Damit schaffen die Angreifer also eine weitere Hintertür, um sich selbst hereinzulassen.
"Anhand der Informationen, die Microsoft bei der Untersuchung von Midnight Blizzard gewonnen hat, hat Microsoft Threat Intelligence festgestellt, dass derselbe Akteur auch andere Organisationen ins Visier genommen hat, und im Rahmen unserer üblichen Benachrichtigungsprozesse haben wir damit begonnen, diese betroffenen Organisationen zu benachrichtigen", warnt Microsoft in dem neuen Update seines Berichts.
Anfang dieser Woche gab Hewlett Packard Enterprise (HPE) bekannt, dass sich Midnight Blizzard unbefugten Zugang zu seiner Microsoft Office 365-E-Mail-Umgebung verschafft hat. Vermutlich wurden dort schon seit Mai 2023 Daten abgeschöpft.
Microsoft empfiehlt nun vor allem die Verwendung gezielter Suchabfragen in Microsoft Defender XDR und Microsoft Sentinel, um verdächtige Aktivitäten zu identifizieren und zu untersuchen.
Siehe auch:
Microsoft bestätigt weitere Angriffe
Microsoft hatte dabei erst vor wenigen Tagen bestätigt, dass die Hackergruppe des russischen Auslandsgeheimdienstes, die sich im November 2023 in die E-Mail-Konten der Microsoft-Führungskräfte hackte, im Rahmen dieser Aktion auch in andere Organisationen eingedrungen ist.Midnight Blizzard - auch bekannt als APT29 - ist vermutlich die Gruppe, die Regierungsorganisationen, Softwareentwickler und IT-Dienstleister in den USA und Europa seit Monaten ins Visier genommen hat.
Diese durch den russischen Auslandsgeheimdienst (SVR) unterstützte Cyberspionage-Gruppe, soll sich eine Schwachstelle der Exchange Online-Konten zunutze machen, wobei der zu lasche Umgang mit den Absicherungsmaßnahmen vonseiten der Administratoren Midnight Blizzard in die Karten spielt.
Laut Microsoft starteten die Bedrohungsakteure Residental-Proxys und Brute-Force-Angriffe ("Password Spraying"), um Konten anzugreifen. Einer der so geknackten Konten war im Falle des Microsoft-Hacks ein sogenannter "Legacy, Non-Production Test Tenant Account" war - also nicht einer Person zugeordnet, sondern für Testzwecke erstellt.
Vorsichtig agiert
"Bei dieser beobachteten Midnight Blizzard-Aktivität hat der Täter seine Passwort-Spray-Angriffe auf eine begrenzte Anzahl von Konten zugeschnitten und eine geringe Anzahl von Versuchen verwendet, um die Erkennung zu umgehen und Kontosperrungen aufgrund der Anzahl der Fehlversuche zu vermeiden", erklärt Microsoft.Als Microsoft dies als Einfallstor benannte, kam die Frage auf, ob die empfohlene Multi-Faktor-Authentifizierung (MFA) auf diesem Testkonto aktiviert war und wie ein Test-Legacy-Konto genügend Privilegien haben konnte, um sich dann seitlich auf andere Konten im Unternehmen auszubreiten.
Das sei aber nicht der Fall gewesen. Microsoft hat nun bestätigt, dass MFA für dieses Konto nicht aktiviert war, sodass die Bedrohungsakteure auf die Systeme von Microsoft zugreifen konnten, sobald sie das richtige Kennwort geknackt hatten. Microsoft erklärt außerdem, dass dieses Testkonto Zugriff auf eine OAuth-Anwendung mit erweitertem Zugriff auf die Unternehmensumgebung von Microsoft hatte. Das war überaus unvorsichtig.
Dieser erweiterte Zugriff ermöglichte es den Bedrohungsakteuren, weitere OAuth-Anwendungen zu erstellen, um sich Zugang zu anderen Unternehmens-Mailboxen zu verschaffen. Midnight Blizzard nutzte den anfänglichen Zugang, um eine ältere OAuth-Testanwendung zu identifizieren und zu kompromittieren, die über einen erweiterten Zugriff auf die Microsoft-Unternehmensumgebung verfügte. Infografik Hacking & Cyberkriminalität: Die größten Datendiebstähle der Welt
So wurde ein neues Benutzerkonto erstellt, um den vom Akteur kontrollierten bösartigen OAuth-Anwendungen die Zustimmung in der Microsoft-Unternehmensumgebung zu erteilen. Damit schaffen die Angreifer also eine weitere Hintertür, um sich selbst hereinzulassen.
Erkannt an der Taktik
Microsoft identifizierte die Angreifer letztendlich durch Spuren in Exchange Web Services (EWS)-Protokollen in Kombination mit einem Abgleich bereits bekannter Taktiken und Verfahren, die von russischen Hackergruppen verwendet werden. Auf der Grundlage dieser Erkenntnisse war Microsoft in der Lage, ähnliche Angriffe zu erkennen, die von Midnight Blizzard durchgeführt wurden und auf andere Organisationen abzielten."Anhand der Informationen, die Microsoft bei der Untersuchung von Midnight Blizzard gewonnen hat, hat Microsoft Threat Intelligence festgestellt, dass derselbe Akteur auch andere Organisationen ins Visier genommen hat, und im Rahmen unserer üblichen Benachrichtigungsprozesse haben wir damit begonnen, diese betroffenen Organisationen zu benachrichtigen", warnt Microsoft in dem neuen Update seines Berichts.
Anfang dieser Woche gab Hewlett Packard Enterprise (HPE) bekannt, dass sich Midnight Blizzard unbefugten Zugang zu seiner Microsoft Office 365-E-Mail-Umgebung verschafft hat. Vermutlich wurden dort schon seit Mai 2023 Daten abgeschöpft.
Microsoft empfiehlt nun vor allem die Verwendung gezielter Suchabfragen in Microsoft Defender XDR und Microsoft Sentinel, um verdächtige Aktivitäten zu identifizieren und zu untersuchen.
Zusammenfassung
- Microsoft Opfer einer Hackergruppe aus Russland
- Exchange Online-Konten durch Schwachstelle betroffen
- Hackergruppe Midnight Blizzard griff auch andere an
- Angriffe mittels Proxy und Brute-Force auf Konten
- Testkonto ohne Multi-Faktor-Authentifizierung genutzt
- OAuth-App gab Hackern erweiterten Unternehmenszugriff
- Microsoft entdeckte Angriffe durch Analyse von Protokollen
- Warnung an andere Organisationen vor ähnlichen Angriffen
- HPE meldet unbefugten Zugriff auf Office 365 seit Mai 2023
Siehe auch:
- Russen spähen Ziele für Luftangriffe mit gehackten Webcams aus
- Hacker können sich dauerhaft in fremde Google-Accounts einnisten
- Berliner Hacker knacken den Tresor zu Teslas Autopilot-System
- China soll geklaute KI-Technologien als Hacking-Waffe einsetzen
- Quellcode von GTA 5 ein Jahr nach Rockstar-Hack durchgesickert
Thema:
Neueste Downloads
Neue Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen