Geklauter Microsoft Master Key - Was können Unternehmen gegen Cloud Schwachstellen tun?
Zusammenfassung: Eine der wohl bedeutendsten Bedrohungen wurde im Juli 2023 aufgedeckt, als eine Schwachstelle in Microsofts Cloud-Diensten festgestellt wurde.
Dominik Münsterer
In diesem Artikel:
Im digitalen Zeitalter sind Cyber-Sicherheitsbedrohungen allgegenwärtig und entwickeln sich ständig weiter. Eine der wohl bedeutendsten Bedrohungen wurde im Juli 2023 aufgedeckt, als eine Schwachstelle in Microsofts Cloud-Diensten festgestellt wurde. Diese Schwachstelle, die durch eine fehlerhafte Konfiguration des Microsoft-Cloud-Dienstes entstand, ermöglichte es Angreifern, durch den Diebstahl eines MSA Keys Zugriff auf vertrauliche Daten von zu erlangen und diese zu manipulieren. Dieser Artikel wird die Schwachstelle, ihre Auswirkungen und die Bedeutung von Logging (Ereignisprotokollierung) und Security Operations Centern (SOCs) zur Erkennung solcher Advanced Persistent Threat (APT) Aktivitäten diskutieren.
Verdächtige Aktivitäten in Microsoft Cloud
Im Juli 2023 identifizierte eine Bundesbehörde in den USA verdächtige Aktivitäten in ihrer Microsoft 365 (M365) Cloud-Umgebung. Die Behörde meldete die Aktivität an Microsoft und die Cybersecurity and Infrastructure Security Agency (CISA), und Microsoft stellte fest, dass die Hackergruppe “Storm-0558”, ein Advanced Persistent Threat (APT), also gut ausgebildete, typischerweise staatlich gesteuerte Hackergruppierung, auf unklassifizierte Exchange Online Outlook-Daten zugreifen und diese extrahieren konnten.
Später stellte sich heraus, dass der Umfang weit über Exchange Online hinaus ging und den Angreifern auch Zugriff auf SharePoint, OneDrive, Teams sowie benutzerdefinierte Azure AD Applikationen ermöglichte.
CISA und das Federal Bureau of Investigation (FBI) veröffentlichten daraufhin eine gemeinsame Cybersicherheitsberatung, um kritischen Infrastrukturorganisationen Anleitung zur Verbesserung der Überwachung von Microsoft Exchange Online-Umgebungen zu geben. Organisationen können ihre Cyber-Position verbessern und sich positionieren, um ähnliche bösartige Aktivitäten zu erkennen, indem sie die in dieser Beratung empfohlenen Protokollierungsmaßnahmen für die Zukunft umsetzen. Organisationen, die verdächtige, anomale Aktivitäten feststellen, sollten sich an Microsoft wenden, um mit Abhilfemaßnahmen fortzufahren, da die Cloud-basierte Infrastruktur betroffen ist, und sollten auch CISA und das FBI informieren.
Wie kann eine Kompromittierung festgestellt werden?
Um solche APT-Aktivitäten zu erkennen, sind Logging und SOCs unerlässlich. Logging ermöglicht es Unternehmen, Aktivitäten in ihrem eigenen Netzwerk, aber auch in ausgelagerten Cloud Infrastrukturen zu überwachen und zu protokollieren. Dies kann dazu beitragen, ungewöhnliche oder verdächtige Aktivitäten zu erkennen, die auf eine mögliche Sicherheitsbedrohung hinweisen könnten. Darüber hinaus können Logs auch dazu verwendet werden, um nach einem Sicherheitsvorfall eine forensische Analyse durchzuführen und zu verstehen, wie der Vorfall passiert ist und wie er verhindert werden kann.
SOCs spielen eine entscheidende Rolle bei der Überwachung von Netzwerkaktivitäten und der Reaktion auf Sicherheitsvorfälle. Sie sind mit hochqualifizierten Sicherheitsexperten besetzt, die in der Lage sind, Sicherheitsvorfälle zu erkennen, zu analysieren und darauf zu reagieren. SOCs können auch proaktive Maßnahmen ergreifen, um Sicherheitsbedrohungen zu verhindern, indem sie Sicherheitslücken identifizieren und beheben und Sicherheitsrichtlinien und -verfahren implementieren und durchsetzen.
Audit Logging
Insbesondere Audit Logging ist ein wichtiger Aspekt hinsichtlich der festgestellten Schwachstelle. Es ermöglicht es Unternehmen, detaillierte Aufzeichnungen über Aktivitäten in ihren Cloud Infrastrukturen zu führen. Für unsere Kunden umfasst dies eine Vielzahl von Aktivitäten, darunter:
- Zugriffe auf SharePoint/OneDrive/Teams Daten
- Hohe Anzahl an gleichzeitigen Zugriffen auf relevante Daten
- Teilen von Daten mit Nutzern innerhalb/außerhalb der Organisation
- Zugriff auf Exchange Postfächer
- Zugriff auf einzelne Mails in Postfächern
- Senden/Empfangen von Mails mit allen relevanten Meta-Informationen (Absender/Empfänger, IP Adressen, Anhänge, DKIM/SPF Informationen)
- Erfolgreiche Logins an M365 Dienste jeder Art
- Fehlgeschlagene Logins an M365 Dienste jeder Art
- Login von unbekannten Quellen
... und hunderte weitere sicherheitsrelevante Aktivitäten, die Sie als Organisation mitbekommen müssen.
Sichtbarkeit schafft Sicherheit
Als Organisation sollten Sie sich die folgenden Fragen stellen um die Integrität, Verfügbarkeit und Vertraulichkeit Ihrer Daten sicherzustellen:
Wie kann ich feststellen, wer auf die Daten meiner Organisation zugreift?
Wie kann ich verdächtige Aktivitäten in meiner Cloud-Umgebung erkennen und überwachen?
Wie gehe ich mit festgestellten Datenlecks um, wenn ich nicht genau weiß, welche Daten abhanden gekommen sind?
Wie kann ich meine Organisation besser verstehen und definieren, welche Aktionen erlaubt/verboten sind?
Gerne unterstützen wir Sie bei Ihren Herausforderungen bzgl. Protokollierung, Detektion & Reaktion.
Weiterführende Artikel
- Erkennung von Ransomware: Bewährte Methoden – So erkennen Sie Schadsoftware, bevor sie Schaden anrichtet.
- Was ist ein SIEM System? – Zentrales Monitoring als Schutzschicht gegen APT-Angriffe.
