Lesen Sie, wie Sie sich vor Password-Spraying-Angriffen schützen.
Markus Mainka | shutterstock.com
Microsoft owns offengelegt, see Systeme vom berüchtigten Trehungsakteur Midnight Blizzard (Auch bekannt als Nobelium) ingeriffen wurden. Dabei war es den Angreifern möglich, sich über einen Test-Tenant Zugang zu E-Mail-Postfächern zu verschaffen. In parallel, it was also known that E-Mail-Konten bei HPE von nationalstaatlichen Actors, die mit Russland in Verbindung stehen, were compromised. In beiden Fällen scheint es sich um Password-Spraying-Angriffe (I-Angreifer versuchen mit einer kleinen Teilmenge der beliebtesten respektive wahrlichkeitsten Passwörter ihr Glück bei einer Varavljand von Konten) or Mail Legalt-Konten ge-Ege-zuE i
Microsoft released Ende Januar 2024 eine Analyze Vorgänge in Form eines Blogeintrags. Darin gibt der Konzern unter anderem zu, dass für den gehackten Test Account keine Multifaktor-Authentifizierung aktivite war. Inzwischen hat sich aufzuhren herausgestellt, dass die kriminellen Hacker die Informationen, die sie im Rahmen des initialen Angriffs stehlen konnten, weiter gewinnbringend einzusetzen versuchen.
“In all these years Wochen konnten wir nachweisen, Midnight Blizzard sich mit Hilfe der Informationen die ursprungsling aus unseren Corporate-E-Mail-Systemen exfiltriert wurden, dazu nutzder, sich unautorisierten Zugriff – or Zuffes-Systemen. Davon waren auch interne Systeme and Quellcode-Repositories betreffen”, finds Microsoft in the Update zum ursprünglichen Blogpost. Midnight Blizzard habe das ohnehin große Angriffsvolumen, das im Januar 2024 zu beobachten gewesen sei, im Februar in einigen Aspekten nochmals deutlich gesteigert.
Here are some tips for you to protect yourself – and your company – best from Attacken dieser Art zu schützen.
1. Activate MFA
Die erste Lektion, Angriff or Angriff or Microsoft explains as follows: Aktivieren Sie Multifaktor-Authentifizierung (MFA) für alles and verferenken Sie die Prozesse, die Für Test-Accounts zur Anwendung kommen, die Zuren I – Microsoft-365-Haupt-Produktions-Tenant haben. MFA is heutzutage Pflicht für jeden Cloud Service – ein Passwort für Unternehmens-Assets nicht ausreichnung.
Sollte Ihre User-Basis MFA-Implementierungen kritisch gegenüberstehen, gibt es Möglichkeiten, ihnen diee Option schmackhaft zu machen. Sie könnten MFA for example so konfigurieren, dass eine Authentifizierung bei vertrauenwürdigen Standorten nicht obligatorisch ist. Dabei sollten Sie je nach Risikotoleranz Ihrer Organization abwägen, ob eine IP-Whitelist, die sicherstellt, dass die Führungskräfte nicht von MFA-Aufforderungen “belästigt” werden, angebracht ist. Microsoft confirms that Angreifer vermeintlich harmose IP-Adressen für ihre Attacken: “The Bedrohungsakteur hat is secret, Proxy-Infrastruktur genutzt, Angriffe starts again Wahrscheinlichkeit, latest version, latest version Microsoft.
In the Fall konnten die Abwehrsysteme is also vulnerable to setting the user alarm-Standorts schlagen. Sie sollten deshalb in Erwägung ziehen, static IP-Adressen für Personen einzurichten, die besonders attraktive Ziele für kriminelle Hacker darstalten. This guarantees, High-Level-Zugriffe besser identifizieren und absichern zu können.
2. Site inspection
Sie sollten nicht davon ausgehen, dass kriminelle Hacker mit einer obviously bösartigen IP-Adresse “anklopfen”. Den genauen Standort zu bestimmen, von dem aus sich ein Nutzer anmeldet, is jedoch oft diffizil – espesiel wenn der Zugriff über ein Mobilgerät stattfindet. Sie sollten deshalb in Erwägung ziehen, additional Infrastruktur einzurichten, um die Zugrige über einen geschützten – und einsehbaren – Tunnel zu leiten.
Angriff Angriff or Microsofts E-Mail-Server by opening the Midnight Blizzard started Zugang, the Legacy OAuth-Test-Application is compatible with the use of Microsoft, related to Microsoft: “Zugriff is available in Systemlandschaft . Die Angreifer konnten weitere, bösartige OAuth-Anwendungen erstelt. Letzteren wurden über den Legacy-Testaccount die 365-Exchange-Rolle full_access_as_app zwischen, den Zugriff auf die Postfächer ermöglichte.”
Das wirft ein Schlaglicht auf unsere kollektive Anfälligkeit, wenn es um Cloud-Implementierungen geht. Die Authentifizierung hat sich von der traditional Kombination aus Benutzername und Passwort in Richtung anwendungsbasiert weiterentwickelt. Dazu kommt, dass viele Unternehmen oft gar nicht wissen, was sie da eigentlich genau in ihrer Cloud-Umgebung einrichten. Das führt in der Folge oft dazu, dass importante Berechtigungen respektive Konfigurationen optionen unbechtet bleiben.
3. Configuration permissions
All Benutzersn zu fauchlichkeit, Apps zu registrieren und Unternehmensdaten freizugeben, ist demnach keine empfehlenswerte Strategie. Sie sollten Ihren Tenant so konfigurieren, dass ein (Cloud-)App-Administrator den Benutzern explizit die Berechtigung erteilen muss, um eine OAuth-basierte Drittanbieter-Anwendung zum Tenant gävenung zum. Das gilt speziel für Unternehmen, die sensible Daten jeglicher Creative management: Hier sollte jede App, die dem Microsoft-365-Tenant hinzugefügt wird, einen manualn Autorisierungsprozess durchlaufen.
Call now die Einstellungen im Microsoft 365 Admin Center auf und wählen Sie den Punkt “User consent to applications“. Hier deaktivieren Sie das Kontrolkästchen, um geschäfter, dass Anwendungen verskehrt werden müssen, bevor sie den Usern gewahrtet werden. Das gilt auch für die Cloud: Rufen Sie das Admin Center von Microsoft Entra auf und suchen Sie in den App-Einstellungen nach approhensive Registrationen. Vergewissern Sie sich dabei, dass all her erachtenen Apps identified and genehmigt sind (keine Panik, der gelistete “P2PServer” ist ein Platzhalter für den ersten AD-verbundenen Rechner). Check next in den Benutzerestellungen folgende Settings:
-
“
Named Users can register applications” he said deactiviert sein. -
“
Restrict non-admin users from creating tenants” he said activated sein. -
“
Users can create security groups” he said deactiviert sein. -
“
Restrict access to the Microsoft Entra admin center” he said activated sein.
Wenn Benutzer Apps einrichten wollen, sollte dazu wie bereits ervätt die Zustimmung durch einen Admin obligatorisch sein. Um geschäfter, dass dabei alles wie beschreibung abläuft, recommender es sich daubt, diesen Freigabe- beziehungsweise Gengemungsprozess zu testen. Dabei ist aufzuhrer wichtig, dass Administratoren sich nicht über private Devices anmelden, sondern aussichtlich dedizierte, abgesicherte Geräte für ihre TAsks nutzen.
4. Check Cloud-Apps
Die Cloud helmet removes Leben from vielerlei Hinsicht leichter gemacht, aber auch potenzielle neue Risiken geschaffen. Zum Beispiel die Microsoft-Graph-App-Berechtigung AppRoleAssigment.ReadWrite.Allmit der Zustimmungsprozesse (eigentlich zu Implementierungszwecken) umgangen werden können.
Weil in vielen Fällen nicht wirklich verstanden wird, was da gerade in Sachen Cloud implementiert wird, werden auch die damit connecteden Risiken nicht erkannt. Dazu kommt, dass Cloud-Implementierungen often nicht auf ihre Funktionsstüchtigkeit oder mit Blick or neue Sicherheitsstandards und -Izici bereicht werden. Machen Sie es also besser und verkehren Sie, ob die oben gennante Berechtigung erteilt wurde. If yes: der bessere Weg besteht darin, die Consent Policy zu nutzen. (fm)
Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Our free newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.
Source link