Microsoft: Niemandem vertrauen

Microsoft rät Unternehmen zu einer „Zero-Trust“-Mentalität, um zukünftige Angriffe mit einer ähnlichen Raffinesse wie die SolarWinds-Attacke zu verhindern. Man dürfe nicht davon ausgehen, dass alles innerhalb eines IT-Netzwerks sicher sei. Unternehmen sollten dagegen eher glauben, dass die Sicherheit von Anwenderkonten, Endgeräten, dem Netzwerk und anderen Ressourcen verletzt wird und diese explizit überprüfen.

Wie Microsofts Director of Identity Security, Alex Weinert, in einem Blogpost anmerkt, waren die drei Hauptangriffsvektoren kompromittierte Anwender-Konten, kompromittierte Anbieter-Konten und kompromittierte Anbieter-Software.

Tausende von Unternehmen waren von dem Mitte Dezember bekannt gewordenen SolarWinds-Angriff betroffen. Die Hacker, bekannt als UNC2452/Dark Halo, hatten es auf die Build-Umgebung für SolarWinds‘ Orion-Software abgesehen und manipulierten den Prozess, bei dem ein Programm aus dem Quellcode zu einer ausführbaren Binärdatei kompiliert wird, die von Kunden eingesetzt wird.

Der US-Sicherheitsanbieter Malwarebytes hat auch zugegeben, dass er von denselben Hackern angegriffen wurde, allerdings nicht über die manipulierten Orion-Updates. Die Hacker drangen stattdessen in Malwarebytes ein, indem sie Anwendungen mit privilegiertem Zugriff auf die Office 365- und Azure-Infrastruktur ausnutzten, was den Angreifern „Zugang zu einer begrenzten Teilmenge“ der internen E-Mails von Malwarebytes verschaffte.

Laut Weinert nutzten die Angreifer Lücken in der „expliziten Verifizierung“ in jedem der Hauptangriffsvektoren aus. „Wo Benutzerkonten kompromittiert wurden, wurden bekannte Techniken wie Passwort-Spray, Phishing oder Malware verwendet, um die Anmeldedaten der Anwender zu kompromittieren und dem Angreifer kritischen Zugang zum Kundennetzwerk zu verschaffen“, schreibt Weinert.

Er argumentiert, dass Cloud-basierte Identitätssysteme wie Azure Active Directory (Azure AD) sicherer sind als On-Premises-Identitätssysteme, da letztere nicht über Cloud-basierte Schutzmechanismen wie den Passwortschutz von Azure AD zum Ausfiltern von schwachen Passwörtern, jüngste Fortschritte bei der Erkennung von Passwort-Sprays und verbesserte KI zur Verhinderung von Account-Kompromittierungen verfügen.

In den Fällen, in denen der Angreifer erfolgreich war, stellte Weinert fest, dass hochprivilegierten Anbieterkonten zusätzliche Schutzmaßnahmen wie Multi-Faktor-Authentifizierung (MFA), IP-Bereichseinschränkungen, Geräte-Compliance oder Zugriffsüberprüfungen fehlten. Microsoft hat festgestellt, dass 99,9 % der kompromittierten Konten, die es jeden Monat verfolgt, keine MFA verwenden.

MFA ist eine wichtige Kontrolle, da kompromittierte Konten mit hohen Privilegien verwendet werden könnten, um Security Assertion Markup Language (SAML)-Token für den Zugriff auf Cloud-Ressourcen zu fälschen. Wie die US Nehörde NSA in ihrer Warnung nach Bekanntwerden des SolarWinds-Hacks feststellte: „Wenn die böswilligen Cyber-Akteure nicht in der Lage sind, einen nicht-premises Signierschlüssel zu erhalten, würden sie versuchen, genügend administrative Privilegien innerhalb des Cloud-Tenants zu erlangen, um eine böswillige Zertifikats-Vertrauensbeziehung zum Fälschen von SAML-Tokens hinzuzufügen.“

Auch diese Angriffstechnik könnte vereitelt werden, wenn es strengere Berechtigungen für Anwenderkonten und Geräte gäbe. „Selbst im schlimmsten Fall der SAML-Token-Fälschung ermöglichten übermäßige Anwenderberechtigungen und fehlende Geräte- und Netzwerkrichtlinieneinschränkungen die Angriffe“, stellt Weinert fest.

„Das erste Prinzip von Zero Trust ist die explizite Verifizierung – stellen Sie sicher, dass Sie diese Verifizierung auf alle Zugriffsanfragen ausdehnen, auch auf die von Anbietern und insbesondere auf die aus On-Premises-Umgebungen.“

Der Microsoft-Veteran erinnert schließlich daran, warum der am wenigsten privilegierte Zugriff entscheidend ist, um die Möglichkeiten eines Angreifers zu minimieren, sich seitlich zu bewegen, sobald er einmal in einem Netzwerk ist. Dies soll helfen, Angriffe abzumildern, indem der Zugriff auf eine Umgebung von einem Anwender, einem Gerät oder einem Netzwerk, das kompromittiert wurde, eingeschränkt wird.

Bei Solorigate – der Name, den Microsoft für die SolarWinds-Malware verwendet – „nutzten die Angreifer weitreichende Rollenzuweisungen, Berechtigungen, die über die Rollenanforderungen hinausgingen, und in einigen Fällen wurden Konten und Anwendungen aufgegeben, die eigentlich gar keine Berechtigungen haben sollten“, so Weinert.

Weinert räumt ein, dass es sich bei dem SolarWinds-Hack um einen „wirklich bedeutenden und fortgeschrittenen Angriff“ handelte, aber die verwendeten Techniken können mit diesen Best Practices in ihrem Risiko deutlich reduziert oder abgeschwächt werden.

WEBINAR

Beim Endpunkt-Schutz zählt jede Sekunde: Warum die Entschärfung in Echtzeit entscheidend ist

Carsten Maceus, Systems Engineer bei Fortinet, erläutert in diesem Webinar, wie eine moderne IT-Sicherheitsarchitektur in Unternehmen aussehen sollte. Er illustriert dies am Beispiel eines Fußballstadions wo Bengalos, Flitzer, Ordner und Zuschauer agieren. Spannend.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago