Logo cloudcoop gelb weiß - Ihr IT-Dienstleister für Unternehmen - IT-Dienstleistungen aus Bielefeld - Jobs

Cyberangriff auf einen Microsoft 365 Tenant

Die Implementierung von Sicherheit im IT-Sektor

Hallo liebe Kunden, Webseitenbesucher und Interessierte Leser,

Wie ihr vermutlich gesehen habt beschäftigen wir uns stark mit der Implementierung von Sicherheit im IT-Sektor, speziell im Bereich Microsoft und Cloud-Dienste.

Immer wieder erkennen wir dabei Schwachstellen bei unseren neuen Kunden im Bereich Microsoft 365 & Entra ID. Diese sind in Teilen sehr gravierend und lassen Angreifern dabei keine großen Hürden nehmen, um an die hinterlegten Daten zu gelangen.

Dabei gilt immer eine wichtige Regel: „Zugriff auf Daten und Informationen geschieht meist durch die Verwendung einer Identität. „

Was ist eine Identität?

Eine Identität ist ein logisches Objekt die meist den eigenen Benutzer darstellt. Mit der eigenen Identität „Andres -Miguel Sichel“ melde ich mich an meinem Computer an, und somit auch an Microsoft 365 Diensten. Dazu zählen Outlook, Teams, OneDrive, SharePoint Yammer usw….

Sprich meine Identität ist der Schlüssel zu den Informationen welche Digital abgelegt sind, sowohl in der Cloud als auch auf meinem Computer. Hat ein Angreifer Zugang zu meiner Identität, hat er auch Zugang zu den für diese Identität berechtigte Ressourcen und Informationen.

Da wir nun wissen was eine Identität ist, schreibe ich mal dazu wie der sichere Umgang mit diesen ist.

Cyberangriff auf Identitäten eines neuen Kunden

Was tun bei einem Cyberangriff?

Wir haben eine Anforderung erhalten, ein Kunde könne keine E-Mails mehr aus Exchange Online versenden. Relativ schnell wurde klar, der Tenant ist gekapert worden und Microsoft hat die Verwendung gesperrt. Der Kunde kann aktuell nicht arbeiten, Worst-Case für jedes Unternehmen.

Unser Verdacht viel zunächst blindlinks auf eine sich in der Quarantäne befindliche Identität. Ich habe mich auf den Tenant aufgeschaltet und mir als erstes einige Grundeinstellungen angesehen. Es sind tatsächlich keine Mails mehr versandt worden. Die Identität war nicht gesperrt bzw. in der Quarantäne. Microsoft hat den Tenant gesperrt.

Ich habe mir zunächst diefolgenden Entra ID Settings angesehen:

• Sicherheitsstandards –> diese waren ausgeschaltet !!!
• Lizenzpaket –> Exchange Online Plan 1
• Conditional Access Policys –> keine vorhanden
• Benutzerlogins –> sehr auffällige Anmeldungen
• Mehr als 20.000 neu angelegte E-Mail aktivierte Benutzer

Daraufhin habe ich mir den Mailfluss angesehen und festegstellt dass:

• entliche Transportregeln vorhanden waren
• neue Domains registriert wurden
• etliche Connectoren angelegt wurden
• Nachrichtenheader entfernet wurden

So sieht ein Cyberangriff auf die Identität eines neuen Kunden aus?

Nachfolgend einige Bilder wie sich dies dargestellt hat. Klicke auf ein Bild, um es in voller Größe zu sehen.

Welche Aktivitäten haben wir nun unternommen?

Das machen wir bei einem Cyberangriff auf eine neue Identität!

• Alle nicht autorisierten Domänen entfernt
• Domänen die bisher nicht entfernt werden konnten das senden verboten
• Alle unautorisierte Benutzerobjekte gelöscht
• Transportregeln entfernt
• Connectoren entfernt
• Sicherheitsstandards aktiviert und somit MFA für alle aktiviert
• Kennwörter geändert
• Neuen globalen Admin angelegt
• Vorhandenen Administrative Benutzerkonten den privilegierten Status entfernt
• Outlook Regeln geprüft

Welche Maßnhamen sollten unternommen werden, um ein Angriffszenario zu unterbinden?

Vorsorglich einen Cyberangriff verhindern!

Wie eingangs erwähnt unterstützen wir bei der Wiederherstellung des Normalbetriebs und geben unserem Kunden Empfehlungen mit was zu tun wäre. Ich gebe hier zunächst nur Stichpunktartige Empfehlungen.

Lizenz
Wir empfehlen die Verwendung von mindestens „Entra ID Plan 1“! Dem Endkunden sollte hier ein Lizenzpaket angeboten werden, wie Business Premium, welches die „Entra ID Plan 1 Lizenz“ beinhaltet. Weiterhin ist in der BusinessPremium auch die Option für SafeLinks & SafeAttchements enthalten um die Angriffsfläche via E-Mail zu verringern.

App Registration
In jedem Tenant kann im Standard jeder User eine App Registrieren, durch klick auf einen Link kann somit bspw. eine App FullAccess auf die eigene Mailbox erhalten. Dies sollte unterbunden werden und ausschließlich mit Genehmigung durch den Administrator erfolgen.

Tenant-Settings
Die Einstellungen des Tenants im Microsoft Admin Center sollten geprüft werden. Hier sind etliche Konfigurationseinstellungen zu setzen um die Sicherheit zu erhöhen. Dazu zählen:

• Einstellungen und Dienste
• Organisationseinstellungen
• Sicherheit und Datenschutz

Authentication Policys

Microsoft wird Am 30. September 2025 die Legacyrichtlinien für mehrstufige Authentifizierung und Self-Service-Kennwortzurücksetzung einstellen. Ab dem Moment greifen nur noch die neuen Policys. 

Migrieren der Richtlinie für Authentifizierungsmethoden – Microsoft Entra ID | Microsoft Learn

Conditional Access
Implementieren eines Conditional Access Models bei dem mittels Regelwerk etliche Zugriffe anhand folgender Signale der Zugriff gestattet oder blockiert wird:

• Benutzer und Gruppen
• IP & Standort
 Gerät
 Applikation
• Real-Time Risk detection
• und ggf. Defender for Cloud Apps

Die Implementierung von Standorten ist ebenfalls ein wichtiger Baustein!

Ich habe euch mal ein Bild der Conditional Access Policys aus meinem Tenant aufgezeichnet.

Klicke auf das Bild, um es in voller Größe zu sehen.

Fazit: Cyberangriff auf einen Microsoft 365 Tenant

Sicherheitsbewusstsein für hochkomplexe Lösungen!

Es ist gar nicht so einfach den Überblick zu behalten. 

Cloud, OnPremise, Hybrid. SaaS, IaaS, PaaS… Begrifflichkeiten mit denen wir um uns werfen, aber unter umständen kaum verstehen! In unserem WIKI könnt Ihr viele komplexe Begriffe nachlesen.

Wenn wir eine hochkomplexe Lösung von Microsoft wie Exchange Online beziehen, dann müssen wir auch verstehen wie diese funktioniert und uns als ITler diese sehr genau ansehen. Es reicht eben nicht aus mal eben die Mailbox von A nach B zu verschieben, den MX-Record zu konfigurieren und noch zwei weitere DNS-Einträge zu setzen.

Hier hat man auch gut gesehen was ein Angreifer mit der PowerShell alles tun kann. Per Journal alle Mails nach extern leiten ist an sich eine gute Idee um die Mails auch nach dem Angriff noch zu analysieren. Zumal diese Option nicht mehr so einfach ersichtlich ist, da die Funktion in das Microsoft Purview Portal migriert wurde: Exchange (Legacy) – Microsoft Purview .

Weiterhin müssen wir auch ein Sicherheitsbewusstsein für unsere Kunden schaffen denen wir M365 Dienste anbieten. Das können auch unsere internen Kollegen sein, wenn du in der internen IT arbeitest.

Wenn ihr M365 für neue Kunden zum ersten mal bereitstellt, schaut euch den Ablauf genau an und achtet auf den ersten Schritt:

• Identitäten
• OnPremise Apps & Services
• Sicherheit & Compliance
• Enpunkteverwaltung
• Apps & Services
• User Adoption & Trinaing

Das erste und wichtigste ist und bleibt die Identität, wie ihr oben gesehen habt! Sichert diese und schützt euren Tenant mit den o.g. Maßnahmen.

Quelle

https://asichel.de/2024/06/18/entra-id-ein-gekaperter-tenant-und-was-wir-daraus-lernen-koennen/

Picture of Andres-Miguel Sichel - Geschäftsführer cloudcoop GmbH

Andres-Miguel Sichel - Geschäftsführer cloudcoop GmbH

Hallo Besucher, ich bin Andi Sichel. Hier schreibe ich über verschieden IT-Themen aus den Bereichen Windows Server, Exchange Server, Windows Client und weiteren spannenden Produkten, meist von Microsoft! Ich freue mich wenn, Dir Beiträge aus diesen Bereichen helfen können. Wenn Dir etwas gefällt, hinterlasse doch einen Kommentar oder besuch mich auf Facebook. Viel Freude beim lesen!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

  • cloudcoop GmbH
  • 2023 – cloudcoop
Sponsoren Club Digital Logo
Logo Hiscox Versicherung
Logo Microsoft 365
Microsoft Logo Modern Work
Logo cloudcoop blau weiß - Ihr IT-Dienstleister für Unternehmen - IT-Dienstleistungen aus Bielefeld