Staatlich finanzierte Hacker investieren inzwischen mehr Ressourcen denn je, um neue Cloud-Angriffsvektoren zu finden. Dabei ist eines ihrer bevorzugten Ziele Microsoft 365 (ehemals Office 365). Die Plattform wird von einer Vielzahl von Unternehmen aller Branchen und Größenordnungen genutzt. Aus der Perspektive der Angreifer macht es Sinn hier zuzuschlagen, wie Doug Bienstock, Incident Response Manager bei Mandiant erklärt: "Microsoft 365 ist eine Goldgrube. Die Mehrheit der Unternehmensdaten befindet sich wahrscheinlich in Microsoft 365 - seien es die Inhalte einzelner E-Mails, Dateien, die auf SharePoint oder OneDrive freigegeben sind oder sogar Teams-Nachrichten."

Je nachdem, wie stark sich die einzelnen Firmen auf Microsoft 365 verließen, komme die Software in fast allen Bereichen zum Einsatz, von der Erstellung von Dokumenten über die Projektplanung und Task-Automatisierung bis hin zur Datenanalyse. In einigen Fällen würde auch Azure Active Directory als Authentifizierungs-Tool für die Mitarbeiter genutzt. Ein Umstand, dessen sich die Angreifer bewusst sind, wie Josh Madeley, Incident Response Manager bei Mandiant, weiß: "Wer Zugriff auf das Active Directory erhält, kann sich damit auch Zugang zu anderen Cloud-Instanzen verschaffen."

"Diese Angreifer investieren viel Zeit und Mühe, um sich über Microsoft 365 zu informieren. Sie wissen mehr über Microsoft 365 als Ihr Administrator und einige wahrscheinlich auch mehr als Microsofts eigene Mitarbeiter", ergänzt Bienstock.

Im Rahmen ihres jüngsten Vortrags auf der Black Hat USA 2021 präsentierten Madeley und Bienstock einige der neuartigen Techniken, mit denen kriminelle Hacker Microsoft 365 Apps angreifen. Dabei demonstrierten die Sicherheitsforscher auch, wie Hackergruppen ihre Strategien weiterentwickelt haben, um nicht entdeckt zu werden und möglichst viele Daten von ihren Opfern zu extrahieren:

Verschleierungstaktiken

Im vergangenen Jahr haben APT-Gruppen neue, bislang unbekannte Techniken angewendet, um einer Detektion zu entgehen: "Eine davon ist die Herabstufung von Benutzerlizenzen von einer Microsoft 365 E5-Lizenz zu einer E3-Lizenz", weiß Madeley.

Diese Methode wird typischerweise zu Beginn eines Angriffs angewandt. Hintergrund: Die E5-Lizenz bietet Identitäts- und App-Management, Informationsschutz sowie Schutz vor Bedrohungen. Das hilft Unternehmen dabei, Bedrohungen und bösartige Aktivitäten sowohl vor Ort als auch in der Cloud-Umgebung zu erkennen und zu untersuchen. Diese Funktionen fehlen bei der E3-Lizenz.

"Ein Großteil der erweiterten Telemetrie, auf die sich Unternehmen verlassen, ist in der E5-Lizenz enthalten. Der Bedrohungsakteur spart den betroffenen Organisationen so zwar Geld, schaltet aber gleichzeitig die effektivsten Erkennungsmechanismen ab", erklärt Madeley.

Mailbox-Missbrauch

Die beiden Forscher konnten beobachten, dass APT-Gruppen dieses Lizenz-Downgrade mit einer Technik kombinierten, die bereits seit 2017 bekannt ist - nämlich dem Missbrauch von Mailbox-Ordnerrechten, der erstmals von Beau Bullock von Black Hills Information Security im Zusammenhang mit Red Teaming beschrieben wurde.

"Es gibt eine Analogie zwischen Ordnerberechtigungen auf Ihrem Desktop und Ordnerberechtigungen in einer Mailbox", erklärt Madeley. "Sie können Benutzern Berechtigungen für bestimmte Mailboxen oder bestimmte Ordner innerhalb Ihrer Mailbox zuweisen." Eine Person könne beispielsweise Lesezugriff auf den Mailbox-Ordner für spezielle Projekte einer anderen Person bekommen, wenn die beiden gemeinsam an diesen Projekten arbeiten. Oder jemand könnte seinen Kollegen Lesezugriff auf seinen Kalenderordner gewähren, um Besprechungen effizienter zu planen. Postfachordnerberechtigungen können als Einzelberechtigungen oder als Rollen zugewiesen werden, die im Wesentlichen Sammlungen von Ordnerberechtigungen sind. Die Bedrohungsakteure haben es auf Rollen mit Leseberechtigung abgesehen, zum Beispiel Autor oder Redakteur. Sie werden versuchen, diese auf Benutzer anzuwenden, die sie unter Kontrolle haben.

"Angreifer können sich das Konzept des Standardbenutzers zunutze machen: Wenn die Standardberechtigungsstufe auf etwas anderes als "keine" eingestellt ist, kann jeder Benutzer in dieser Organisation potenziell auf diesen Ordner oder dieses Postfach zugreifen. Das Gleiche gilt für einen anderen speziellen Benutzer, anonymous, der für externe, nicht authentifizierte Benutzer gedacht ist", so der Mandiant-Experte.

Madeley beobachtete, wie ein Cyberkrimineller dem Standardbenutzer eine Rolle mit Leseberechtigung zuwies. Sobald diese Änderung vorgenommen wurde, konnte jeder authentifizierte Benutzer auf diesen Mailbox-Ordner zugreifen. Die Technik ist zwar nicht neu, aber schwer zu erkennen: "Wenn Sie nicht über die Mailbox-Überwachung verfügen, die mit Ihrer Microsoft 365 E5-Lizenz einhergeht, werden Sie den Mailbox-Zugriff dieser zufälligen Benutzer im Netzwerk nicht sehen. Um das zu erkennen, müssen Sie die Postfachordnerberechtigungen aller Postfächer in der Umgebung aufzählen. Das klingt großartig, wenn Sie 50 Mitarbeiter in einem Unternehmen haben, aber wenn Sie einen Mieter mit 210.000 Benutzern haben, kann es Wochen dauern, Skripte auszuführen", so der IT-Sicherheitsexperte.

Es gebe jedoch noch andere Methoden, um solche Angriffe zu erkennen. Zum Beispiel könnten Administratoren nach EWS-Anmeldungen suchen, die für den Zugriff auf die geänderten Ordner verwendet werden: "In Azure Active Directory werden diese als nicht-interaktive Anmeldungen kodiert. Wenn die 'MailItemsAccessed'-Überprüfung aktiviert ist, können Administratoren alternativ nach Mustern für den Zugriff von Nicht-Besitzern auf ihre Postfächer suchen."

Enterprise Hijacking

Seit kurzem setzen Hackergruppen auch auf den Missbrauch von Unternehmensanwendungen. Als Anwendungen werden sowohl App-Registrierungen (erste Instanz einer Anwendung - lokale Anwendungen für das Unternehmen) als auch Unternehmensanwendungen (eine "Kopie" der App-Registrierung, die im konsumierenden Layer "lebt" - globale Anwendungen, die innerhalb eines Unternehmens verwendet werden können) bezeichnet.

"Microsoft bietet Ihnen die Möglichkeit, eine Anwendung zu registrieren, die dann API-Aufrufe an die Graph-API tätigen kann. Das können einfache Dinge sein, wie einen neuen Benutzer zu erstellen oder eine Nachricht zu lesen. Angenommen, Sie möchten eine E-Mail-Anwendung eines Drittanbieters erstellen, mit der Sie Nachrichten lesen und schreiben können: Alle API-Aufrufe sind vorhanden, um mit einer Mailbox zu interagieren", erklärt Sicherheitsforscher Madeley.

Wenn kriminelle Hacker versuchen, Unternehmensanwendungen zu kapern, suchen sie zunächst nach einer bestehenden Anwendung, die rechtmäßig konfiguriert wurde: "Dann fügen sie ihre eigenen API-Schlüssel hinzu, mit dem sie sich bei Microsoft 365 authentifizieren können. Im Anschluss stellen sie sicher, dass die Anwendung über die erforderlichen Berechtigungen für den Zugriff auf die gewünschten Ressourcen verfügt. Wenn sie keine Anwendung finden, die diese Anforderungen erfüllt, fügen sie die Berechtigungen hinzu."

Die APT-Gruppen, die die beiden Mandiant-Experten beobachteten, hatten es nur auf eine Handvoll relevanter Benutzer abgesehen. In den meisten Fällen handelte es sich um eine Gruppe, bestehend aus sechs bis zehn hochrangigen Personen. Die größte Anzahl an anvisierten Mailboxen, die die Forscher in einer Organisation sahen, betrug 93.

Wie Madeley erklärt, kann diese Technik weitreichende Auswirkungen haben: "Wenn ich eine Unternehmensanwendung entwickle, die ich mit Ihnen teile oder eine Blaupause dieser Anwendung erstelle, die andere Unternehmen nutzen und möglicherweise kaufen können und diese Anwendung wird kompromittiert, bedeutet das, dass die Angreifer auch Zugriff auf ihre Kunden haben. Es geht also nicht nur um den Schutz Ihrer eigenen Daten. Sie müssen sicherstellen, dass Ihr Anbieter in Sachen Security auf dem Stand der Dinge ist."

Golden SAML

Erfahrene Cyberspione wollen nicht nur in IT-Umgebungen eindringen, sondern das auch möglichst heimlich tun, um den Zugang so lange wie möglich aufrechtzuerhalten. An dieser Stelle kommt eine Technik namens "Golden SAML" ins Spiel. Sie wurde von mehreren APT-Gruppen eingesetzt, darunter UNC2452/DarkHalo, die für den SolarWinds Supply-Chain-Angriff verantwortlich war. Der Angriff, bei dem FireEye eines von vielen Opfern war, wurde im Dezember 2020 aufgedeckt.

SAML steht für Security Assertion Markup Language und ist ein offener Standard, der für den Austausch von Authentifizierung und Autorisierung verwendet wird. Er wurde entwickelt, um den Authentifizierungsprozess zu vereinfachen und eine einmalige Anmeldung (Single Sign-On) zu ermöglichen, die den Zugriff auf mehrere Webanwendungen mit nur einem Satz von Anmeldedaten erlaubt.

"Golden SAML ist im Grunde eine Möglichkeit für Cyberkriminelle, sich als beliebiger Benutzer bei Microsoft 365 anzumelden. Sie können alle zusätzlichen Sicherheitsanforderungen des Unternehmens umgehen", weiß Bienstock. Um zu erklären, wie mächtig diese Technik ist, verwendet er eine Analogie: "Wenn man einen Reisepass anfertigen will, braucht man etwas sehr Spezielles, das von der Regierung in einem bestimmten Büro unter Verschluss gehalten wird. Wenn man aber erst einmal die notwendigen Materialien besitzt, steht der Herstellung eines Passes für jeden beliebigen Benutzer nichts mehr im Weg. Golden SAML funktioniert ähnlich: Die Bedrohungsakteure haben es auf ein bestimmtes System im Netzwerk abgesehen. Sie stehlen einen privaten Schlüssel und können damit Authentifizierungs-Tokens für jeden beliebigen Benutzer erstellen."

Bei der Golden SAML-Technik stehlen die Angreifer den Active-Directory-Federation-Services-(AD FS-)Token-Signierschlüssel. (AD FS ist eine Funktion für Windows Server, die eine föderierte Identitäts- und Zugriffsverwaltung ermöglicht). Diese Technik ist für Angreifer praktisch, wenn sie es auf bestimmte Benutzer abgesehen haben und auf Dinge zugreifen wollen, die nur diesen Benutzern zur Verfügung stehen, wie etwa bestimmte Dateien in SharePoint oder OneDrive.

Um die Golden SAML-Technik anzuwenden, müssen Hacker normalerweise den AD-FS-Server kompromittieren, der den privaten Schlüssel enthält. Da dieser gut geschützt sein sollte, dürfte sich das als schwierig erweisen. Laut Bienstock und Madeley gibt es jedoch noch eine Möglichkeit, diesen remote zu stehlen. Die Angreifer müssen sich dazu zwar immer noch im privaten Netzwerk des Unternehmens aufhalten, aber mit dem richtigen Maß an Berechtigungen nicht unbedingt diesen speziellen Server kompromittieren. Stattdessen können sie ihren Angriff von überall aus durchführen. Zwar wurde ein solcher Fall bislang noch nicht in "freier Wildbahn" beobachtet - aber die Forscher warnen, dass sich Unternehmen gegen solche Szenarien wappnen sollten.

Active-Directory-Tricks

Große Organisationen, die geografisch verstreut sind, können mehr als einen AD-FS-Server haben. Zum Beispiel können zwei, drei oder vier solcher Server in einer Farmkonfiguration betrieben werden. Standardmäßig verwenden alle Farmknoten dieselben Konfigurationen und dasselbe Token-Signierungszertifikat: "Jeder Server verfügt über einen privaten Schlüssel, aber es muss eine Möglichkeit geben, diesen synchron zu halten. Zu diesem Zweck gibt es einen Replikationsdienst, der über das Netzwerk funktioniert und über den verschiedene Server miteinander kommunizieren können", erklärt Bienstock.

Die Angreifer könnten sich als der primäre AD-FS-Server "ausgeben", der die Replikation durchführt: "In gewisser Weise ähnelt diese Technik einem DCSync-Angriff. Bei einem solchen gibt man vor, ein Domänencontroller zu sein, um Authentifizierungsinformationen über die Domäne zu erhalten. Bei dieser Technik geben die Hacker vor, ein anderer AD-FS-Server zu sein, um sensible Informationen von den legitimen Servern im Netzwerk zu erhalten", erläutert der Sicherheitsspezialist.

Laut Madeley fokussierten er und sein Kollege sich auf AD FS, weil es einer der im Unternehmensumfeld gängigsten SAML-Provider ist. Andere Anbieter seien jedoch nicht außen vor: "Es ist wichtig zu wissen, dass das Prinzip des Golden SAML-Angriffs nicht auf AD FS beschränkt ist. Wenn man die Signierzertifikate für einen der SAML-Anbieter kompromittiert, hat man das gleiche Problem."

Big Data Exfiltration

In der Vergangenheit haben ATP-Gruppen, die es auf Microsoft 365 abgesehen hatten, meist nach bestimmten Schlüsselwörtern gesucht und dann Dateien und E-Mails heruntergeladen, die ihrer Anfrage entsprachen. Wie die Forscher nun feststellen mussten, hat sich das geändert: "Bedrohungsakteure laden größtenteils einfach alles herunter, was sich in der Mailbox des Opfers befindet. Meine persönliche Vermutung ist, dass es sich hier um einen Big-Data-Ansatz handelt. Anstatt die Suchvorgänge dort durchzuführen, wo sich die Daten befinden, warum nicht einfach so viele Daten wie möglich herunterladen und dann später die Suchvorgänge durchführen. Das hat auch den Vorteil, reagieren zu können, wenn sich die Anforderungen an die Sammlung ändern und neue Schlüsselwörter benötigt werden", meint Bienstock.

Die Security-Forscher beobachteteten eine APT-Gruppe, die eine besonders beeindruckende Menge an Daten herunterladen konnte: "Im Laufe eines Monats wurden über 350 Gigabyte gestohlen und der Angreifer hatte mindestens zwölf Monate lang Zugriff. Das deutet darauf hin, dass im Hintergrund ein gewisses Maß an Big-Data-Analysen stattfindet. Es gibt keinen Menschen, der diese E-Mails händisch durchblättert", meint Madeley.

Das sei jedoch nicht überraschend: Die Forscher hätten festgestellt, dass fortgeschrittene Bedrohungsakteure zunehmend auf Automatisierung setzen und Tools entwickeln, die viele Tasks für sie erledigen: "Die Tatsache, dass sie sich die Mühe gemacht haben, diese automatisierten Sammeltools zu entwickeln, deutet darauf hin, dass der gesamte Lebenszyklus automatisiert ist", vermutet Madeley.

Microsoft-365-Bedrohungen ausschalten

Bienstock und Madeley gehen davon aus, dass die APT-Gruppen ihre Fähigkeiten in den kommenden Jahren weiter verbessern werden. Sie empfehlen deshalb Administratoren, die Feinheiten der Cloud-Integrationen von Drittanbietern verstehen zu lernen: "Sie sollten wissen, welche Auditing-Möglichkeiten ihnen zur Verfügung stehen und welche Arten von Erkennungsfunktionen sie je nach Microsoft-365-Lizenzmodell haben," meint Madeley. Der Security-Profi empfiehlt darüber hinaus, gute Änderungskontrollprozesse in der Cloud einzurichten, damit Administratoren Veränderungen an der Infrastruktur erkennen können.

Beide Forscher sind davon überzeugt, dass kontinuierliche Weiterbildung ein Muss ist, da sich die Dinge in der Cloud deutlich schneller bewegen. Laut Madeley bemühe sich auch Microsoft, seine Cloud-Infrastruktur widerstandsfähiger und sicherer zu machen. "Aber auch die Unternehmen sollten ihren Teil zum Thema Sicherheit beitragen. Für Unternehmen ist es essenziell, zu verstehen, wo ihre IT-Sicherheit blinde Flecken aufweist." (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation Network World.