Microsoft APT Phishing-Verletzung - Ihre nächsten Schritte
Erfahren Sie mehr über das Produkt, Preise und Funktionen von AuthN by IDEE.
Fordern Sie noch heute eine kostenlose Demo an!
Die E-Mail-Konten der Top-Führungskräfte von Microsoft wurden geknackt. Was bedeutet das für Sie? Was müssen Sie wissen und was sollten Sie in Zukunft tun?
Als am Wochenende (20. Januar 2024) bekannt wurde, dass die E-Mail-Konten von Microsofts Top-Managern seit November angegriffen wurden - eine weitere gezielte Kampagne, die auf den Computerriesen abzielte -, stellen sich viele Fragen zur Sicherheit der Microsoft-Systeme. In diesem Beitrag schildern wir, was passiert ist, aber vor allem erörtern wir, was die nächsten Schritte für Ihr Unternehmen sein sollten, um sicherzustellen, dass Sie geschützt bleiben.
Was ist mit Microsoft passiert?
Der Angriff wurde angeblich von einer mit Russland verbundenen Gruppe durchgeführt. Dieselbe Advanced Persistent Threat (APT)-Gruppe, die auch für den berüchtigten SolarWinds-Angriff im Jahr 2012 verantwortlich war. In diesem Fall verschafften sich die Angreifer zunächst über ein Passwort Zugang, nachdem sie einen einfachen Passwort-Spraying-Angriff durchgeführt hatten.
Microsoft sagte: "Ab Ende November 2023 verwendete der Angreifer einen Anschließend nutzte er die Berechtigungen des Kontos, um auf einen sehr kleinen Prozentsatz von Microsoft-Unternehmens-E-Mail-Konten zuzugreifen, darunter auch auf die Konten von Mitgliedern unseres Führungsteams und von Mitarbeitern in den Bereichen Cybersicherheit, Recht und anderen Funktionen, und exfiltrierte einige E-Mails und angehängte Dokumente. Die Untersuchung hat ergeben, dass sie es zunächst auf E-Mail-Konten abgesehen hatten, um Informationen über Midnight Blizzard selbst zu finden. Wir sind dabei, die Mitarbeiter, auf deren E-Mails zugegriffen wurde, zu informieren.
Der Angriff war nicht das Ergebnis einer Schwachstelle in Microsoft-Produkten oder -Diensten. Bislang gibt es keine Hinweise darauf, dass der Angreifer Zugang zu Kundenumgebungen, Produktionssystemen, Quellcode oder KI-Systemen hatte. Wir werden unsere Kunden benachrichtigen, falls Maßnahmen erforderlich sind."
Wie kam es zu der Sicherheitsverletzung?
Der erste Angriffsvektor war das Ausspähen von Passwörtern. Wir wissen auch, dass alle leitenden Angestellten von Microsoft die MFA von Microsoft verwenden. Unbekannt ist jedoch, wie die Angreifer vom Ausspähen von Passwörtern für den Erstzugriff zur Kompromittierung der geschäftlichen E-Mails der leitenden Angestellten übergingen, selbst wenn diese MFA aktiviert hatten.
Was ist Passwort-Spraying?
Beim Passwort-Spraying nimmt ein Angreifer ein häufig verwendetes Passwort und probiert es bei vielen Konten aus, bis er Zugang erhält.
Nachdem sich die Hacker Zugang verschafft hatten, konnten sie die Kontoberechtigungen nutzen, um unentdeckt zu bleiben, während sie auf die E-Mail-Konten der Unternehmensleitung zugriffen.
Wer ist von der jüngsten Sicherheitslücke bei Microsoft betroffen?
Derzeit geht man davon aus, dass der oder die Täter nicht auf Kundenumgebungen zugegriffen haben, doch wirft dies ernste Fragen über das Sicherheitsniveau der Produkte und Dienste von Microsoft auf. Der Sicherheitsbereich macht 10 % der Gesamteinnahmen von Microsoft aus und hat einen Jahresumsatz von 20 Mrd. Dollar (laut @LastCallCNBC). Da das Vertrauen über das Wochenende erschüttert wurde, fiel der Aktienkurs von Microsoft, und es besteht kein Zweifel, dass dies negative Auswirkungen haben wird.
Was die Auswirkungen auf das Unternehmen auf betrieblicher Ebene betrifft, so wurden E-Mails, Daten und Anhänge gestohlen, und das Unternehmen kontaktiert nun alle Mitarbeiter, die davon betroffen sind.
Was wir mit Sicherheit wissen, ist, dass dieser Anschlag leicht hätte verhindert werden können.
Was lehrt uns das?
Dieser Angriff lehrt uns eine Reihe von Dingen. Hier ist unsere Einschätzung:
- Wenn Microsoft gegen diese Art von Angriffen nicht immun ist (selbst wenn MS Authenticator und/oder Conditional Access aktiviert waren), sollten Unternehmen jeder Größe und jedes Reifegrads dies zur Kenntnis nehmen.
- Microsoft ist nicht allein. Solche Angriffe kommen häufig genug vor (Okta, Duo, Twilio). Die Industrie muss aufhorchen. Sie muss das derzeitige Regelwerk über den Haufen werfen, wenn es um Folgendes geht: ein übermäßiges Vertrauen in die Erkennung und die Zentralisierung von Anmeldedaten
- Die Multi-Faktor-Authentifizierung sollte für alle Benutzer aktiviert werden, nicht nur für einige wenige.
Bewährte MFA-Praxis
Hier sind die Schritte, die Sie unternehmen müssen. Bewerten Sie Ihre aktuelle MFA-Lösung.
- Verhindert es alle Phishing-Angriffe auf Zugangsdaten und passwortbasierte Angriffe?
- Ist sie für alle Benutzer aktiviert?
Stehen Sie vor der Herausforderung, MFA für alle Benutzer zu aktivieren? Wenn ja, dann sollten Sie mit uns sprechen. Wir wissen, dass es für die meisten Organisationen nicht praktikabel ist, jedem Nutzer einen Schlüssel oder ein Smartphone zur Verfügung zu stellen. Deshalb ist AuthN von IDEE eine geräteübergreifende MFA-Lösung.
Laden Sie den Leitfaden zur phish-sicheren MFA herunter, um mehr darüber zu erfahren, wie unsere Technologie funktioniert und wie wir Sie vor dieser Art von Angriffen schützen können.
Verwandte Beiträge
Wenn Ihnen unsere Inhalte hier gefallen, werden Sie auch die Dinge lieben, die wir auf LinkedIn teilen.
Wenn Ihnen unsere Inhalte gefallen
folgen Sie uns auf LinkedIn
MIT EINEM KLICK HERUNTERLADEN: Whitepaper: Phishing-sichere MFA
Erfahren Sie, wie Sie sich, Ihr Unternehmen und Ihre Kunden mit unserem Leitfaden für Phish-Proof MFA vor Phishing-Angriffen und passwortbasierten Angriffen schützen können.