Microsoft APT-Phishing-Verstoß - Ihre nächsten Schritte
Erfahren Sie mehr über das Produkt, die Preise und Funktionen von AuthN by IDEE.
Beantragen Sie eine kostenlose Demo heute!
Die E-Mail-Konten der Top-Manager von Microsoft wurden gehackt. Was bedeutet das für Sie? Was müssen Sie wissen und was sollten Sie in Zukunft tun?
Als die Nachricht am Wochenende eintraf (20. Jan. 2024), dass die geschäftlichen E-Mail-Konten der obersten Führungskräfte von Microsoft seit November gehackt wurden. In einer weiteren gezielten Kampagne, die sich an den Computergiganten richtet, stellen viele Fragen zur Sicherheit der Systeme von Microsoft. In diesem Beitrag beschreiben wir, was passiert ist, aber was noch wichtiger ist, wir besprechen, wie Ihr Unternehmen als Nächstes vorgehen sollte, um sicherzustellen, dass Sie weiterhin geschützt sind.
Was ist mit Microsoft passiert?
Der Angriff wurde angeblich von einer mit Russland verbundenen Gruppe verübt. Dieselbe Advanced Persistent Threat (APT)-Gruppe, die für den berüchtigten Angriff verantwortlich war, hatte SolarWinds-Angriff im Jahr 2012 zurück. In diesem Fall erhielten die Angreifer den ersten Zugriff über ein Passwort, nachdem sie einen einfachen Passwort-Spray-Angriff ausgeführt hatten.
Microsoft sagte: "Ab Ende November 2023 verwendete der Bedrohungsakteur eine Passwort-Spray-Angriff, um ein veraltetes Testmandantenkonto zu kompromittieren und Fuß zu fassen. Anschließend nutzte er die Kontoberechtigungen, um auf einen sehr kleinen Prozentsatz der Unternehmens-E-Mail-Konten von Microsoft zuzugreifen, darunter Mitglieder unseres Führungsteams und Mitarbeiter in unseren Bereichen Cybersicherheit, Recht und andere Bereiche, und es wurden einige E-Mails und angehängte Dokumente exfiltriert. Die Untersuchung ergab, dass sie ursprünglich auf E-Mail-Konten abzielten, um Informationen zu Midnight Blizzard selbst zu erhalten. Wir sind dabei, Mitarbeiter zu benachrichtigen, auf deren E-Mail zugegriffen wurde.
Der Angriff war nicht das Ergebnis einer Sicherheitslücke in Microsoft-Produkten oder -Diensten. Bis heute gibt es keine Hinweise darauf, dass der Bedrohungsakteur Zugriff auf Kundenumgebungen, Produktionssysteme, Quellcode oder KI-Systeme hatte. Wir werden die Kunden benachrichtigen, wenn Maßnahmen erforderlich sind."
Wie ist der Verstoß passiert?
Der erste Zugriffsvektor war das Sprayieren von Passwörtern. Wir wissen auch, dass alle Führungskräfte von Microsoft die MFA von Microsoft verwenden. Was jedoch immer noch unbekannt ist, ist, wie die Angreifer vom Kennwort-Spraying für den ersten Zugriff zur Kompromittierung geschäftlicher E-Mails der Führungskräfte übergegangen sind, obwohl MFA aktiviert war.
Was ist Passwort-Spritzen?
Beim Versprühen von Passwörtern nimmt ein Angreifer ein häufig verwendetes Passwort und versucht, dieselben Zugangsdaten für viele Konten zu verwenden, bis sie Zugriff erhalten.
Sobald die Hacker Zugriff erhalten hatten, konnten sie die Kontoberechtigungen nutzen, um unentdeckt zu bleiben, während sie auf E-Mail-Konten von Unternehmensleitern zugriffen.
Wer ist von der neuesten Microsoft-Datenschutzverletzung betroffen?
Derzeit wird davon ausgegangen, dass die betroffenen Akteure nicht auf Kundenumgebungen zugegriffen haben, was jedoch ernsthafte Fragen zum Sicherheitsniveau der Produkte und Dienste von Microsoft aufwirft. Der Sicherheitsbereich macht 10% des Gesamtumsatzes von Microsoft aus und hat einen Jahresumsatz von 20 Mrd. USD. USD (laut @LastCallCNBC). Als das Vertrauen am Wochenende erschüttert wurde, fiel der Aktienkurs von Microsoft, und es besteht kein Zweifel, dass sich dies negativ auswirken wird.
Was die Auswirkungen auf das Unternehmen auf betrieblicher Ebene anbelangt, so wurden E-Mails, Daten und Anhänge gestohlen, und das Unternehmen kontaktiert nun alle betroffenen Mitarbeiter.
Was wir mit Sicherheit wissen, ist, dass dieser Angriff leicht hätte verhindert werden können.
Was lehrt uns das?
Dieser Angriff lehrt uns eine Reihe von Dingen. Hier ist unsere Meinung:
- Wenn Microsoft gegen diese Art von Angriffen nicht immun ist (auch wenn MS Authenticator und/oder Conditional Access aktiviert waren), sollten Unternehmen aller Größen und Reifegrade dies zur Kenntnis nehmen.
- Microsoft ist nicht allein. Diese Angriffe kommen häufig genug vor (Okta, Duo, Twilio). Die Industrie muss aufpassen. Sie muss das aktuelle Spielbuch auf den Kopf stellen, wenn es um Folgendes geht: ein übermäßiges Vertrauen in die Erkennung und Zentralisierung von Anmeldeinformationen
- Die Multifaktor-Authentifizierung sollte für alle Benutzer aktiviert werden, nicht nur für einige wenige.
Bewährte MFA-Praxis
Hier sind die Schritte, die Sie ergreifen müssen. Evaluieren Sie Ihre aktuelle MFA-Lösung.
- Verhindert es alle Phishing-Angriffe mit Anmeldeinformationen und passwortbasierten Angriffen?
- Ist es für alle Benutzer aktiviert?
Haben Sie irgendwelche bestehenden Herausforderungen bei der Aktivierung von MFA für alle Benutzer? Wenn ja, müssen Sie mit uns sprich. Wir wissen, dass es für die meisten Unternehmen nicht praktikabel ist, Schlüssel oder Smartphones für jeden Benutzer verfügbar zu haben, weshalb AuthN von IDEE eine MFA-Lösung für dasselbe Gerät ist.
Laden Sie das herunter Leitfaden für phishingsichere MFA um mehr darüber zu erfahren, wie unsere Technologie funktioniert und wie wir Sie vor solchen Angriffen schützen können.
Verwandte Beiträge
Wenn Ihnen unsere Inhalte hier gefallen, werden Sie die Inhalte lieben, die wir auf LinkedIn teilen.
Wenn Ihnen unsere Inhalte gefallen
folgen Sie uns auf LinkedIn
MIT EINEM KLICK HERUNTERLADEN: Whitepaper: Phishproof MFA
Erfahren Sie in unserem Leitfaden für PhishProof MFA, wie Sie sich, Ihr Unternehmen und Ihre Kunden vor jedem einzelnen Phishing- und passwortbasierten Angriff mit Anmeldeinformationen schützen können.