So schützen Sie Ihre Exchange Online Umgebung vor dem Angriff über bösartige OAuth-Apps
Vor Kurzem hat Microsoft Details zu Angriffen veröffentlicht, bei denen schwach geschützte Admin-Accounts als Einfallstor in diverse Tenants genutzt wurden. Kern dieser Angriffsserie war das Erlangen von administrativen Rechten auf Tenants mithilfe von gestohlenen Zugangsdaten oder Credential Stuffing (also bekanntgewordene Zugangsdaten in einem Dienst für Zugriff auf andere Dienste zu nutzen). Daraufhin fügten Angreifer im Azure AD eine neue bösartige OAuth-Application hinzu, mithilfe derer die Exchange-Online Infrastruktur umkonfiguriert wurde, um diese dann für das Senden von Spam-Mails zu missbrauchen. In diesem Blog-Artikel lernen Sie, wie Sie mit einfachen Mitteln Ihre administrativen Konten vor Missbrauch schützen und über Angriffe wie diese informiert werden können.
Multi-Faktor Authentifizierung ist ein Muss
Den betroffenen Organisationen wurde laut Microsoft zum Verhängnis, dass es administrative Konten gab, die nicht mit MFA geschützt waren. Dies ermöglichte es den Angreifern, nur durch Eingabe von Benutzername und Passwort Zugriff auf administrative Features zu bekommen – in heutigen Zeiten wahrlich keine große Hürde mehr.
Mit Azure AD Premium P1 bekommen Sie bereits Zugriff auf die wichtigsten Features zur Absicherung Ihres Tenants: Multi-Faktor Authentifizierung und Bedingter Zugriff.
MFA: Einfacher geht es kaum
Dank Azure MFA kann in wenigen Stunden die Nutzung diverser Anmeldefaktoren konfiguriert werden. Als zweiter Faktor können zum Beispiel die Microsoft Authenticator App, FIDO2-Schlüssel oder Hardwaretoken eingerichtet werden. Vielen Angriffsvektoren schieben Sie somit bereits den Riegel vor.
Bedingter Zugriff: Allzweckwerkzeug für Zugriffssteuerung
Ebenfalls bereits im Plan 1 von Azure AD Premium enthalten ist der Bedingte Zugriff. Dieses Tool ermöglicht Ihnen, zu steuern von wo aus Zugriffe auf Ihre Cloud-Ressourcen unter welchen Bedingungen stattfinden können. Klassischerweise kann somit zum Beispiel Zugriff auf Adminkonten außerhalb des Firmennetzes verboten oder mit einer MFA-Anforderung verbunden werden. Auch Zugriffe von nicht verwalteten Geräten können damit reguliert werden.
Details zu diesen und anderen Features finden Sie in dem Blog-Artikel zu Azure AD Premium Plan 1.
Besser geht immer: Azure AD Premium Plan 2 und Defender for Cloud Apps effektiv nutzen
Eine perfekte Sicherheit gibt es jedoch auch mit MFA und Bedingtem Zugriff nicht. Daher ist es wichtig, auch darüber hinaus Wege zu finden, Zugriffe zu überwachen und bei verdächtigem Verhalten alarmiert zu werden. Hierbei unterstützen Sie die folgenden Microsoft 365 Bestandteile:
Azure AD Premium Plan 2: Smarte Zugriffssteuerung
Mit einem Upgrade auf Azure AD Premium Plan 2 können Sie Ihr Zugriffs- und Berechtigungsmanagement in der Cloud noch weiter modernisieren und automatisieren.
Privileged Identity Management ermöglicht Ihnen administrative Rechte stärker zu bündeln und zeitlich zu begrenzen. Dies schützt sowohl vor Missbrauch als auch vor versehentlichen Änderungen und folgt den Prinzipien von Least Privilege und „Just in Time“-Zugriffen.
Dank der Einbeziehung von Risikofaktoren wie Geo-Location, Gerät und verwendeten Anmeldefaktoren können Sie außerdem mit „Risk Based Conditional Access“ Ihren Bedingten Zugriff noch sicherer gestalten und größere Flexibilität ermöglichen.
Weitere Details zu den Möglichkeiten der Azure AD Premium Plan 2-Lizenz finden Sie in unserem Blog-Artikel.
Mit Defender for Cloud Apps Anomalien in der SaaS-Welt erkennen
Im von Microsoft veröffentlichten Angriffsszenario registrierten die Angreifer neue OAuth-Anwendungen und veränderten die Konfigurationen von Exchange Online.
Mit Defender for Cloud Apps haben Sie die Möglichkeit, sich in Fällen von ungewöhnlicher Aktivität im administrativen Umfeld von Microsoft 365 und dem Azure AD alarmieren zu lassen. Somit können derartige Angriffe frühzeitig auffallen statt wie im Fall der betroffenen Organisationen monatelang unbemerkt bleiben. Defender for Cloud Apps kann unter anderem die folgenden Szenarien erkennen:
- Aktivität aus unbekannten oder ungewöhnlichen Ländern oder von verdächtigen IP-Adressen aus
- Ungewöhnliches Hinzufügen von Berechtigungen zu OAuth-Apps
- Verdächtige Aktivitäten in Postfächern oder SharePoint (Löschen oder Weiterleiten von Mails oder Dateien im großen Stil, Exfiltration von Daten)
- Aktivitätsmuster, die typisch für Ransomware-Aktivitäten sind
Sie benötigen Unterstützung?
Sie benötigen Unterstützung bei der Absicherung Ihrer Exchange Online Umgebung? Kontaktieren Sie uns gerne.