Technologie
Produkte
Branchen
Aktuelles
Infomaterial
Unternehmen
Deutsch
Technologie
Produkte
Branchen
Aktuelles
Blog
Infomaterial
Unternehmen

Zwei-Faktor-Authentifizierung (2FA) kompromittiert: Übernahme eines Microsoft-Kontos

Max Heinemeyer, Director of Threat Hunting | Donnerstag, 18. Februar 2021

Mittlerweile nutzt rund ein Drittel der Unternehmen die Zwei-Faktor-Authentifizierung (2FA). Wenn ein Benutzer sich bei einem Konto anmelden möchte, muss er seine Identität mit mehr als einer Überprüfungsmethode nachweisen. Damit wird verhindert, dass Cyberkriminelle einfach nur mit Passwörtern ein System hacken können. Stattdessen werden zusätzliche Sicherheitsebenen wie Biometrie (Charakteristika), persönliche Informationen (Wissen) oder ein Code, der an ein Mobiltelefon oder eine E-Mail-Adresse geschickt wird (Besitz), für den Kontozugang eingerichtet. Was passiert, wenn der 2FA-Prozess an sich kompromittiert wurde?

Darktrace hat genau dieses Szenario vor kurzem beobachtet, als ein Microsoft 365-Konto gekapert wurde und der Angreifer vorübergehend die Authentifizierungseinstellungen änderte, sodass die SMS-Codes an sein Mobiltelefon gesendet wurden. Der Angreifer versuchte, sich unauffällig und unerkannt in der Umgebung einzunisten, ohne Verdacht zu erregen. Darktrace erkannte jedoch die Kontokompromittierung aufgrund der subtilen Anomalien im Verhalten des Benutzers, darunter verdächtige Anmeldevorgänge, die ungewöhnliche Erstellung von E-Mail-Regeln und das Löschen von Dateien.

Die starke Zunahme dieser SaaS-basierten Angriffen kommt wenig überraschend, da immer mehr Unternehmen SaaS-Plattformen für ihren dezentralen und mobilen Geschäftsbetrieb nutzen. Mittlerweile setzen zahlreiche Unternehmen auf Microsoft 365 für E-Mail-Verkehr, User-Management sowie Dateispeicherung und -Sharing. Dieses Phänomen hat die Angriffsfläche vergrößert und bietet Cyberkriminellen eine Fülle von Möglichkeiten. SaaS-Plattformen sind häufig isoliert, sodass Sicherheitsteams den Überblick verlieren und nicht in der Lage sind, Ereignisse plattformübergreifend in Beziehung zu setzen.

Die Darktrace Cyber KI schützt die gesamte SaaS-Umgebung, einschließlich Microsoft 365- und Azure-Plattformen. In diesem Fall nutzte der Kunde das Microsoft 365-Modul. Obwohl der Angriff alle anderen Sicherheitstools umgehen konnte, wurde er vom Microsoft 365-Konnektor von Darktrace erkannt und durch den Cyber AI Analyst untersucht – der weltweit ersten KI-gestützten Technologie für die Untersuchung von Sicherheitsvorfällen, die automatisch klassifiziert, interpretiert und in vollem Umfang berichtet.

Wie ein Microsoft-Konto durch 2FA kompromittiert wurde

Vor kurzem wurde das Konto eines Benutzers aus dem Finanzteam eines Unternehmens mit rund 10.000 Microsoft 365-Benutzern kompromittiert. Die Erstinfektion fand vermutlich statt, weil der Mitarbeiter auf einen schädlichen Link in einer Phishing-E-Mail geklickt hat.

Abbildung 1: Zeitlicher Ablauf des Angriffs

Darktrace stellte verdächtige Anmeldungen bei dem Microsoft 365-Konto von ungewöhnlichen Orten in den USA und Ghana fest. Diese Anmeldungen passierten ohne Probleme die Multi-Faktor-Authentifizierung (MFA), weil der Angreifer die Benutzerdaten unauffällig manipuliert hatte. Er änderte die registrierte Telefonnummer, sodass der Authentifizierungstext direkt an ihn geschickt wurde.

Abbildung 2: Die spezielle SaaS-Konsole von Darktrace zeigt die ungewöhnliche Aktivität im Zusammenhang mit Microsoft 365 an

Es gibt verschiedene Herangehensweisen, um 2FA zu kompromittieren. Der Authentifizierungsmechanismus kann über einen SIM-Swapping-Angriff oder mit einer schädlichen OAuth-Anwendung gehackt werden. Ein Angreifer könnte auch Phishing oder Social-Engineering nutzen und das Einmalkennwort in Echtzeit verwenden, sobald das Opfer es auf der Phishing-Seite eingibt.

Nach den ungewöhnlichen Anmeldevorgängen beobachtete Darktrace, dass der Angreifer die E-Mail-Regeln für das kompromittierte Benutzerkonto sowie für einige gemeinsam genutzte Posteingänge änderte, darunter auch die Regeln für die Überprüfung der Zugangsdaten.

In dieser Phase griff der Angreifer auf mehrere E-Mails in dem kompromittierten Posteingang des Benutzers zu. Möglicherweise durchforstete der Angreifer den Posteingang nach sensiblen Daten oder wollte sich mit den üblichen Kommunikationsmustern und dem Schreibstil des Benutzers vertraut machen, um glaubhafte Phishing-E-Mails zu verfassen, die vorgeblich von dem Kontoinhaber stammen. Der Angreifer löschte zudem mehrere E-Mails in dem Konto, um seine Spuren zu verwischen.

Während alle anderen Sicherheitstools des Unternehmens diese Bedrohung übersahen, erkannte der Microsoft 365-Konnektor von Darktrace das anormale Verhalten und leitete eine automatisierte Untersuchung durch den Cyber AI Analyst ein. Das Sicherheitsteam konnte dann eingreifen, bevor sich der Angreifer Zugang zu kritischen freigegebenen Posteingängen verschaffen konnte.

Hätte der Hacker seinen Angriff fortsetzen können, wären ihm geistiges Eigentum und sensible Finanzdaten über das Unternehmen und seine Kunden in die Hände gefallen. Damit hätte er viel Material für betrügerische Zahlungsaufforderungen gehabt, die Unternehmen Zehntausende US-Dollar kosten können.

Cyber AI Analyst untersucht die Bedrohung

Der Cyber AI Analyst vereint das Wissen von mehreren hundert menschlichen Cyberanalysten. Dadurch kann die Technologie eigenständig Untersuchungen für das gesamte Bedrohungsspektrum durchführen, einschließlich der Kompromittierung von SaaS-Konten. Im vorliegenden Fall setzte der Cyber AI Analyst die anormalen Anmeldevorgänge und das Benutzerverhalten in Beziehung und erstellte eine verständliche und verwertbare Zusammenfassung des Vorfalls in natürlicher Sprache. Ein menschlicher Analyst hätte dafür im Durchschnitt drei Stunden gebraucht. Der Cyber AI Analyst schaffte das binnen Sekunden und sorgte für eine Zeitersparnis von 92%.

Abbildung 3: So berichtet der Cyber AI Analyst über ungewöhnliche Anmeldevorgänge und Dateizugriffe

Fazit

Die heutigen dynamischen Belegschaften arbeiten dezentraler und mobiler denn je. Sie nutzen dafür SaaS-Anwendungen und verteilte IT-Systeme, um wertvolle Daten zu hosten. In dieser digital globalisierten Welt muss Cybersicherheit allgegenwärtig sein und vollen Einblick in die digitale Umgebung gewähren.

Dieser Cyberangriff war gezielt und raffiniert. Für den Angriff wurden kompromittierte Zugangsdaten verwendet, sodass vor den erfolgreichen Anmeldungen keine Brute-Force-Aktivität beobachtet wurde. Zudem umging der Angreifer die Zwei-Faktor-Authentifizierung und verwischte seine Spuren, indem er E-Mails löschte und sich unter die legitime Benutzeraktivität mischte.

Die Darktrace KI erkannte jedoch die subtilen Anomalien im Verhalten des Benutzers und bemerkte sofort, dass sich jemand in die Umgebung eingeschlichen hatte. Darktrace verfolgt Angriffe in Cloud- und SaaS-Umgebungen über ihren gesamten Lebenszyklus hinweg – von der ersten Phishing-E-Mail bis hin zur kompletten Kontoübernahme –, auch wenn andere Sicherheitsmethoden wie 2FA kompromittiert wurden. Gerade bei solchen Angriffen kommt es darauf an, sie schnell zu erkennen und frühzeitig zu reagieren. Ohne den Schutz durch Darktrace hätte das Unternehmen erhebliche finanzielle Folgen und Reputationsverluste erlitten.

Vielen Dank an unsere Darktrace Analystin Brianna Leddy für die Einblicke in diesen Bedrohungsvorfall.

Erfahren Sie mehr über KI-gestützte Sicherheit für Microsoft 365

Max Heinemeyer

Max is a cyber security expert with over a decade of experience in the field, specializing in a wide range of areas such as Penetration Testing, Red-Teaming, SIEM and SOC consulting and hunting Advanced Persistent Threat (APT) groups. At Darktrace, Max oversees global threat hunting efforts, working with strategic customers to investigate and respond to cyber-threats. He works closely with the R&D team at Darktrace’s Cambridge UK headquarters, leading research into new AI innovations and their various defensive and offensive applications. Max’s insights are regularly featured in international media outlets such as the BBC, Forbes and WIRED. When living in Germany, he was an active member of the Chaos Computer Club. Max holds an MSc from the University of Duisburg-Essen and a BSc from the Cooperative State University Stuttgart in International Business Information Systems.