Der Midnight-Blizzard-Angriff auf Microsoft und wie ähnliche Angriffe abgewehrt werden können

Am 19. Januar 2024 hat Microsoft eine Datenschutzverletzung durch die Hackergruppe Midnight Blizzard (auch als Nobelium bekannt) öffentlich eingestanden. Nach Informationen von Microsoft handelt es sich bei Midnight Blizzard um einen vom russischen Staat gesponserten Bedrohungsakteur, der Unternehmen ins Visier nimmt und Anmeldeinformationen unter anderem mittels Social Engineering stiehlt. In diesem Blogbeitrag erhalten Sie einen Überblick darüber, wie Microsoft kompromittiert werden konnte und wie die Hacker dabei genau vorgingen. Sie erfahren zudem, wie man sich gegen Angriffe wie Password-Spraying verteidigen kann, die Midnight Blizzard oder andere Bedrohungsakteure einsetzen.

Vorgehensweise der Cyber-Angreifer

Bei dem jüngsten Microsoft-Angriff attackierte Midnight Blizzard im November 2023 veraltete Testumgebungen und nicht produktive Konten per Password Spraying. Bei einem alten Testmandantenkonto hatten die Bedrohungsakteure schließlich Erfolg und konnten durch Seitwärtsbewegungen im Netzwerk weitere Microsoft-Konten kapern — einschließlich der Konten von Führungskräften und aus der Rechts- und Sicherheitsabteilung sowie anderer Abteilungen. Eine forensische Analyse durch Microsoft kam zu dem Ergebnis, dass die Bedrohungsakteure dabei eine begrenzte Anzahl von E-Mails, Anhängen und Daten exfiltrierten. Microsoft geht davon aus, dass der Angriff nicht auf einer Schwachstelle in einem ihrer Systeme beruhte, sondern auf vernachlässigten Systemen, die nur durch Ein-Faktor-Authentifizierung geschützt waren.

Mittlerweile hat auch Hewlett Packard Enterprise (HPE) in einer Pflichtmeldung bei der US-Behörde Securities and Exchange Commission (SEC) einen Einbruch in sein cloudbasiertes E-Mail-System bestätigt. HPE verdächtigt ebenfalls Midnight Blizzard. Die Hacker sollen bereits seit Mai 2023 verschiedene Daten aus Postfächern von Cybersicherheitsmitarbeitern und anderen HPE-Abteilungen abgegriffen haben. Schon im Juni 2023 entdeckte HPE eine Kompromittierung seiner Systeme, wobei SharePoint-Dateien kopiert wurden. Wahrscheinlich handelte es sich um dieselben Bedrohungsakteure und war Teil einer langjährigen Kampagne.

HPE beteuert zwar, dass die Sicherheitsverletzung keine Auswirkungen auf den Geschäftsbetrieb oder die Finanzen hat, aber dennoch ist es besorgniserregend, dass sich Bedrohungsakteure einen Zugang über einen so langen Zeitraum verschaffen und diesen aufrechterhalten konnten. Auch wenn SharePoint ein vergleichsweise harmloses Angriffsziel sein mag, nutzen Bedrohungsakteure häufig gerade solche Wissens-Repositories, um nach Konten, Secrets oder Informationen zu suchen, mit denen sie andere Systeme ansteuern oder Berechtigungen ausweiten können. Das MITRE ATT&CK-Framework nennt SharePoint ausdrücklich als Ressource, die von Bedrohungsakteuren verwendet werden kann, um wertvolle Informationen zu sammeln.

Eine konsequente Durchsetzung des Least-Privilege-Prinzips bei Konten und digitalen Identitäten ist dabei von entscheidender Bedeutung. So lässt sich verhindern, dass Angreifer von einer kompromittierten Identität aus auf weitere Systeme zugreifen und Rechte ausweiten oder Wissens-Repositories wie SharePoint ausnutzen können. Durch einen proaktiven Ansatz bei der Identitätssicherheit und eine grundsätzliche Einschränkung der Zugriffsberechtigungen lassen sich viele Angriffspläne durchkreuzen.

Was sind Password-Spraying-Angriffe?

Bei Password-Spraying-Angriffen versuchen die Angreifer, mit häufig eingesetzten Passwörtern auf mehrere Konten einer Domäne zuzugreifen und diese erfolgreich zu kompromittieren. Konzeptionell handelt es sich um das Gegenteil von Brute-Force-Passwortangriffen, die durch Eingabe riesiger Mengen an Passwörtern gekennzeichnet sind.

Bei einem Password-Spraying-Angriff setzen Bedrohungsakteure ein einzelnes und häufig verwendetes Passwort (z. B. „12345678“ oder „Passw0rd“) versuchsweise für viele Konten nacheinander ein. Gelingt keine Einwahl, kommt ein weiteres Kennwort zum Einsatz. Durch diese Vorgehensweise bleiben Bedrohungsakteure unentdeckt, denn die lange Zeitdauer zwischen zwei Einwahlversuchen verhindert, dass in kurzer Zeit wiederholte Einwahlversuche auf ein bestimmtes Konto entdeckt oder automatisch gesperrt werden.

Schlechte Passworthygiene, bzw. fehlende Multifaktor-Authentifizierung erleichtern Bedrohungsakteuren die unbefugte Einwahl. Handelt es sich dabei um ein Konto mit privilegierten Zugriffsrechten, erhöht sich der Angriffsradius. Wie die jüngste Datenschutzverletzung bei Microsoft zeigt, sind Password-Spraying-Angriffe gegen cloudbasierte Anwendungen in der Regel erfolgreich, weil fehlgeschlagene Anmeldeversuche nicht überwacht werden oder es sich um eine veraltete IT-Umgebung handelt, die vernachlässigt wird und über keine modernen Sicherheitskontrollen verfügt.

Vier effektive Maßnahmen für Identitätssicherheit gegen den Midnight-Blizzard-Angriff

1. Abwehr von Password-Spraying-Angriffen mit Enterprise Password Management

Die erste Phase des Midnight-Blizzard-Angriffs auf Microsoft umfasste offenbar Password-Spraying. Hier besteht die beste Gegenmaßnahme darin, für jede internetbasierte Ressource komplexe und einzigartige Kennwörter durchzusetzen. Niemals sollten Passwörter benutzer- oder ressourcenübergreifend wiederholt werden.

Enterprise-Passwort-Management-Lösungen stellen grundsätzlich sicher, dass Best-Practice-Vorgaben für die Passworthygiene umfassend für menschliche und maschinelle Konten durchgesetzt werden. Wichtig ist, dass diese Lösungen auch privilegierte Sitzungen verwalten und in der Lage sind, potenzielle Bedrohungen zu identifizieren, um laufende Sitzungen pausieren, untersuchen oder beenden zu können.

2. Schutz gegen Konto-Hijacking durch Multi-Faktor-Authentifizierung (MFA)

Beim Angriff auf Microsoft wurden offensichtlich einfache Authentisierungsmethoden per Passwort ausgenutzt, um einen Fuß in die Tür des Netzwerks zu bekommen. Das reichte Midnight Blizzard, um den Angriff schrittweise voranzutreiben. Die Authentifikation mit nur einem Identitätsnachweis genügt nicht, um Nutzerkonten im Unternehmen wirksam zu schützen — insbesondere nicht bei Konten mit privilegierten Zugriffsrechten.

Zusätzlich eingeforderte Authentifizierungsfaktoren erhöhen die Identitätssicherheit erheblich und stellen damit eine weitere Schutzmaßnahme gegen Angreifer dar. Bei der Multi-Faktor-Authentifizierung (MFA) gibt es unterschiedliche Methoden. Für die sensibelsten Daten und Kontenarten sollten Phishing-resistente Implementierungen wie FIDO2 beim Zugriff verwendet werden.

3. Implementierung von Endpoint Privilege Management zur Minimierung von Seitwärtsbewegungen im Netzwerk

Mit den geraubten Berechtigungen gelang Midnight Blizzard beim Microsoft-Angriff die Übernahme anderer Konten und E-Mail-Zugriffe. Zur Vermeidung solcher Kompromittierungen und zur Unterbindung von Network Lateral Movement sollte das Prinzip der geringsten Privilegien (Principle of Least Privilege, PoLP) für alle Benutzerkonten aktiviert werden. Eine wirksame Least-Privilege-Strategie beinhaltet die Einschränkung der Zugriffsrechte für Benutzer, Konten und Rechenprozesse, damit nur autorisierte Aktivitäten und tatsächlich benötigte Privilegien durchführbar sind. Die Implementierung des Prinzips der geringsten Rechte ist Voraussetzung für Zero-Trust-Architekturen und -Umgebungen.

Die Enterprise-Lösung BeyondTrust Privilege Management setzt Least Privilege und Anwendungskontrollen für Benutzer, Endpunkte, IT-Prozesse und IT-Assets durch.

4. Schnelle Erkennung und Reaktion auf Identitätsbedrohungen mit ITDR

Den bisher vorliegenden Informationen zufolge ist die Microsoft-Sicherheitsverletzung auf die Kombination mehrerer Versäumnisse zurückzuführen:

a. Fehlende, grundlegende Sicherheitskontrollen (Multi-Faktor-Authentifizierung etc.)

b. Unfähigkeit zur schnellen Identifizierung und Behebung mangelhafter Sicherheitskontrollen

c. Verzögerung (Verzögerungszeit) bei der Erkennung von Angriffsaktivitäten

Als Sicherheitsmaßnahme sollten Unternehmen daher Lösungen für Identity Threat Detection and Response (ITDR) implementieren und schwache Identitätssicherheitskontrollen proaktiv entschärfen. Auf diese Weise lassen sich Schwachstellen aufspüren, bevor sie ausgenutzt werden, und Angriffe lassen sich zügig erkennen, damit die IT-Sicherheitsabteilung schnell reagieren kann. ITDR unterstützt IT-Verantwortliche dabei, verdächtige Ereignisse zu untersuchen — beispielsweise, wenn eine IDP-Lösung (Intelligent Document Processing) die Authentifizierung ohne Multi-Faktor-Authentifizierung zulässt, oder wenn Aktivitäten auf einem System von einem nicht zugeordneten Benutzer durchgeführt werden.

Die nächsten Schritte zur Verbesserung der Identitätssicherheit

Microsoft teilte mit, dass keine Schwachstellen in ihrer Umgebung ausgenutzt wurden — die Sicherheitsverletzung basiere komplett auf identitätsbasierten Angriffsvektoren. Auch wenn in den kommenden Monaten möglicherweise weitere Informationen zum Sicherheitsvorfall bei Microsoft bekannt werden, müssen Unternehmen jetzt schon effektive Schritte zur Identitätssicherheit einleiten, um ihre Sicherheitslage zu verbessern und vergleichbare Angriffe abwehren zu können.

BeyondTrust-Lösungen hätten diesen Angriff vermutlich an mehreren Stellen unterbrochen — von der Verwaltung privilegierter Passwörter über die Durchsetzung des Prinzips der geringsten Rechte oder der Identifizierung und Behebung fehlender Sicherheitsvorkehrungen wie beispielsweise Multi-Faktor-Authentifizierung bis hin zur Beendigung von Bedrohungsaktivitäten.

Kontaktieren Sie uns direkt, um mehr zu diesem Thema zu erfahren.