Microsoft-Passwort-Spraying-Hack beweist, dass die Sicherung jedes Kontos wichtig ist

Microsoft veröffentlichte am Freitag, den 19.^{Januar eine Erklärung}, in der es hieß, dass sein Unternehmensnetzwerk von russischen Hackern angegriffen worden sei, die in der Lage waren, E-Mails und angehängte Dokumente zu exfiltrieren. Der Software-Riese sagte, dass nur ein „sehr geringer Prozentsatz“ der E-Mail-Konten des Unternehmens betroffen war, obwohl dieser Microsoft-Passwort-Spraying-Hack auch Mitglieder der Führungsebene und Mitarbeiter der Cybersecurity- und Rechtsteams umfasste.

Die Hacker wurden als vom russischen Staat unterstützte Akteure identifiziert, die als Midnight Blizzard (oder manchmal Nobelium) bekannt sind, und Microsoft vermutet, dass sie nach Informationen über sich selbst suchten. Diese Gruppe war auch für den berüchtigten SolarWinds-Hack verantwortlich – eine der größten Cybersicherheitsverletzungen des 21.^Jahrhunderts.

Microsoft glaubt nicht, dass Kunden zu diesem Zeitpunkt betroffen sind, und sagte, dass keine Produktionssysteme, Quellcodes oder KI-Systeme angegriffen wurden. Der interessante Aspekt dieses Hacks ist, dass er keine Microsoft-System- oder Produktlücke ausnutzte – es war so einfach wie das Erraten eines schwachen oder bekannten, kompromittierten Passworts auf einem ungenutzten Testkonto.

Laut Darren James, Specops Senior Product Manager, „zeigen uns Kompromittierungen wie diese, dass selbst die mächtigsten Organisationen Opfer der anhaltenden und aggressiven Angriffe werden können, die wir weltweit beobachten. Sicherheitsgrundlagen sind entscheidend, um Schritt zu halten und Cyber-Angreifern einen Schritt voraus zu sein.“

Angriffsübersicht

• Wer war das Ziel: Microsoft
• Angriffstyp: Kontoübernahme, Datenexfiltration
• Einstiegstechnik: Passwort-Spraying, Mögliche Privilegienerweiterung
• Auswirkungen: E-Mails und Dateien von Führungskräften, Cybersecurity- und Rechtsteams wurden abgerufen
• Wer war verantwortlich: Russische Hacker (Midnight Blizzard/Nobelium)

Wie ist der Microsoft-Passwort-Spraying-Angriff passiert?

Laut Microsofts Erklärung entdeckte das Sicherheitsteam den Hack zunächst am 12.^Januar. Nach der Bereitstellung ihres Reaktionsprozesses konnten sie die Aktivitäten der Hacker unterbrechen und ihnen jeglichen weiteren Zugriff verweigern. Es scheint jedoch, dass die Hacker möglicherweise bis zu sieben Wochen lang Zugriff hatten.

Microsoft hat noch keine vollständigen Details bekannt gegeben, da die Untersuchung noch läuft, aber sie haben bestätigt, dass sich die Angreifer durch einen Passwort-Spray-Angriff Zugang verschafft haben; eine Brute-Force-Technik, bei der dasselbe Passwort gegen mehrere Konten ausprobiert wird. In diesem Fall konnten sie ein älteres Nicht-Produktions-Testkonto kompromittieren, um einen ersten Fuß in das Microsoft-System zu bekommen. Aus den Informationen, die Microsoft veröffentlicht hat, geht hervor, dass dieses Testkonto entweder von Anfang an über eine ungewöhnlich hohe Berechtigung verfügte oder die Hacker in der Lage waren, ihre Berechtigungen zu erweitern.

Im Wesentlichen bombardierten die Hacker Benutzerkonten schnell mit einem bekannten, schwachen und kompromittierten Passwort, bis eine Kombination funktionierte. Erfolgreiche Passwort-Spraying-Angriffe bedeuten in der Regel keine Multi-Faktor-Authentifizierung. Es ist auch sehr wahrscheinlich, dass ein schwaches oder wiederverwendetes Passwort beteiligt war, da diese die Passwortlisten bilden, die Hacker bei Brute-Force-Angriffen verwenden. Von dort aus konnten sie auf E-Mail-Konten von Führungskräften und auf vermutlich sensible interne Informationen zugreifen.

Specops-Analyse: Was können wir aus dem Microsoft-Hack lernen?

Wir hören oft Ratschläge, besondere Aufmerksamkeit auf den Schutz privilegierter Konten zu legen, da diese die größte Reichweite und den größten Zugriff haben. Dieser Angriff beweist jedoch, wie wichtig es ist, alle Konten zu schützen. Privilegienerweiterung bedeutet, dass Angreifer nicht unbedingt ein Administratorkonto benötigen, um ihre Ziele zu erreichen. Ein veraltetes oder inaktives Konto reicht aus – und diese werden oft ignoriert und haben alte, schwache oder gar keine Passwörter. Angreifer können sich dann von ihrem anfänglichen Einstiegspunkt tiefer in ein Netzwerk bewegen, auf der Suche nach hochwertigen Assets.

Wir wissen nicht, ob Microsofts eigene Schutzmaßnahmen (Entra Password Protection) auf das betreffende Konto angewendet wurden, obwohl dies wahrscheinlich nicht der Fall war. Es ist jedoch möglich, dass diese Schutzmaßnahmen angewendet wurden und dieser Angriff einige der Lücken in Entra Password Protection ausnutzte.

Jedes Benutzerkonto mit Anmeldeinformationen kann zum ersten Opfer werden. Ein erfahrener Angreifer kann ein Benutzerkonto mit niedrigeren Berechtigungen ausnutzen, indem er den Zugriff auf das gestohlene Konto erweitert, sich horizontal zwischen Konten mit ähnlichen Berechtigungsstufen bewegt oder vertikal zu Konten mit mehr Berechtigungen wie Administrator- oder IT-Teamkonten springt.

Sobald sich ein Hacker Zugriff auf eine Reihe von Anmeldeinformationen verschafft hat, wird er als legitimer Benutzer angesehen. Von dort aus sind sie schwer zu erkennen (wie der Fall Microsoft beweist, der Wochen brauchte, um Midnight Blizzard zu entdecken) und haben Zeit, um zu arbeiten. Sie können mehr Informationen sammeln, mehr Anmeldeinformationen sammeln, ihre Berechtigungen weiter ausbauen und sogar ihre Spuren verwischen.

Darren James, Specops Senior Product Manager, fügt hinzu: „Es gibt hier mehrere Elemente, aber im Wesentlichen gab es einen grundlegenden Zusammenbruch der Anmeldeinformationen und einen Mangel an Kontrolle. Eine sichere Passwortrichtlinie ist ein Muss für ein Unternehmen, um sicherzustellen, dass alle Konten, einschließlich älterer, nicht produktiver und Testkonten, nicht übersehen werden. Darüber hinaus bietet das Blockieren bekannter kompromittierter Anmeldeinformationen eine weitere Schutzebene, um aktive Angriffe einzudämmen, was in diesem Fall hilfreich gewesen wäre.

„Da Microsoft in das Gefüge des globalen Geschäfts eingebunden ist, sollte diese Art von Angriff jeden Administrator innehalten lassen, um sicherzustellen, dass die grundlegenden Sicherheitsvorkehrungen getroffen sind. Zu den grundlegenden Schutzmaßnahmen sollten eine robuste Passwortrichtlinie, Multi-Faktor-Authentifizierung und regelmäßige Patches gehören – alles unterstützt von einem engagierten und gut informierten Führungsteam.“

Schützen Sie jedes Active Directory-Konto vor Passwort-Spraying

Dieser Fall beweist, dass jedes Benutzerkonto in einer Organisation eine Chance für Angreifer darstellt, von privilegierten Administratorkonten bis hin zu vergessenen, inaktiven Testkonten. Durch eine Mischung aus Prävention und kontinuierlicher Erkennung können Sie jedes Konto vor Brute-Force-Angriffen schützen:

• Multi-Faktor-Authentifizierung (MFA): Das Aktivieren von MFA stellt eine zusätzliche Authentifizierungs-Hürde für Hacker dar. Es gibt jedoch Möglichkeiten, MFA zu umgehen, daher ist es immer noch wichtig, auf allen Konten eine starke Passwortsicherheit als ersten Schritt zu gewährleisten.
• Active Directory-Überwachung: Eine Überprüfung Ihres Active Directory kann Einblick in ungenutzte und inaktive Konten sowie andere passwortbezogene Schwachstellen geben. Dies kann ein wertvoller Schritt sein, obwohl Sie bedenken sollten, dass dies nur eine Momentaufnahme darstellt und nicht das Risiko fortlaufend mindert. Sind Sie an einer Überprüfung interessiert? Führen Sie einen schreibgeschützten Scan mit unserem kostenlosen Überprüfungstool durch und erhalten Sie einen exportierbaren interaktiven Bericht.
• Passwortrichtlinien stärken: Ihre Passwortrichtlinie sollte Endbenutzer daran hindern, schwache Passwörter zu erstellen, die aus gängigen Basisbegriffen oder Tastaturfolgen wie „qwerty“ oder „123456“ bestehen. Das Erzwingen langer, eindeutiger Passwörter oder Passphrasen ist eine starke Verteidigung gegen Brute-Force-Angriffe. Die besten Richtlinien enthalten auch benutzerdefinierte Wörterbücher, die Begriffe blockieren, die sich auf Ihre spezifische Organisation und Branche beziehen.
• Scans auf kompromittierte Passwörter: Selbst starke Passwörter können kompromittiert werden, wenn Endbenutzer Arbeitspasswörter auf persönlichen Geräten, Websites und Anwendungen mit schwacher Sicherheit wiederverwenden. Sie sollten in Erwägung ziehen, Tools hinzuzufügen, um Ihr Active Directory nach Passwörtern zu durchsuchen, von denen bekannt ist, dass sie an Verstößen beteiligt sind. Beachten Sie, dass einige Lösungen nur bei Zurücksetzungsereignissen scannen, während Lösungen wie Specops Password Policy mit Breached Password Protection kontinuierlich nach kompromittierten Passwörtern in Ihrer Umgebung suchen können.

Interessiert an einem Upgrade Ihrer Zugriffssicherheit? Nehmen Sie noch heute Kontakt auf und sprechen Sie mit einem Specops-Experten.