{"id":14420,"date":"2017-08-16T11:20:57","date_gmt":"2017-08-16T09:20:57","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=14420"},"modified":"2018-09-18T14:54:24","modified_gmt":"2018-09-18T12:54:24","slug":"services-as-a-weapon","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/services-as-a-weapon\/14420\/","title":{"rendered":"Angriffe auf die Unternehmenssicherheit: Dienste von Microsoft als Waffe"},"content":{"rendered":"

Hacker haben mit der Exploitation legitimer Software genau ins Schwarze getroffen. Verschiedene Vortr\u00e4ge auf der Black Hat Konferenz 2017 haben gezeigt, dass Microsofts Unternehmensl\u00f6sungen durchaus n\u00fctzlich sein k\u00f6nnten, wenn sie in die H\u00e4nde eines Hackers geraten.<\/p>\n

Unternehmen, die Hybrid Clouds nutzen, m\u00fcssen andere Sicherheitsbedenken in Erw\u00e4gung ziehen als diejenigen, die traditionelle Cloudsysteme nutzen. Dennoch werden sie in der Praxis nicht schnell genug aktualisiert was in zahlreichen Sicherheitsschwachstellen resultiert, die von Angreifern ausgenutzt werden k\u00f6nnen. Genau das wurde im Juli auf der Hackerkonferenz Black Hat 2017 bewiesen. Studien zeigten, wie eine klassische B\u00fcroinfrastruktur den Angreifern sogar dabei helfen kann f\u00fcr die Mehrzahl der Sicherheitsl\u00f6sungen unsichtbar zu bleiben.<\/p>\n

\"Several<\/p>\n

Sobald finanziell motivierte Hacker in ein Unternehmensnetzwerk eingedrungen sind, ist der heimliche Datenaustausch innerhalb infizierter Ger\u00e4te ihre gr\u00f6\u00dfte Schwierigkeit. Im Wesentlichen besteht ihr Ziel darin, infizierten Ger\u00e4ten Befehle zukommen zu lassen und gestohlene Informationen weiterzuleiten ohne dabei die zust\u00e4ndigen Angrifferkennungssysteme (IDS) und Data-Loss-Prevention-Systeme (DLP) zu alarmieren. Microsoft-Dienste arbeiten oftmals nicht unter den Bedingungen der Sicherheitszone und helfen Angreifern, indem die \u00fcbertragenen Daten dieser Dienste nicht sorgf\u00e4ltig genug gescannt werden.<\/p>\n

Angriffe auf die Unternehmenssicherheit: Wie Cyberkriminelle die Dienste von Microsoft als Waffe einsetzen k\u00f6nnten.<\/p>Tweet<\/a><\/blockquote>\n

Eine Studie von Ty Miller und Paul Kalinin \u00fcber Threat Intelligence zeigt, wie Bots \u00fcber Active-Directory-Dienste (AD) in einem Unternehmensnetzwerk kommunizieren k\u00f6nnen. Da alle Kunden \u2013 auch mobile \u2013 eines Netzwerkes und der Mehrzahl der Server zur Authentifizierung auf den Verzeichnisdienst zugreifen m\u00fcssen, ist ein AD-Server der \u201ezentrale Kommunikationspunkt\u201c, der f\u00fcr die Verwaltung eines Botnets sehr vorteilhaft ist. Abgesehen davon best\u00e4tigen die Forscher, dass die Integration von Azure AD mit einem AD-Server eines Unternehmens direkten Zugriff auf ein Botnet von au\u00dferhalb bietet.<\/p>\n

Wie kann AD bei der Verwaltung eines Botnets und der Entwendung von Daten helfen? Das Konzept ist relativ simpel. Standardm\u00e4\u00dfig kann jeder Kunde des Netzwerkes seine Informationen auf dem AD-Server aktutalisieren \u2013 zum Beispiel Telefonnummer und E-Mail-Adresse. Die beschreibbaren Felder umfassen auch hochkapazitierte Felder, die bis zu einem Megabyte Daten speichern k\u00f6nnen. Andere AD-User k\u00f6nnen all diese Informationen lesen und somit einen Kommunikationskanal erstellen.<\/p>\n

\"The<\/p>\n

Forscher empfehlen die \u00dcberwachung von AD-Feldern f\u00fcr periodische und ungew\u00f6hnliche Ver\u00e4nderungen sowie die Deaktivierung der User-F\u00e4higkeit eine Vielzahl der Felder zu beschreiben.<\/p>\n

\"Researchers<\/p>\n

Eine Studie von Craig Dods von Jupiter Networks wirft Licht auf eine andere Technik mit der heimlich Daten entwendet werden k\u00f6nnen \u2013 Office 365. Eine der bekanntesten dieser Techniken nutzt \u201eOneDrive for Business\u201c, dass rund 80\u00a0% der Kunden der Microsoft-Onlinedienste nutzen. Hacker m\u00f6gen es, weil das IT-Personal der Unternehmen Microsoft-Servern f\u00fcr gew\u00f6hnlich vertraut, High-Speed-Verbindungen zul\u00e4sst und das Entschl\u00fcsseln f\u00fcr Uploads \u00fcberspringt. Das Ergebnis: die Arbeit eines Hackers besteht darin ein OneDrive-Datentr\u00e4ger mit dem Zielcomputer zu verbinden, indem andere Benutzerinformationen genutzt werden.\u00a0In diesem Fall wird das Kopieren der Daten nach OneDrive nicht als Versuch gewertet, das Perimeter zu verlassen; deshalb gehen Sicherheitssysteme davon aus, dass der verbundene Datentr\u00e4ger zu einem Unternehmen geh\u00f6rt. Er kann im unsichtbaren Modus verbunden werden und so die Chancen verringern entdeckt zu werden. Der Angreifer braucht daf\u00fcr zwei weitere Tools von Microsoft: Internet Explorer und PowerShell. Als Ergebnis kann ein Bot Freihand Daten auf seinen eigenen Datentr\u00e4ger kopieren und der Angreifer kann sie ganz einfach von OneDrive downloaden.<\/p>\n

<\/p>\n

Dods zufolge m\u00fcssen User den Zugang auf Office 365 Subdomains, die zum Unternehmen geh\u00f6ren, beschr\u00e4nken, um weiterhin gegen derartige Attacken gesch\u00fctzt zu sein. Es wird ebenfalls empfohlen eine genaue Inspektion des verschl\u00fcsselten Verkehrs durchzuf\u00fchren und das Verhalten von PowerShell-Skripten in einer Sandbox zu analysieren.<\/p>\n

Sie sollten ber\u00fccksichtigen, dass beide dieser Bedrohungen noch rein hypothetisch sind. Um diese Technologien zu nutzen, m\u00fcssen Cyberkriminelle damit anfangen, die Infrastruktur eines Opfers irgendwie zu infiltrieren. Wenn das erst einmal getan ist, ist ihre Aktivit\u00e4t sowohl f\u00fcr die Mehrzahl der aktualisieren Sicherheitsl\u00f6sungen als auch f\u00fcr den unvorbereiteten Betrachter nicht erkennbar. Deshalb ist es sinnvoll die IT-Infrastruktur regelm\u00e4\u00dfig auf Schwachstellen zu untersuchen. Wir zum Beispiel verf\u00fcgen \u00fcber ein qualifiziertes Dienstleistungsangebot<\/a>, um zu analysieren, was in Ihrer Infrastruktur aus der Perspektive der Informationssicherheit vorgeht \u2013 und wenn n\u00f6tig, Ihr System auf Eindringlinge zu untersuchen.<\/p>\n","protected":false},"excerpt":{"rendered":"

Die Black Hat 2017 zeigte, dass die Unternehmensl\u00f6sungen von Microsoft durchaus n\u00fctzlich sein k\u00f6nnten, wenn sie in die H\u00e4nde von Angreifern geraten<\/p>\n","protected":false},"author":32,"featured_media":14421,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3108],"tags":[2637,2661,2667,608,2640,2668],"class_list":{"0":"post-14420","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-bhusa","10":"tag-klbh17","11":"tag-active-directory","12":"tag-black-hat","13":"tag-black-hat-2017","14":"tag-office-360"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/services-as-a-weapon\/14420\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/services-as-a-weapon\/11095\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/services-as-a-weapon\/9192\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/services-as-a-weapon\/4926\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/services-as-a-weapon\/12406\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/services-as-a-weapon\/11630\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/services-as-a-weapon\/11158\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/services-as-a-weapon\/14087\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/services-as-a-weapon\/14099\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/services-as-a-weapon\/18452\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/services-as-a-weapon\/17971\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/services-as-a-weapon\/9589\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/services-as-a-weapon\/8296\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/services-as-a-weapon\/17703\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/services-as-a-weapon\/17709\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/services-as-a-weapon\/17670\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/black-hat\/","name":"Black Hat"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/14420","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=14420"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/14420\/revisions"}],"predecessor-version":[{"id":14430,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/14420\/revisions\/14430"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/14421"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=14420"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=14420"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=14420"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}