Post-Compromise Threat Activity in Microsoft Cloud Environments

Die amerikanische Sicherheitsbehörde CISA hat schon im Januar vor verstärktem Risiko von Angriffen gegen Microsoft Cloud Umgebungen gewarnt.

Dabei geht es um „Post Compromise Threat Activity“ – vier Worte, die man erst einmal verstehen muss.

Also – zunächst hat das was mit Verschlüsselung zu tun. Beginnt man eine verschlüsselte Kommunikation, dann wird dabei meist das Verfahren und ein „geheimer Schlüssel“ festgelegt.

Das Problem entsteht, wenn der geheime Schlüssel bekannt würde. Dann wäre ab diesem Zeitpunkt die komplette Verschlüsselung gebrochen und unbrauchbar.

Man versucht das zu lösen, indem das Verfahren regelmäßig und selbständig die Schlüssel tauscht. So könnte man immer nur einen kleinen Teil der Kommunikation abhören, bis der nächste Schlüssel aktiv wird.

Wer sich gerne mit Mathematik qäult, der findet dazu Informationen z.B. beim „CryptoWiki

Es geht also darum, dass jemand die „Anmeldeinformationen“ in der Microsoft Azure Cloud angreift.

Insbesondere hat CISA einen APT-Akteur gesehen, der kompromittierte Anwendungen in der Microsoft 365 (M365) / Azure-Umgebung eines Opfers verwendet und zusätzliche Anmeldeinformationen und API-Zugriff (Application Programming Interface) auf Cloud-Ressourcen von Organisationen des privaten und öffentlichen Sektors verwendet.
(Quelle: CISA)

Der Begriff Advanced Persistent Threat (APT; deutsch „fortgeschrittene andauernde Bedrohung“) ist ein häufig im Bereich der Cyber-Bedrohung (Cyber-Attacke) verwendeter Begriff für einen komplexen, zielgerichteten und effektiven Angriff auf kritische IT-Infrastrukturen und vertrauliche Daten von Behörden, Groß- und Mittelstandsunternehmen aller Branchen, welche aufgrund ihres Technologievorsprungs potenzielle Opfer darstellen oder als Sprungbrett auf solche Opfer dienen können.
(Quelle: Wikipedia)

Wie man sieht, sind die Anmeldeinformationen zu einer Gefahrenquelle geworden. Deshalb sollten alle „Cloud-Admins“ auf jeden Fall die 2FA aktivieren.

Dafür gibt es von Microsoft eine Anleitung.

Durch ein solches Vorgehen wird zumindest der „initiale Zugangsweg“ erschwert. Die CISA hat nämlich herausgefunden, dass nicht nur über den „Solarwind-Hack“ Angriffe ausgeführt wurden.

However, CISA is investigating instances in which the threat actor may have obtained initial access by Password Guessing [T1110.001], Password Spraying [T1110.003], and/or exploiting inappropriately secured administrative or service credentials (Unsecured Credentials [T1552]) instead of utilizing the compromised SolarWinds Orion products.
(Quelle: CISA)

Bei Cyber-Angriffen auf diesem, hohen Niveau, können die Verteidiger nur sehr schwer reagieren. Meist erst dann, wenn die Angriffe bereits laufen.

Dennoch können einfache Vorsichtsmassnahmen zumindest ein wenig dazu beitragen, potentielle Einfallstore zu schützen.

2FA – also die Anmeldung mit zwei unterschiedlichen „Ausweisen“ (z.B. Kennwort und Einmalkennwort per Mail) – stellen für jeden Anwender eine zusätzliche Hürde dar.

Die Nutzung der Computer wird umständlicher.

Aber gerade so, wie wir Haustüren abschliessen und Fenster schliessen bevor wir das Haus verlassen, müssen wir auch lernen, unsere digitalen Infrastrukturen zu schützen.

Selbst wenn darunter die Bequemlichkeit leidet.