Eine weitere SolarWinds-Lektion: Hacker haben es auf Microsoft-Authentifizierungsserver abgesehen

Cyber Security News

FireEye-CEO Kevin Mandia sagt während einer Anhörung des Senate Intelligence Committee auf dem Capitol Hill am 23. Februar 2021 in Washington, DC, aus. FireEye ist Eigentümer des von Mandia gegründeten Unternehmens Mandiant, das am Dienstag eine Studie über die Notwendigkeit der Sperrung von Active Directory Federation Services veröffentlichte. (Foto: Drew Angerer/Getty Images)

Mandiant hat am Dienstag einen Blog veröffentlicht, in dem eine neue Angriffsstrategie gegen Microsofts Active Directory Federation Services (AD FS) beschrieben wird. Die Forscher des Unternehmens glauben, dass die Notwendigkeit, AD FS zu schützen, die unangekündigte zweite Lektion aus der SolarWinds-Kampagne sein könnte.

Die wichtigste Lehre, die Unternehmen aus der SolarWinds-Kampagne zogen, war die Notwendigkeit, sich gegen Risiken von Drittanbietern zu schützen und die Sicherheit der Lieferkette anzugehen. Hacker, die von den USA mit dem russischen Geheimdienst in Verbindung gebracht werden, nutzten ein getürktes Update für die IT-Management-Software SolarWinds und andere Vektoren, um eine Reihe von Regierungsbehörden und privaten Organisationen zu übernehmen.

Die gleiche Kampagne setzte jedoch auf Übernahmen von AD FS-Servern, um Microsoft 365-Konten zu Spionagezwecken zu übernehmen.

AD FS-Server bieten einen Authentifizierungsdienst, der einheitliche Anmeldungen für Cloud- und On-Computer-Dienste ermöglicht – eine Microsoft-Antwort auf Produkte wie Okta. Aber im Gegensatz zu Okta werden AD FS-Server von einzelnen Organisationen verwaltet. Bei einem Hijacking von AD FS geht es darum, ein Security Operations Center zu schlagen und nicht eine monolithische Sicherheitsfirma.

“Die Kompromittierung der Lieferkette von SolarWinds und die darauf folgenden Aktivitäten haben uns gezeigt, dass die Bedrohungsakteure AD FS inzwischen gut kennen und viel Zeit und Forschung investieren, um es ins Visier zu nehmen”, sagte Doug Bienstock, der den Blog schrieb, in dem der neue Angriff beschrieben wird. “Und deshalb wollen wir sicherstellen, dass die Verteidiger genauso versiert sind wie sie und sich dieser Technik bewusst sind.”

Bei SolarWinds zielten die Hacker direkt auf die AD FS-Server, um Zertifizierungen zu erhalten. Der neue Angriff von Mandiant erfordert keinen direkten Zugriff auf den AD FS-Server. Vielmehr würden die Hacker einen AD FS-Server vorgaukeln, der mit einem anderen kommuniziert, um dessen Schlüssel zu erhalten. Dies ist nicht trivial, so Bienstock – es erfordert immer noch Anmeldeinformationen von einem extrem privilegierten Konto, um es durchzuziehen. Aber angesichts der Fähigkeiten der Hacker, die in SolarWinds involviert waren, sagte er, dass Chief Information Security Officers beginnen sollten, diese Art von Angriffen als Teil der Bedrohungslandschaft zu sehen.

“Wir müssen jetzt ein paar zusätzliche Schritte unternehmen, um diese Server sicher zu halten, denn am Ende des Tages sind sie genauso wichtig wie unsere Domain-Controller”, sagte er. Sie sind der Dreh- und Angelpunkt, das Fundament der Sicherheit, nicht nur für Ihr Unternehmensnetzwerk, sondern auch für alle anderen Cloud-Dienste, die Sie möglicherweise so konfiguriert haben, dass Sie ihnen vertrauen, das größte Beispiel ist Microsoft 365.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com