Microsoft-Lücke Ermöglicht e-mail-Verseand ohne authentifizierung

Microsoft-Lücke Ermöglicht e-mail-Verseand ohne authentifizierung

Lucas Morel

Eine Sicherheitslücke dans Microsoft 365 Direct Send erlaubt es Cyberkriminellen, Mitarbeiter Ohne Gestohlene Anmedededaten Anzugreifen.

Das Forensik-Team von Varonis Hat Eine Schwachstelle Entdeckt, die es Internen Geräten Wie Druckern Ermöglicht, e-mails ohne authentifizierung zu versenden. Dem Bericht Zufolgewurde Die Lücke Bereits Genutzt, Um Mehr als 70 Unternehmen, Vorwiegend dans Den USA, Anzugreifen. Dabei Haben Sich die angreifer als Interne Benutzer Ausgeben und Phishing-e-Mails Versendet, Ohne Dass Sie Dafür Konten Komprotieren Musten.

Die angriffskampagne war Erfolgreich, da e-mails, die Aus Microsoft 365 (M365) Versendet Werden, Weniger streng geprüft werden als normale eingehende e-mails.

„Diese Entdeckung ist Ein Klassischer Fall von Funktionalität versus Sicherheit”, Kommentiert Ensar Seker, Ciso Bei Socradar. „Die Direct-Send-Funktion von Microsoft 365 Wurde Aus Gründen Der Benutzerfreundlichkeit Entwickelt, Damit Geräte Wie Drucker Oder Scanner E-Mails OHNEALFIFIRUNG Versenden Können. Genau Dieses Design Öffnet Jédoch Türquir Oder MissverStanden Wird ”, Fügt der Expering Hinzu.

Usurpation „Bemerkenswert Einfach »

M365 Direct Send ist nur für den Internen Gebrauch Besttimmt, Aber Für Hacker Leicht Zugänglich, Da Keine Authentifizierung Erforderlich ist. Angreifer Benötigen Keine Anmededaten, tokens oder sogar Zugriff auf den Mandanten; Sie Benötigen Lediglich Ein Paar Öffentlich Zugängliche Détails und ein Wenig Talent Zum Rateten.

Dies Liegt Daran, Dass Direct Send Einen Smart Host Mit Einem Gängigen Format Verwendet :. Die Internen e-mail-Adressformate von Unternehmen lassen sich oft leicht Herausfinden oder aus Öffentlichen quellen oder sozialen meen extrahieren. Sobald ein angreifer über die Domain und eine gültige e-mail-Adresse Verfügt, Kann er e-mails Versenden, die scheinbar aus dem Unternehmen Stammen.

Dans Der von Varonis Beobachteten Kampagne Verwendete Der Angreifer PowerShell, Um e-mails Zu Versenden, Die Wie Voicemail-Benachrichtigungen Aussahen und Einen Pdf-Anhang mit einem qr-code enthielten. Beim Anklicken Wird Das Opfer auf eine Site Web Weitergeleitet, Die M365-ANMELDEDATEN ABFRAGT.

Den Forschern Zufolge funktioneren Die Angriffe, DA:

  • Keine Anmedungen Oder Anmededaten Erforderlich Sind,
  • Der Smart Host e-mails von Jeder Externden Quelle Akzeptitiert,
  • ALS ABENDEREINE CRIENBIGE INTERNE BENUTZERADESSE GENUTZT WERDEN KANN, UND
  • Die Einzige Voraussetzung Ist, Dass der empfänger Innerhalb der kundenorganisation ist.

Da die e-mail über die Microsoft-infrastruktur Geleitet wird und scheinbar aus dem Unternehmen stammt, umgeht sie außerdem Herkömmliche Sicherheitskontrollen. Darunter Fallen auch die Filtermanmismen von Microsoft, die sie als Interne e-mail behandeln, sowie tools von drittanbietern, die verdächtige nachrichten pain Der authentifizierung, der routing-muster oder Der Der Reputation Descendrs kennzeichnen.

„Die Herausforderung Bestteht Darin, Dass Viele Unternehmen Entweder Die Stordeinstellungen Unverändert Lassen, Dadurch Wird Das Spoofing Aus Vermeintlich Inklärtend Bemerkenswert Einfach` `Erklälärten’t Socradar-Ciso Seker.

David Shipley von Beauceron Security Merkt An, Dass Die Lücke „Nicht Wirklich“ Zur Microsoft Secure Futures Initiative Passt, Der Kampagne des unternehmens Zur Kontinuierlichen Sicherung Seiner Eigenen Sicherheit Unders Seiner Kunden. „Diese Art von Implevance Ist Das Direkte Ergebnis des Katz-und-Maus-Spiels im Bereich e-mail-sicherheit”.

Da immer mehr unternehmen sicherheitsfunktionen wie spender framework (SPF), Authentification, reporting et conformité (DMARC) UNDEDKEYS (DMARC) UNDEDKEYS (DKIM) EINSETZEN UNDE dans le courrier électronique Investierren, Wird Reguläres spoofing schwieriger.

Für kriminelle seien sie im Grunde Genommen ein Leichtes Spiel, Ergänzt Shipley und Betont: „Jeder, der (Direct Send) Verwendet, Sollte meurt Angesichts dieses Berichts schnellstmöglich eüberprüfen“.

Worauf Sie Achten Sollten

Um Festzustellen, ob ein missbrauch vorliegt, emprehlen die varonis-forscher, die kopfzeilen von nachrichten und auf auffälliges verhalten zu achten. Zu den Indikator dans Den Kopfzeilen von Nachrichten Gehören externe IP-Adressen, Die An Den Host Smart Gesendet Werden, Oder Fehler dans SPF, DKIM ODER DMARC FURNE INTERNE Domänen. Außerdem Sollte Die „X-MS-Exchange-Crosstenant-ID« MIT der Mandanten-id Der Organisation übereinstimmen.

Zu den VerhaltenSindikator Können e-mails gehören, die von benutzern an sich selbst gesendet wurden, ungewöhnliche ip-adressen, Verdächtige anhänge oder datetinamen sowie powershell oder andere befehlszeilen-inders-asser-aders.

Nach Eigenen Angaben Arbeitet Microsoft Daran, Direct Send Standardmäßig Zu Deaktivieren, und Dass Kunden Eine Statische IP-Adresse im Spf-eintrag Erzwingen Können. Auf diese Weise Soll Missbrauch Beim Senden Verhindert Werden.

Um Hier Proaktiv Zu Handeln, Empfehlen Die Forscher von Varonis It-Verantwortlichen:

  • Implementieren sie stérile dmarc- und anti-spoofing-richtlien.
  • Markieren Sie Nicht Authentifizierte Interne e-mails Zur überprüfung.
  • Erzwingen Sie „Spf Hardfail” en échange de protection en ligne (EOP).
  • Aktivieren sie „Direct Send insennon“ IM Exchange Admin Center.
  • Informrieren Sie Benutzer über die Risiken von Quishing-Angriffen (QR-Code).

MIT Dem Netzwerk Verbundene Geräte als „Vollwertige endpunkte« Behandeln

Für eine sichere Konfiguration von Direct Send gehört lauf Seker außerdem: Die für die Nutzung zugelassenen IP-Bereichemüssen eingegrenzt, strenge SMTP-Relay-Einschränkungen implementiert und Anomalien wie Geräte, die an Verteilerlisten oder externe Domänen senden, überwacht Werden. ES SEI AUCH WICHTIG, Diese Techniken Mit Einer Starken Durchsetzung von SPF, DKim und Dmarc Zu Kombinieren, était Viele Unternehmen übersähen.

Spam- und phishing-kampagnen über scanner und drucker werden immer häufiger, weil „sie sich gut tarnen“, donc der socradar-experte. „Mitarbeiter Sind Daran Gewöhnt, Benachrichtigungen über Gescannte dokumete zu Sehen, und hinterfragen Deren Echtheit Selten. » Um dem ennegenzuwirken, Sollten Unternehmen mit dem netzwerk verbundene Geräte als „Vollwertige endpunkte« Behandeln und sie mit segmenterung, ProTokollierung und Verhaltensrichtlien ausstatten, um missbrauch zu erkennen.

Laut Seker ist ein Problem der Transparenz. „Wenn Sie Nicht Wissen, wozu ihre Geräte in der lage Sind Oder était Sie Tun Dürfen, Können Sie Sich Nicht Dagegen Verteidigen. Fehlkonfigurationn Vorhanden Sind. « 

Roger Grimes, Evangéliste de défense basé sur les données Bei Knowbe4, Weist Jedoch Darauf Hin, Dass Solche Kampagnen Trotz Zunehmender Häufigkeit Nicht Weit Verbreitet Sind. Das Liege Vor Allem Daran, Dass Die Bereits von Hackern und Betrügern Eingesetzten Taktiken Recht Gut Funktionieren. „ES Gibt Keinen Grund, Etwas Neues Oder Schwierigeres Zu Versuchen, Wenn Die Aktuellen Methoden den den dengern Schon Reich Machen”, So Grimes. (JM)

vgwort

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Cyber Attack
Le géant médical Stryker paralysé après que des pirates informatiques iraniens aient effacé à distance des ordinateurs
data privacy data breach
Telus Digital victime d’une violation massive de données
Le métier de faux informaticien nord-coréen dévoilé
Le métier de faux informaticien nord-coréen dévoilé