Midnight Blizzard
„Eckard, die Russen kommen“ wusste nicht nur Werner, sondern inzwischen auch Microsoft und HPE, zumindest laut eigener Aussage. Wie sinnvoll und vertrauenswürdig Attributierungen sind, soll gar nicht Teil dieses Artikels werden. Vielmehr werden mit einem Blick in die Details der bekanntgewordenen Angriffe allgemeine Lessons Learned für jedermann abgeleitet.
„Gewachsene Strukturen“ könnte eine passende Beschreibung für die Hintergründe sein, die zum Erfolg der Angreifer beitrugen: ein Legacy-Benutzer mit schwachem Passwort ohne MFA, eine Test-Anwendung mit erhöhten Rechten in der Infrastruktur und eine scheinbar fehlende Trennung zwischen Testumgebung und Produktions-/Office-Umgebung.
Microsoft beschreibt die unterschiedlichen Angriffstechniken in seinem Blog-Eintrag sehr gut. Initialen Access erlangten die Angreifer mittels Passwort-Spraying. Bei dieser Technik probieren Angreifer eine kleine Anzahl an beliebten oder bekannten Passwörtern gegen möglichst viele Accounts aus. Auch Microsoft scheint nicht gegen Legacy-Accounts mit einfachem Passwort und ohne MFA gefeit zu sein.
Mancher mag es schon gar nicht mehr hören, aber es bewahrheitet sich immer wieder, dass die „leidigen“ Basics in der IT-Sicherheit viel zum Schutz beitragen: globale Passwortrichtlinien, erzwungene MFA für Online-Portale (externe und eigene) und eine (Rechte-)Trennung von Testumgebungen zum Office-Netzwerk bzw. dem Produktionsnetz.
Eine Überprüfung der eigenen M365-Accounts auf illegitime Zugriffe und ungewöhnliche OAuth-Apps sollte im Rahmen einer proaktiven Sicherheitspolitik vorsichtshalber durchgeführt werden.
Interessierte finden weiteres Lesematerial hier:
https://www.sec.gov/Archives/edgar/data/1645590/000164559024000009/hpe-20240119.htm