IT-Security Mai/Juni 2023
Cyber-Resilience & MDR-Services - Hand in Hand für mehr Sicherheit Übersicht dank 360 Grad Sicht - XDR-Plattformen helfen Anwendern Zero Trust Architektur - Vom Schlagwort zur individuellen Lösung Fragmentierung im Cyber Storage - Innovativer Ransomware-Schutz
Cyber-Resilience & MDR-Services - Hand in Hand für mehr Sicherheit
Übersicht dank 360 Grad Sicht - XDR-Plattformen helfen Anwendern
Zero Trust Architektur - Vom Schlagwort zur individuellen Lösung
Fragmentierung im Cyber Storage - Innovativer Ransomware-Schutz
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
30 | <strong>IT</strong> SECUR<strong>IT</strong>Y<br />
Bild1: Speicherung der Zugangsdaten durch den Phishing-Server<br />
Bild 2: Ein Session-Token konnte erlangt werden<br />
Klickt ein Benutzer auf den mitgelieferten<br />
Link, gelangt er auf die Phishing-<br />
Webseite. Der Nutzer wird zum Login<br />
auf die M365-Dienste aufgefordert. Die<br />
Verbindung ist per TLS abgesichert, so<br />
dass der Browser keine Warnung anzeigt.<br />
Werden die Zugangsdaten eingegeben,<br />
finden folgende Schritte im Hintergrund<br />
statt:<br />
Die eingegebenen Zugangsdaten werden<br />
auf dem Phishing-Server gespeichert<br />
und an das eigentliche Zielsystem<br />
weitergeleitet.<br />
Dieses überprüft Benutzername und<br />
Kennwort und fordert zur Eingabe des<br />
zweiten Faktors auf. Dem Opfer wird<br />
die gleiche Abfrage präsentiert. Wird<br />
der zweite Faktor eingegeben, wird<br />
auch dieser über den Phishing-Server an<br />
das Zielsystem übermittelt, woraufhin<br />
dort ein Session-Token für den Benutzer<br />
erstellt wird. Das Token wird an das Opfer<br />
weitergegeben. Mit dem Token kann<br />
anschließend der Browser an das Zielsystem<br />
weiter- oder die Sitzung durch<br />
den Phishing-Server durchgeleitet werden.<br />
In beiden Fällen ist der User im<br />
Zielsystem eingeloggt. Durch einen für<br />
den Benutzer „reibungslosen“ Login-<br />
Prozess besteht die Möglichkeit, dass<br />
das Opfer keinen Unterschied erkennen<br />
kann.<br />
Das generierte Session-Token wird dem<br />
Angreifer ebenfalls übergeben. Dieser<br />
kann das Token im eigenen Browser nutzen,<br />
um im Namen des Opfers die Applikation<br />
auf dem Zielsystem zu verwenden.<br />
In diesem Fall verfügt er nun über<br />
eine gültige Sitzung in M365.<br />
Initial Access mit gestohlenem<br />
Session-Token<br />
Der Angreifer hat nun initialen Zugriff<br />
auf kritische Ressourcen und einen Fuß<br />
in der digitalen Tür des Unternehmens.<br />
Damit kann er seinen vielfältigen Handlungsspielraum<br />
erweitern. So kann er<br />
zum Beispiel im E-<strong>Mai</strong>l-Postfach oder in<br />
MS Teams nach Nachrichten suchen,<br />
die Hinweise auf weitere Zugänge geben.<br />
Alle Dokumente, die dem eigentlichen<br />
Benutzer zugänglich sind, sind<br />
es nun auch für den Angreifer. Dieser<br />
kann nun nicht nur Daten stehlen, sondern<br />
sie auch modifizieren oder gar<br />
zerstören.<br />
Darüber hinaus kann der Angreifer<br />
Schadsoftware auf dem SharePoint des<br />
Unternehmens ablegen oder Office-Dokumente<br />
mit schadhaften Makros versehen.<br />
Früher oder später wird eine<br />
weitere Person aus dem Unternehmen<br />
diese Dokumente oder abgelegten Dateien<br />
öffnen und weitere Malware nachladen.<br />
Ebenso öffnet der Zugriff auf das E-<strong>Mai</strong>l-<br />
Postfach oder den Teams-Kanal Tür und<br />
Tor für Social-Engineering-Methoden.<br />
Der Angreifer kann sich als valider Mitarbeitender<br />
des Unternehmens ausgeben<br />
und diese Vertrauensstellung nutzen,<br />
um Kollegen zu manipulieren und<br />
sich weitere Berechtigungen im Unternehmensnetzwerk<br />
verschaffen.<br />
Ist der Angreifer erst einmal im Unternehmen<br />
aktiv, ist eine Erkennung nicht<br />
<strong>Mai</strong>/<strong>Juni</strong> <strong>2023</strong> | www.it-daily.net