Risiko Cloud und öffentlich lagernde Daten. Ein Sicherheitsforscher hat gerade auf diesen Sachverhalt bzw. die Probleme hingewiesen, die durch Speichern von Daten auf SharePoint, OneDrive oder durch die Informationen in People, Teams oder Outlook entstehen. Ausgangspunkt war das Wissen, dass man mit Daten, die aus der People-App herausgezogen werden können, öffentliche Microsoft 365-Gruppen finden und dann Dokumente exfiltrieren kann. Zudem ist es möglich, bösartige Dateien auf offenen OneDrive-Freigaben zu speichern, über die die Nutzer ausspioniert werden können. Der Sicherheitsforscher zeigt einen „Blick in den Abgrund“, was IT-Sicherheit betrifft.
Die Gefahr der Cloud
Landläufig geht ja die Mär, dass böse Hacker Schwachstellen ausnutzen, um Netzwerke auszukundschaften und Systeme zu hacken. Insider wissen aber, dass die benötigen Informationen oft frei im Netz zu finden sind. Das große Risiko der Cloud besteht nach Meinung mancher Nutzer auch darin, dass eine Fehlkonfiguration den Zugriff auf Daten durch Unbefugte ermöglicht.
Eine unbewusste Fehlkonfiguration eines Cloud-Speichers, die den Datenabfluss ermöglicht, ist die eine Sache. Häufig sind es aber bewusst frei zugängliche Online-Speicher, die dazu führen können, dass Daten abfließen. Denn wer ist sich immer darüber im Klaren, ob eine OneDrive- oder SharePoint-Freigabe geschützt oder frei zugänglich ist. Und dann landet schnell mal ein Dokument auf einem offenen Online-Speicher, was dort niemals hingehört hat – und sei es, weil eine App dort ihre Dateien als Backup ablegt.
Das Cloud-Experiment
Ein Nutzer hat auf X die einfache Frage stellt: „Wer kann mir Informationen darüber geben, was Bedrohungsakteure tun, sobald sie Zugang zu M365-Umgebungen erhalten haben?“. Das ist ja die große Gefahr, die die Leute sehen. Sicherheitsforscher Erica Zelic, der als Freelance Security Consultant im Bereich AD, MS Cloud, Purple Team, EDR, Initial Access Leistungen anbietet, hat auf diese Frage geantwortet und in nachfolgendem Tweet skizziert, wie weit er mit den für ihn zugänglichen Informationen kommt, um Daten Dritter aus der Cloud abzurufen.
Dazu beschreibt er die Vorgehensweise: Er ruft die People-App (Kontakte-App) unter seinem Benutzerkonto myapps.microsoft.com auf. Dort werden ja Kontakte eines Nutzers mit allerlei Informationen aufgelistet. Was kann schon schief gehen, die Daten in den Kontakten ermöglichen ja nicht den Zugriff auf deren Online-Konten.
Der Sicherheitsforscher schreibt aber, dass er seine Kontakte verwenden kann, um öffentliche Microsoft 365-Gruppen zu finden. Sobald er eine solche Gruppe finde, prüfe er, welche Dokumente er aus dieser öffentlichen Gruppe exfiltrieren kann. Auch schaue er, welche E-Mail-Archive er lesen kann, um Wissen über die Organisationsstruktur und die PTO (Paid Time Off) der Mitarbeiter zu erlangen. Weiterhin gilt sein Augenmerk dem Ergattern von Verteilerlisten. Genau so würden Cyberkriminelle vorgehen.
Dann könnte er bösartige Dateien auf öffentlichen OneDrive-Freigaben anlegen, um von der Cloud auf On-Premise-Instanzen der Opfer zugreifen zu können. Dort könnte er andere Anwendungen wie ServiceNow durchsuchen, um Informationen in Wikis und Anleitungen zu erhalten. Weiterhin wäre es möglich, Admin-Portale wie entra.microsoft.com zu überprüften, um alle Konfigurationsinformationen über Oauth-App-Registrierungen und Enterprise-Apps zu erhalten und auszunutzen.
Der Sicherheitsforscher schreibt, dass man nach freigegebenen und delegierten Postfächern suchen könne, um sich dort zu verstecken. Er kann zudem Informationen über standortspezifische Beschränkungen abrufen, um zu erfahren, wohin er sich im Netzwerk risikofrei bewegen kann. Dann schreibt der Sicherheitsforscher, könne er ein internes Phishing mit unerlaubter Zustimmung für laterale Bewegungen einrichten. Über diese Schiene ist es möglich, per Phishing Zugang zu Teams und SharePoint zu bekommen. Dann ließen sich von Mitarbeitern Gerätecodes und anderen Methoden für laterale Bewegungen im Unternehmensnetzwerk ergattern.
Am Ende des Tages, so schreibt der Sicherheitsforscher, sei er in der Lage, Daten aus der Kontakte-App, SharePoint, Teams, OneDrive und Outlook abzuziehen. Eine eingerichtete Multifaktor-Authentifizierung (MFA) sei kein Hindernis. Mit dem ergatterten Wissen synchronisiert er andere Cloud-Laufwerke in Outlook, fügt Regeln hinzu, leitet Informationen weiter (sofern zulässig). Der obige Tweet skizziert, was alles möglich ist, wenn man nur konsequent die erreichbaren Informationen auswertet.
Was kann man zur Erkennung tun?
In einem weiteren Tweet fragt er: „Welche Protokolle können verwendet werden, um diese Art von Aktivität zu erkennen?“ Darauf gibt er als Antwort, das die Auswertung der Unified Access Logs im Compliance Portal bei der Erkennung helfe. Auch die Überwachung riskanter Anmeldungen, riskanter Nutzer sowie riskanter Arbeitsfelder seien hilfreich. Nutzer von Entra ID könnten nach der Anmeldung unter mysignins.microsoft.com die letzten Anmeldungen prüfen, um zu sehen, ob Dritte vielleicht das eigene Konto missbrauchen.
Das Ganze zeigt aber, wie riskant die gesamte Vernetzung mit Übergängen von Cloud auf On-Premises geworden ist. Bei vielen hundert Benutzern, die froh sind, wenn die IT-Infrastruktur überhaupt halbwegs funktioniert, auch noch die Kontrolle über die Daten zu erhalten, erscheint mir unmöglich. Und die Suche nach unberechtigter Nutzung gleicht der Suche nach der Nadel im Heuhaufen.
Das Ganze erscheint mir kaum noch beherrschbar. Die Protagonisten werden jetzt um die Ecke kommen und argumentieren: „Zeit, für eine KI-gestützte Sicherheitslösung, die die menschlichen Unzulänglichkeiten ausbügelt und Angriffe aufdeckt“. Klar, es gibt diese Chance, aber die Risiken überwiegen in meinen Augen. Wer sagt denn, dass die KI-Lösung nicht selbst zum Problem wird? Denn diese muss ja auf die Konten und Systeme zugreifen, um die Anmeldungen auszuwerten. Was, wenn eine Schwachstelle mal eben eine Hintertür in die Netzwerke öffnet? Der Solarwinds-Lieferkettenangriff ist ein Beispiel.
Und mir ist noch ein spezieller Fall aus dem Feld der KI im Hinterkopf, der zeigt, wie etwas gründlich schief gehen kann. Drüben im 50Plus-Blog hatte ich im Beitrag Der gefräßige Gigant: Leuchtstärktes Objekt im Universum übersehen über die Entdeckung der hellsten „Quelle im Universum“ berichtet. Der Quasar mit der Bezeichnung J0529-4351, der durch ein riesiges schwarzes Loch erzeugt wird, war jahrelang durch automatische Auswerteprogramme übersehen bzw. herausgefiltert worden. Und im Sinne „mit KI wird alles besser“ sehe ich die Gefahr, dass sich da die Verantwortlichen in Sicherheit wiegen „unser super teures KI-System hat nichts gemeldet, wir sind sauber“. Und dass die tollen KI-Systeme unbeabsichtigt Daten leaken, ist ein weiterer Aspekt, der auch zu diskutieren ist.
WOW was eine Erkenntnis: Cloud ist nicht sicher! Die ganzen Datenvorfälle/Sicherheitslücken jeden Monat/jedes Jahr lassen einem das doch schon seit Jahren wissen, pfeifen die Spatzen von den Dächern und trotzdem interessiert es die Masse da draußen nicht! Na da hoffe ich mal das für den ganzen Shice keine Steuergelder verschwendet wurden.
Was der beschreibt ist „social engineering“, das ist seit ca. 1980 bekannt, damals noch unter dem begriff phreaking.
Pssiert halt wenn DAUs Technik nutzen die sie nicht verstehen. Was wir brauchen ist nen IT/Internet Führerschein… du kommst da nicht rein ;-P Nicht so wie Bällchen Becker: Bin ich schon drinn? ;-P
/edit/ Consultants liebe ich besonders: erzählen dir für nen Haufen Geld das was du eigentlich sowieso schon weist! Definitiv das Geld nicht wert. Wer als Firma Consultants benötigt sollte lieber die Firma dicht machen.
Das ist nicht das Problem, das Problem bei „Consultants“: es sind immer Dienstleistungsverträge, du bezahlst das du dir das anhörst was die sagen und nicht(!) für das Ergebnis. Versuch denen bei Projekten mal ein Werksvertrag aufs Auge zu drücken, womit am Ende auch das Ziel definiert ist, das sind die dann alle ganz schnell weg.
Und: je größer das „Beraterunternehmen“ umso unfähiger werden die Leute und kosten mehr Geld.
das Spiel geht anders rum genauso. ich will etwas tun und umsetzen, finde in der Firma aber keinen der versteht worum es geht und die Verantwortung übernimmt für das „ja, das machen wir“.
Hauptsache keine Verantwortung, Hauptsache keine Entscheidung treffen, wir Dienstleister werden ausgebremst.
arbeiten kann man nur beim berühmten KMU, der entscheidet, der möchte Ergebnisse.
Konzerne wollen nur Papier.
deswegen nenne ich mich immer schon Dienstleister.
frei nach Dieter Nuhr: das sind 2 Tu-Wörter, dienen und leisten
es gibt sehr gute Gründe, warum es uns Spezialisten zur Unterstützung gibt. die eigene IT hat oft den Fokus im Tagesgeschäft, reagieren statt agieren.
und oftmals benötigt es Berater, die der IT erst Mal ein Verständnis vermitteln, was wichtig ist und was fehlt.
es ist wie immer, es gibt solche und solche …
Phreaking ist die kreative Nutzung von Telefonnetz Abrechnungssystemen.
und Scam über Telefonanrufe… weit bevor es das Internet gab ;-P
Zum Glück bekomme ich als (Cloud)-Administrator hier Schulungen bis zum Abwinken – Satire off. Deutscher Mittelstand. Die 5000 MS-Cloud URLs mit Sub-sub-Menüs und Häkchen mal hier und mal dort – das kann nur schief gehen.