Cyberkriminelle nutzen immer häufiger Microsoft Teams für ihre Zwecke. In jüngster Zeit häufen sich dabei vor allem Vorfälle, in denen sie sich als Mitarbeitende des IT-Supports ausgeben. Hierfür richten sie spezielle Chats mit vermeintlichen IT-Supportanfragen ein, um mittels Echtzeit-Social-Engineering Zugriff auf die Unternehmenssysteme zu erhalten.
In aller Regel beginnt eine solche Attacke mit dem Missbrauch externer Kollaborationsfunktionen in Microsoft Teams. Der Angreifer nimmt von einem anderen Tenant aus Kontakt mit der Zielperson auf und gibt sich dabei als interner Support-Mitarbeitender aus. Mit geschickten Social-Engineering-Skills bringen sie die Opfer im Verlauf des scheinbar legitimen Chats dazu, mehrere deutlich angezeigte Sicherheitswarnungen zu ignorieren und ihnen Zugriff zu gewähren oder Malware zu installieren.
Andrea Sivieri, Chief Product and Technology Officer von CoreView, erklärt:
„Der Microsoft-Helpdesk-Betrug funktioniert deshalb so gut, weil die Nutzer ein hohes Vertrauen in Microsoft Teams haben. Nach wie vor sehen viele in Microsoft 365 vor allem eine Produktivitäts-Suite. Dabei hat es sich längst zur kritischen Infrastruktur in den meisten Unternehmen entwickelt – und muss entsprechend geschützt werden.
Die nativen M365-Kontrollmechanismen sind nicht für die Abwehr von Social-Engineering-Angriffen konzipiert: Ein Echtzeit-Chat in einem offiziellen Collaboration-Tool mit dem vermeintlichen IT-Support ist für vielbeschäftigte Mitarbeitende schwer als Betrug zu erkennen. Für Hacker ergibt sich so ein einfacher Weg, um Zugriff auf privilegierte und vertrauliche Daten zu erlangen. Es genügen ein paar vom Benutzer bestätigte Klicks und schon haben sie Zugriff auf Quick Assist und Persistenz in der Registry. Sie können sich zudem innerhalb der Umgebung des Opfers lateral bewegen und schließlich Daten über HTTPS exfiltrieren. Und das alles, ohne Verdacht zu erregen.
Datendiebstahl ist nur der erste Schritt. Sobald Angreifer durch solche Social-Engineering-Methoden privilegierten Zugriff erlangt haben, ermöglicht ihnen dieser, den gesamten Tenant als Geisel zu nehmen. Angreifer können OneDrive- und SharePoint-Inhalte in großem Umfang verschlüsseln und legitime Administratoren aus dem Tenant aussperren. Hierfür kapern sie globale Administratorkonten und Richtlinien für den bedingten Zugriff. Sie können native M365-Funktionen wie Vertraulichkeitskennzeichnungen missbrauchen, um Daten unzugänglich zu machen, ohne hierfür Ransomware einzusetzen. Die Wiederherstellung nach einer Übernahme des Tenants kann Wochen dauern und erfordert oft ein direktes Eingreifen von Microsoft.
Aus diesem Grund ist die Echtzeit-Transparenz bei der Vergabe privilegierter Rollen, bei Änderungen an der Konfiguration und bei Administratoraktivitäten ein Muss. Sie entscheidet darüber, ob ein Vorfall eingedämmt werden kann oder ob er den Geschäftsbetrieb lahmlegt. Unternehmen müssen ihre Microsoft-365-Tenants widerstandsfähig machen. Sicherheitsverantwortliche sollten in der Lage sein, umgehend Konfigurationsdrift zu identifizieren, zu stoppen und rückgängig zu machen. Nur so können sie verhindern, dass eine einzelne genehmigte Remote-Sitzung zu einer domänenweiten Kompromittierung eskaliert.“
