Prävention und Reaktion bei AiTM-Phishing-Attacken

In den letzten Jahren haben AiTM (Adversary in the Middle) Attacken auf Microsoft 365-Konten erheblich zugenommen. Diese Angriffe stellen eine ernsthafte Bedrohung für Unternehmen dar, da sie in der Lage sind, Multi-Faktor-Authentifizierung (MFA) zu umgehen und somit unbefugten Zugriff auf sensible Daten zu ermöglichen.

Die generelle Sicherheitssituation im Bereich der AiTM-Angriffe auf Microsoft 365-Konten hat sich in den letzten Jahren verschärft. AiTM-Angriffe sind eine weit verbreitete Bedrohung, die Organisationen erheblichen Schaden zufügen können.

Diese Angriffe nutzen Phishing-Techniken, um Authentifizierungsinformationen und Sitzungscookies abzufangen, wodurch Angreifer die Multi-Faktor-Authentifizierung umgehen können. Ein Bericht von Deepwatch Labs hebt hervor, dass AiTM-Phishing-Kampagnen eine erhebliche Bedrohung für Organisationen darstellen, da sie Microsoft 365-Konten kompromittieren und sensible Daten sowie betriebliche Prozesse gefährden können.

Diese Angriffe sind besonders gefährlich, da sie oft schwer zu erkennen sind und erhebliche Schäden verursachen können. Die zunehmende Verfügbarkeit von AiTM-Phishing-Kits auf dem Schwarzmarkt hat die Bedrohung weiter verschärft. Diese Kits ermöglichen es auch weniger technisch versierten Angreifern, hochentwickelte Phishing-Angriffe durchzuführen. Die Angreifer können so Authentifizierungsinformationen abfangen und die Kontrolle über Benutzerkonten übernehmen.

Die Cloud-basierte Natur von Microsoft 365 und die Integration verschiedener Dienste machen es zu einem attraktiven Ziel für Angreifer. Die Möglichkeit, standortunabhängig auf Konten zuzugreifen, erhöht das Risiko von Cyberangriffen erheblich. Zudem sind On-premises Systeme oft besser isoliert und können strenger kontrolliert werden.

Basierend auf aktuellen Best Practices sollten Unternehmen folgende Schritte unternehmen, sobald eine AiTM-Attacke erkannt wurde:

1. Sessions trennen: Die Sitzung des kompromittierten Benutzers muss sofort getrennt werden, um den Zugriff des Angreifers zu unterbrechen. Hierfür können die aktiven Session Cookies für den Anwender widerrufen werden.
    
2. Passwörter zurücksetzen: Wenn auch unüblich, kann es dennoch sein, dass die Angreifer das Passwort des Users geändert haben. Das muss überprüft und das Passwort gegebenenfalls zurückgesetzt werden.
    
3. Verdächtige Sicherheitsinformationen entfernen: Häufig hinterlegen Angreifer eigene MFA-Methoden, um auch nach dem Ablauf der Session noch auf das Konto zugreifen zu können. Prüfen Sie das betroffene Konto und entfernen Sie verdächtige Authentifizierungsmethoden sofort.
    
4. Umfang der Kompromittierung feststellen: Nutzen Sie die Defender Funktionen zur Überprüfung auf weitere kompromittierte User und fertigen Sie anschließend einen Export der Audit Logs für die betroffenen User an. Diese können für die Analyse des Umfangs wie auch der Herkunft des Angriffs genutzt werden.
    
5. Mail-Weiterleitungsregeln überprüfen und löschen: Regelmäßig werden Mail-Weiterleitungsregeln bei AiTM-Angriffen hinzugefügt. Es muss geprüft werden, ob solche Regeln erstellt wurden und diese entfernt werden.
    
6. Anwendungsregistrierungen überprüfen und deaktivieren: Angreifer fügen insofern die Erstellung nicht eingeschränkt ist Anwendungsregistrierungen in Entra ID hinzu, um auch nach dem Angriff noch Zugriff auf den Mandanten zu behalten. Es muss auf verdächtige Anwendungsregistrierungen geprüft und diese ggf. entfernt werden.
    
7. Informieren und sensibilisieren: Informieren Sie umgehend die betroffenen Benutzer. Sollten die kompromittierten Accounts für das Versenden weiterer Phishing-Mails verwendet worden sein, informieren Sie die Empfänger.

Unabhängig davon, ob Sie bereits Opfer eines AiTM-Angriffs geworden sind oder sich präventiv darauf vorbereiten möchten, gibt es verschiedene Schutzmaßnahmen. Hier ist es wichtig zu erwähnen – es gibt keinen 100%igen Schutz. Sie können allerdings die Wahrscheinlichkeit und Auswirkung solcher Angriffe stark mindern.

Um sich vor AiTM-Angriffen zu schützen und deren Auswirkungen zu minimieren, sollten Unternehmen folgende Maßnahmen ergreifen:

1. Conditional Access verwenden: Richtlinien für bedingten Zugriff einführen, um Anmeldungen nur von Geräten zuzulassen, welche als „compliant“ gekennzeichnet sind. Sollte dies nicht möglich sein, gibt es weitere restriktive Methoden, um den Zugriff einzuschränken.
    
2. Starke Authentifizierungsmethoden: Evaluieren Sie, welche Authentifizierungsmethoden für Sie in Frage kommen. Zu den starken Authentifizierungsmethoden gehören unter anderem Windows Hello for Business und FIDO2-Sicherheitsschlüssel.
    
3. Überwachung und Benachrichtigung: Nutzen Sie sämtliche Logging-Möglichkeiten und Erstellen Sie Alerts für relevante Events. Microsoft bietet mit dem Defender XDR und Sentinel hier weitreichende Möglichkeiten.
    
4. Geräteregistrierung einschränken: Schränken Sie die Geräteregistrierung so ein, dass das einfache Hinzufügen von Geräten nicht möglich ist.
    
5. Schulung und Sensibilisierung: Führen Sie regelmäßige Schulungen und Sensibilisierungsmaßnahmen für Mitarbeiter durch, um das Bewusstsein für Phishing zu erhöhen.
    
6. Sicherheitsrichtlinien aktualisieren: Nutzen Sie Vorfälle als Gelegenheit, um Ihre Sicherheitsrichtlinien zu überprüfen und zu aktualisieren. Implementieren Sie zusätzliche Sicherheitsmaßnahmen und führen Sie regelmäßige Audits durch.

AiTM-Angriffe stellen eine ernste und stetig wachsende Bedrohung für Microsoft 365-Umgebungen dar. Die Fähigkeit der Angreifer, Multi-Faktor-Authentifizierung zu umgehen, gefährdet sensible Daten und betriebliche Prozesse gleichermaßen. Unternehmen müssen sich dieser Gefahr bewusst sein und sowohl proaktive als auch reaktive Maßnahmen ergreifen, um die Auswirkungen solcher Angriffe zu minimieren.

Ein wirksamer Schutz umfasst eine Kombination aus technologischen Maßnahmen, wie Conditional Access und starken Authentifizierungsmethoden, sowie organisatorischen Schritten, wie regelmäßigen Schulungen und der Aktualisierung von Sicherheitsrichtlinien. Da es keinen absoluten Schutz gibt, bleibt Wachsamkeit der Schlüssel: Überwachung, schnelle Reaktion im Ernstfall und die kontinuierliche Verbesserung der Sicherheitsstrategie sind essenziell, um der dynamischen Bedrohungslage zu begegnen.