Doppelte Accounts innerhalb von Office 365 mit identischer UPN

In der Welt der Microsoft 365 Konten kommt es gelegentlich zu einem seltsamen Phänomen auf Windows Geräten.: Doppelte Konten mit identischem User Principal Name (UPN) Diese Duplikate haben unterschiedliche Verläufe, aber den gleichen UPN. Dies führt bei betroffenen Anwendern zu Verwirrung und teilweise zu Problemen beim Zugriff auf Ressourcen. Für den Benutzer sind außer dem abweichenden Dokumentenverlauf keine Unterschiede erkennbar.

Was hilft?

Durch das Löschen des Registry Schlüssels: „HKCU\SOFTWARE\Microsoft\Office\16.0\Common\Identity“ des betroffenen Benutzers wird eine erneute Anmeldung innerhalb der Office Produkte durchgeführt. Danach ist nur noch das „richtige“ Konto verfügbar und wird über SSO angemeldet.

Skynet im Büro: Die Risiken einer unkontrollierten Einführung von M365 CoPilot

Die Integration von Microsoft 365 CoPilot in die Unternehmenswelt verspricht, durch den Einsatz fortschrittlicher KI die Effizienz, Kreativität und Entscheidungsfindung zu revolutionieren. Doch ohne eine fundierte Governance und Compliance kann diese technologische Innovation schnell zu einem Kontrollverlust führen, ähnlich dem fiktiven Aufstieg von Skynet, der selbstbewussten KI, die in der „Terminator“-Filmreihe die Menschheit bedroht. Die fortschrittlichen Fähigkeiten von CoPilot, Daten und Informationen zu indizieren und zu analysieren, können unbeabsichtigt zu Datenschutzverletzungen und Sicherheitsrisiken führen, wenn die Governance-Strukturen nicht sorgfältig angepasst werden. Leider wurde das Thema bei vielen M365 Einführungen stiefmütterlich behandelt.


Ein alltägliches Beispiel:

Ein Mitarbeiter ist sich nicht bewusst, dass ein Gehaltsdokument versehentlich in einem öffentlich zugänglichen Teamordner abgelegt wurde. Die Sicherheit dieses Dokuments beruht auf dem fehlenden Wissen des Mitarbeiters über seine technischen Berechtigungen und den Standort des Dokuments. Die KI jedoch, die nur die bestehenden Benutzer-Berechtigungen berücksichtigt, kennt den Standort und könnte somit sensibelste Daten freilegen, ohne die Absicht oder das Wissen des Benutzers.

Vielleicht etwas genauer

Ein Aspekt, der nicht allen Benutzern – einschließlich einiger Administratoren – bewusst ist, betrifft die Zugänglichkeit von Inhalten öffentlicher Teams innerhalb der Office 365-Umgebung. Alle Dokumente, die in den öffentlichen Teamordnern abgelegt sind, können über die Office 365-Suche von jedem Benutzer im Unternehmen gefunden werden, unabhängig davon, ob der Suchende Mitglied des jeweiligen Teams ist oder nicht. Diese Dokumente lassen sich nicht nur über die M365-Suche auffinden, sondern auch in SharePoint öffnen und sind ebenso über die Teams-Suche oder Delve zugänglich.

Diese weitreichende Zugänglichkeit eröffnet in Bezug auf M365 CoPilot eine neue Dimension der Datenverarbeitung. CoPilot kann auf sämtliche Inhalte zugreifen, zu denen der Nutzer Berechtigungen besitzt – und somit auch auf alle Inhalte aller öffentlichen Teams. Im Unterschied zur herkömmlichen Suche, die Nutzer vielleicht manuell durchführen, kann M365 CoPilot diese Informationen nicht nur effizienter verlinken, sondern sie auch in seinen Antworten auf eine Weise nutzen, die weit über die einfache Wiedergabe von Suchergebnissen hinausgeht.

Dies bedeutet, dass M365 CoPilot potenziell Zugriff auf eine breitere Palette von Dokumenten und Informationen hat, als den Nutzern möglicherweise bewusst ist. Während dies die Effizienz und Produktivität durch den Zugang zu einer Fülle von Ressourcen steigern kann, unterstreicht es auch die Notwendigkeit einer sorgfältigen Überwachung und Verwaltung von Berechtigungen und Zugriffsrechten innerhalb von Office 365.

Die Sicherstellung, dass nur relevante und angemessene Inhalte öffentlich zugänglich gemacht werden, wird zu einer kritischen Komponente im Management von Informationen und der Gewährleistung der Datensicherheit in einer zunehmend durch KI unterstützten Arbeitsumgebung.

Ein weiteres konkretes Beispiel: Der alte Produktkatalog

Nehmen wir an, ein Vertriebsmitarbeiter bittet M365 CoPilot, die aktuellen Preise für ein bestimmtes Produkt zu nennen. Unbekannterweise basiert die Antwort des CoPilot auf einem veralteten Produktkatalog, der in einem der vielen Ordner des Cloudnetzwerks gespeichert ist. Dieser Katalog, der längst durch neuere Versionen ersetzt wurde, ist immer noch zugänglich, da die Data Governance nicht nachjustiert wurde, um solche veralteten Dokumente zu identifizieren und ihre Sichtbarkeit einzuschränken.

Das Resultat? Der Vertriebsmitarbeiter erhält Informationen, die auf veralteten Preisen oder gar Produkten basieren. Im schlimmsten Fall führt dies zu Angeboten, die weit unter dem aktuellen Marktpreis liegen oder nicht mehr lieferbar sind, was direkte finanzielle Verluste und Vertrauensverlust bei Kunden nach sich ziehen kann. Dieses Szenario verdeutlicht nicht nur die potenziellen Risiken einer unkontrollierten KI-Nutzung, sondern auch die Notwendigkeit eines dynamischen und proaktiven Ansatzes in der Data Governance und im Rechte- und Rollenmanagement.

Die Bedeutung von Data Governance

Diese Beispiele zeigen deutlich, dass Data Governance und das Management von Zugriffsrechten ein stetiger Prozess sein müssen.

Um die Herausforderungen im Zusammenhang mit der Zugänglichkeit und Verwendung von Daten durch fortschrittliche KI-Systeme wie M365 CoPilot zu bewältigen, sind proaktive Lösungsansätze erforderlich. Diese sollten ein robustes Rechte- und Rollenmanagement, die kontinuierliche Schulung von Mitarbeitern sowie die effektive Klassifizierung von Daten umfassen. Es reicht nicht aus, einmalig Berechtigungen zu vergeben; vielmehr müssen Organisationen proaktiv den Zugriff auf Daten und Informationen steuern und sicherstellen, dass nur autorisierte Benutzer auf sensible Daten zugreifen können.

Lösungsansätze

  • Proaktives Rechte- und Rollenmanagement: Die Vergabe von Zugriffsrechten muss auf einer gründlichen Analyse der Notwendigkeit des Zugriffs basieren. Sensible Informationen sollten besonders geschützt und regelmäßig überprüft werden.
  • Kontinuierliche Schulung der Mitarbeiter: Die Sensibilisierung der Mitarbeiter für den sicheren Umgang mit Daten und die Bedeutung des Datenschutzes ist entscheidend, um unbeabsichtigte Sicherheitsrisiken zu minimieren.
  • Einführung von Sensitivity Labels: Microsoft 365 CoPilot ist darauf ausgelegt, innerhalb der Sicherheits- und Compliance-Frameworks von Microsoft 365 zu arbeiten, einschließlich des Umgangs mit Sensitivity Labels und geschützten Inhalten. Sensitivity Labels sind ein zentraler Bestandteil der Microsoft 365 Compliance-Lösung, die es Organisationen ermöglicht, Daten basierend auf ihrer Sensibilität zu klassifizieren und zu schützen. Diese Labels können verwendet werden, um zu steuern, wer Zugriff auf bestimmte Informationen hat, und um Richtlinien für die Aufbewahrung, Verschlüsselung und andere Schutzmaßnahmen zu definieren.

Sensitivity Labels

Integration mit Sensitivity Labels

CoPilot respektiert die durch Sensitivity Labels definierten Zugriffs- und Schutzrichtlinien. Wenn ein Dokument oder eine E-Mail mit einem Sensitivity Label versehen ist, welches bestimmte Schutzmaßnahmen vorschreibt – wie etwa eine Verschlüsselung oder Zugriffsbeschränkungen, werden diese Schutzmaßnahmen auch von CoPilot eingehalten. Das bedeutet, dass CoPilot Inhalte, welche beispielsweise als „vertraulich“ oder mit höheren Schutzstufen gekennzeichnet sind, nicht für Benutzer zugänglich macht, die nicht die entsprechenden Berechtigungen besitzen.

Verhalten bei geschützten Inhalten

Für geschützte Inhalte, die durch Technologien wie Azure Information Protection (AIP) gesichert sind, gewährleistet CoPilot, dass die Schutzmaßnahmen beibehalten werden. CoPilot kann solche Inhalte im Rahmen der vom Benutzer zugewiesenen Berechtigungen verarbeiten, aber es wird sichergestellt, dass die Datenverarbeitung den Richtlinien entspricht, die durch die Sensitivity Labels festgelegt sind. Beispielsweise würde CoPilot keine Informationen aus einem als „streng vertraulich“ gekennzeichneten Dokument in einer Antwort verwenden, wenn der anfragende Benutzer nicht die erforderlichen Rechte zum Anzeigen dieses Dokuments besitzt.

Auswirkungen auf die Datensicherheit und Compliance

Durch die Einhaltung der durch Sensitivity Labels festgelegten Richtlinien trägt CoPilot dazu bei, die Datensicherheit und Compliance innerhalb von Microsoft 365 zu verstärken. Organisationen können somit die Vorteile von KI-gestützten Produktivitätswerkzeugen nutzen, ohne Kompromisse bei der Sicherheit sensibler Informationen eingehen zu müssen. Dies unterstreicht die Bedeutung der sorgfältigen Implementierung und Verwaltung von Sensitivity Labels und Schutzrichtlinien, um ein hohes Maß an Sicherheit und Compliance in der digitalen Arbeitsumgebung zu gewährleisten.

Fazit

Die Einführung von Technologien wie M365 CoPilot kann erhebliche Vorteile für Unternehmen bringen, stellt jedoch auch neue Anforderungen an das Management von Rechten und Rollen. Durch die sorgfältige Anpassung von Data Governance-Prozessen können Unternehmen die Risiken minimieren und sicherstellen, dass die Technologie zum Wohl aller Beteiligten eingesetzt wird, ohne ungewollt ein Szenario à la Skynet zu riskieren.

Microsoft Exchange 2016 – Aktivierung der Extended Protection

Mitigation des Exchange CVE-2024-21410

Derzeit stellen sich viele Leute die Frage: Wie kann ich die Sicherheitslücke CVE-2024-21410 in meinem Exchange Server schließen? Hat die Mitigation Auswirkungen auf meine Exchange Organisation?

Nun, das ist nicht so einfach zu beantworten. Grundsätzlich gilt, um das Sicherheitsloch zu schließen muss die sogenannte Exchange Extended Protection aktiviert werden. Diese soll dafür sorgen, dass sogenannte „man-in-the-middle“ Attacken verhindert werden.

Für Exchange 2019 wird die EP mit dem CU14 aktiviert (außer der Nutzer deaktiviert das Feature wissentlich bei der Installation). Doch wie verhält es sich bei Exchange 2016?

Grundsätzlich muss sichergestellt sein, dass ein eventuell vorgeschalteter LoadBalancer kein TLS-Offloading nutzt. Im Normalfall macht ein LoadBalancer ein ReEncrypt oder einfach eine Weiterleitung der Anfragen. Sollte jedoch ein Offloading genutzt werden, wird die Konfiguration zu Problemen führen. Des Weiteren müssen alle Komponenten auf dem Exchange auf aktuellem Stand sein. Das bedeutet, dass auf dem Exchange 2016 das aktuelle CU 23 (Minimum 15.01.2507.012 / Bei Exchange 2013 Build 15.00.1497.040) installiert sein muss und TLS1.2 auf ALLEN Exchange Servern der Organisation aktiviert sein muss. Hier kann der Exchange HealthChecker helfen, um die Konfigurationen auf dem Exchange zu überprüfen.

https://microsoft.github.io/CSS-Exchange/Diagnostics/HealthChecker/

C:\TEMP>.\HealthChecker.ps1 -Server Exchange01,Exchange02,Exchange03

Für die Lesbarkeit sollte über den folgenden Befehl der HTML Report erstellt werden.

C:\TEMP>.\HealthChecker.ps1 -BuildHtmlServersReport

Die TLS Einstellungen auf den Servern sollten dann wie folgt ausgegeben werden (bitte für alle Server prüfen):

Zuerst einmal sollte geprüft werden, ob die EP bereits aktiviert ist. Dafür kann das PowerShell Script aus dem Microsoft GitHub genutzt werden.

https://microsoft.github.io/CSS-Exchange/Security/ExchangeExtendedProtectionManagement/

Wenn dieses Script auf einem Exchange mit dem Parameter -ShowExtendedProtection gestartet wird, werden die entsprechenden Werte ausgelesen und aufgelistet.

Wie hier zu sehen, stehen alle Werte auf „None“. Das bedeutet, dass die EP auf dem Server nicht aktiv ist.

Um nun die Aktivierung der Extended Protection durchzuführen, kann das gleiche Script, ohne einen angegebenen Parameter gestartet werden.

C:\TEMP>.\ExchangeExtendedProtectionManagement.ps1 -ShowExtendedProtection

Das Script prüft nun nochmal die benötigten Einstellungen und aktiviert die benötigten Parameter, damit die EP auf den Virtuellen Verzeichnissen des Exchange aktiviert wird.

Sollte es Problem mit z.B. OutlookAnywhere bei der Ausführung des Scripts geben, muss eventuell das Offloading bei OutlookAnywhere deaktiviert werden. Dies kann wie folgt durchgeführt werden:

[PS] C:>Set-OutlookAnywhere „Exchange-XY\RPC (Default Web Site)“ -SSLOffloading $false

Um den Erfolg des Scripts zu prüfen, kann erneut mit dem Parameter -ShowExtendedProtection die Konfiguration geprüft werden. Diese sollte nun wie folgt aussehen:

Wichtig ist, dass nach der Anpassung die Funktionen geprüft werden. Hierzu sollten überprüft werden ob OWA und ECP sowie die Management-Shell, als auch die Outlook Verbindungen von Intern und Extern funktionieren.

Sollte es zu Problemen kommen, kann die Konfiguration wieder auf den Ursprungszustand zurückgesetzt werden. Dafür können folgenden Befehle genutzt werden:

C:\TEMP\.ExchangeExtendedProtectionManagement.ps1 -RollbackType „RestoreIISAppConfig“

C:\TEMP.\ExchangeExtendedProtectionManagement.ps1 -RollbackType „RestrictTypeEWSBackend“

Diese Befehle setzen die Einstellungen in Front- und BackEnd wieder zurück. Die Sicherheitslücke bleibt allerdings dann auch bestehen.

Sollte beim Rollback ein Fehler auftreten aufgrund fehlender Backup-Files, kann per folgendem Befehl ein kompletter Rollback durchgeführt werden.

.\ExchangeExtendedProtectionManagement.ps1 -DisableExtendedProtection

Fazit:

Vor Aktivierung der Extended Protection sollten alle Voraussetzungen geprüft werden (TLS-Einstellungen, Updatestand, TLS-Offloading auf Loadbalancer, etc.). Wenn diese alle passen, sollte es bei der Aktivierung keine Probleme geben. Sollten dennoch Probleme auftreten, kann die Einstellungen relativ schnell wieder zurückgesetzt werden. Aufgrund der derzeitigen Sicherheitslücke empfehlen wir allerdings, die Extended Protection schnellstmöglich zu aktivieren!

Lektionen aus dem Angriff auf Südwestfalen-IT: Prävention und Schutzmaßnahmen

Der Angriff auf Südwestfalen-IT durch die Ransomware-Gruppe „Akira“ im Oktober 2023 bietet wertvolle Einsichten in Cybersicherheitsrisiken und Präventionsstrategien. Dieser Blogbeitrag analysiert die einzelnen Schritte der Angreifer und diskutiert, wie diese hätten vermieden werden können. Als Quelle fungierte der öffentliche forensische Bericht.

Schritt 1: Identitäten absichern und Sicherheitsupdates einspielen

Schwachstelle in der VPN-Lösung: Der Angriff begann mit dem Ausnutzen einer Schwachstelle (CVE-2023-20269) in der VPN-Lösung ohne Multi-Faktor-Authentifizierung (MFA).

Warum Kennwörter unsicher sind und selbst MFA nicht immer ausreichend ist!

Die angebliche Zero-Day Schwachstelle, welche von der Akira Ransomware Gruppe ausgenutzt wurde, wurde bereits am 24ten August von Cisco in einem Blog Artikel erwähnt. Von einer Zero-Day Attacke (CVE-2023-20269) kann bei 55 Tagen nach Bekanntgabe daher nun wirklich keine Rede sein. Ein passendes Sicherheits-Update wurde am 11ten September zur Verfügung gestellt. Erste identifizierte Angriffe wurden am 18ten Oktober identifiziert werden.

Akira Ransomware Targeting VPNs without Multi-Factor Authentication – Cisco Blogs

Prävention: Die Implementierung von einer sicheren MFA hätte den Zugriff deutlich erschwert. Außerdem sollte bei Bekanntgabe von CVE’s immer eine direkte Bewertung sowie passende Maßnahmen umgesetzt werden. Die Einrichtung von Systemen zur Erkennung verdächtiger Aktivitäten, wie ungewöhnliche Anmeldeversuche oder auffällige Netzwerkbewegungen, hätte die frühzeitige Erkennung des Angriffs ermöglichen können.

Schritt 2: Ausbreitung

Erhalten administrativer Berechtigungen: Nach dem Zugang zum Netzwerk erlangten die Angreifer administrative Rechte.

Die Angreifer konnten das Administrator-Kennwort ausnutzen, weil es seit 2014 in einem Gruppenrichtlinienobjekt in entschlüsselbarer Textform hinterlegt war. Jeder Angreifer mit gültigen Domänen-Zugangsdaten konnte dadurch das Kennwort auslesen. Unter Verwendung eines von Microsoft bereitgestellten AES-Schlüssels ließ sich das Kennwort entschlüsseln, was den Angreifern ermöglichte, ihre Zugriffsberechtigungen auf das Niveau eines Domänen-Administrators zu erhöhen, ohne dabei typische forensische Anzeichen für Privilege Escalation oder Lateral Movement zu hinterlassen.

Prävention: Striktere Zugriffskontrollen und regelmäßige Überprüfungen der Berechtigungen hätten dies verhindern können. Sie sollten regelmäßig ihre Identity und Access Management Systeme auditieren.

Schritt 3: Verbreitung der Ransomware

Verbreitung der Ransomware: Die Ransomware wurde innerhalb der Windows-Domäne verbreitet. Die Verteilung der Ransomware erfolgte gezielt und anscheinend mittels Zugriffen auf das C$-Netzwerkshare der einzelnen Server. Es wurde angenommen, dass die Ransomware von Zielsystemen durch diese Zugriffe ausgeführt wurde. Diese Annahme stützt sich darauf, dass keine Spuren gefunden wurden, die auf andere Verteilungsmethoden hindeuten. Außerdem wurde festgestellt, dass die Ransomware w.exe selbst Logfiles schrieb, welche dokumentierten, welche Aktionen durch die Schadsoftware durchgeführt wurden und welche Fehler beim Verschlüsseln auftraten.

Es wurden 961 Systeme identifiziert, auf denen die Ransomnote akira_readme.txt vorzufinden war. Zum Glück wurden keine GPO’s, wie bei anderen Ransomware Gruppen üblich, verwendet. Andernfalls wären ca. 4200 Clients und 800 Server betroffen.

Prävention: Bessere Netzwerksegmentierung, ein AD Tiering, eine klassische Server Härtung und strengere Zugangskontrollen hätten die Ausbreitung eingedämmt.

AD Tiering Struktur – Funktion und Nutzen

Schritt 4: Verschlüsselung von Daten

Die Ransomware verschlüsselte das Dateisystem von Südwestfalen-IT, indem sie einen rekursiven Ansatz verfolgte. Das Programm durchlief das gesamte Dateisystem und verschlüsselte jedes Verzeichnis einzeln, beginnend mit dem angegebenen Startpfad. Interessanterweise nutzte die Ransomware, benannt als w.exe, eine Blacklist, um bestimmte Dateitypen, Dateiendungen und Verzeichnisse von der Verschlüsselung auszunehmen. Nachdem die Verschlüsselung in einem Verzeichnis abgeschlossen war, platzierte die Ransomware in jedem betroffenen Verzeichnis eine Erpressungsnachricht mit dem Namen „akira_readme.txt“​

Prävention: Regelmäßige Backups und ein effektiver und regelmäßig erprobter Disaster-Recovery-Plan hätte zudem eine schnellere Wiederherstellung der Systeme ermöglicht.

Schlussfolgerung:

Das Fazit aus dem Angriff auf Südwestfalen-IT durch die Ransomware-Gruppe „Akira“ unterstreicht die Wichtigkeit einer umfassenden und proaktiven Cybersicherheitsstrategie. Die Schlüsselerkenntnisse sind:

  1. Bedeutung von Multi-Faktor-Authentifizierung: Die Abwesenheit von MFA, insbesondere bei kritischen Zugangspunkten wie VPNs, kann Türöffner für Cyberangriffe sein. MFA ist ein wesentlicher Bestandteil zur Verstärkung der Sicherheitsmaßnahmen.
  2. Wichtigkeit regelmäßiger Sicherheitsaudits: Die Identifizierung und Behebung von Schwachstellen, wie z.B. schlecht gesicherte Passwörter, ist entscheidend, um potenzielle Angriffsvektoren zu minimieren.
  3. Notwendigkeit von Netzwerksegmentierung und strengen Zugriffskontrollen: Diese Maßnahmen können die Bewegungsfreiheit von Angreifern im Netzwerk begrenzen und die Ausbreitung von Malware verhindern oder zumindest einschränken.
  4. Proaktive Überwachung und Anomalie-Erkennung: Frühzeitige Erkennung von verdächtigen Aktivitäten und Angriffsversuchen ist entscheidend, um Eindringlinge abzuwehren, bevor sie ernsthaften Schaden anrichten können.
  5. Bewusstsein und Schulung der Mitarbeiter: Da Menschen oft das schwächste Glied in der Sicherheitskette sind, ist es wichtig, das Bewusstsein und die Wachsamkeit der Mitarbeiter zu stärken.
  6. Robuste Backup- und Disaster-Recovery-Strategien: Diese sind unerlässlich, um die Resilienz gegen Ransomware-Angriffe zu erhöhen und die Geschäftskontinuität im Falle eines Datenverlusts sicherzustellen.
  7. Einsatz fortschrittlicher Sicherheitslösungen: Der Einsatz moderner Antivirus- und Endpunkt-Schutzlösungen kann dazu beitragen, Bedrohungen frühzeitig zu erkennen und zu neutralisieren.

Der Vorfall zeigt einmal mehr, dass Cybersicherheit ein kontinuierlicher Prozess ist, der ständige Aufmerksamkeit und Anpassung erfordert, um mit den sich ständig weiterentwickelnden Bedrohungen Schritt zu halten.

Abschließend lässt sich sagen, dass der Angriff auf Südwestfalen-IT die Notwendigkeit eines Zero-Trust-Ansatzes in der Cybersicherheit unterstreicht. Zero-Trust bedeutet, grundsätzlich keinem Akteur innerhalb oder außerhalb des Netzwerks zu vertrauen, sondern jede Anfrage als potenzielle Bedrohung zu behandeln. Dieser Ansatz fordert eine kontinuierliche Überprüfung und Authentifizierung, um Sicherheit in einer immer komplexeren und vernetzteren digitalen Welt zu gewährleisten. Der Vorfall zeigt deutlich, dass der Übergang zu einem Zero-Trust-Modell für Unternehmen unerlässlich ist, um sich gegen fortgeschrittene und sich ständig weiterentwickelnde Cyberbedrohungen zu schützen.

Sicherer Zugriff im Zeitalter der Künstlichen Intelligenz: Was ist neu bei Microsoft Entra?

Als IT-Berater bin ich immer auf der Suche nach den neuesten Innovationen im Bereich der Cybersicherheit, die meinen Kunden helfen können, ihre digitale Umgebung zu schützen. Deshalb war ich sehr gespannt auf die Ankündigungen von Microsoft Entra, der integrierten Lösung für Identitäts- und Zugriffsmanagement, auf der Ignite 2023 Konferenz. Nun möchte ich mit einer zeitlichen Verzögerung endlich über meine persönlichen Highlights berichten.

Was ist Microsoft Entra?

Microsoft Entra bietet eine Reihe von Funktionen, die den sicheren Zugriff auf alle Anwendungen und Ressourcen für alle Benutzer und Geräte ermöglichen, die sich von überall aus verbinden. Dabei werden die Prinzipien des Zero Trust Ansatzes verfolgt, der auf der Verifizierung von Identität, Gerät, Anwendung und Netzwerk basiert, bevor der Zugriff gewährt wird.

Einige der Highlights, die mich besonders beeindruckt haben, sind:

  • Security Service Edge (SSE): Dies ist eine neue Lösung, die Microsoft Entra Internet Access und Microsoft Entra Private Access umfasst. Microsoft Entra Internet Access ist ein identitätszentriertes Secure Web Gateway (SWG), welches den Zugriff auf alle Internetanwendungen und -ressourcen mit bedingtem Zugriff und Web-Inhaltsfilterung sichert. Microsoft Entra Private Access ist ein identitätszentriertes Zero Trust Network Access (ZTNA), das den Zugriff auf alle privaten Anwendungen und Ressourcen mit bedingtem Zugriff und modernen Authentifizierungsmethoden sichert. Beide Lösungen arbeiten mit dem bestehenden Sicherheits- und Netzwerkstack von Microsoft und einem offenen Partnernetzwerk zusammen, um eine nahtlose Integration zu gewährleisten.
  • Microsoft Security Copilot: Dies ist ein neuer digitaler Assistent, welcher in das Microsoft Entra Admin Center eingebettet ist und den Administratoren hilft, häufige Aufgaben zu automatisieren, schneller zu beheben, komplexe Richtlinien zu interpretieren und Workflows zu entwerfen. Der Security Copilot beantwortet einfache Fragen, was eine bedingte Zugriffsrichtlinie macht oder warum die mehrstufige Authentifizierung (MFA) ausgelöst wurde. Der Security Copilot bietet auch eine Risikozusammenfassung, Abhilfemaßnahmen und empfohlene Anleitungen für gefährdete Identitäten, um das schnelle Reagieren auf Identitätsrisiken zu erleichtern. Ich kann also einfach meinen digitalen Assistenten Fragen stellen und dieser analysiert die notwendigen Anmeldelogs, bereitet diese auf und liefert mir eine passende Antwort.
  • Phishing-resistente Authentifizierungsmethoden: Microsoft Entra unterstützt verschiedene MFA-Methoden, um die Authentifizierung vor Phishing zu schützen. Dazu gehören zum Beispiel FIDO2 Security Keys, Windows Hello for Business, Microsoft Entra Certificate-Based Authentication (CBA) und Passkeys. Alle diese Methoden ermöglichen es, Passwörter ganz zu eliminieren, so dass sie nicht erraten, abgefangen oder gephished werden können. Microsoft Entra CBA ermöglicht es, Authentifizierungsrichtlinien nach Zertifikat, Ressourcentyp und Benutzergruppe anzupassen. Passkeys sind eine neue Funktion, welche mit Windows 11 eingeführt wurde und es ermöglicht, sich mit dem Gesicht, dem Fingerabdruck oder der PIN des Geräts bei einer Website, Anwendung oder einem Dienst anzumelden, für den man einen Passkey erstellt hat. Microsoft Entra ID-Benutzer werden bald in der Lage sein, sich mit Passkeys anzumelden, die aus der Microsoft Authenticator App verwaltet werden. Ein aus meiner Sicht wichtiger Schritt, um die Notwendigkeit von Kennwörtern endgültig abzuschaffen.
  • Microsoft Entra Permissions Management: Dies ist eine Lösung, die Einblicke in die Berechtigungsrisiken bietet. Es gibt zwei wichtige Integrationen, die mir aufgefallen sind. Die erste ist die Integration mit Microsoft Defender for Cloud (MDC), diese ermöglicht es, Identitäts- und Zugriffsberechtigungsinformationen mit anderen Cloud-Sicherheitsinformationen in einer einzigen Schnittstelle zu konsolidieren. Diese Ansicht zeigt handlungsorientierte Empfehlungen zur Behebung von Berechtigungsrisiken sowie den Permissions Creep Index an und erleichtert die Durchsetzung des Least Privilege Zugriffs für Cloud-Ressourcen über Azure, Amazon Web Services (AWS) und Google Cloud hinweg. Die zweite Integration ermöglicht es ServiceNow-Kunden, zeitgebundene, bedarfsgesteuerte Berechtigungen für Multicloud-Umgebungen (Azure, AWS, Google Cloud) über das ServiceNow-Portal anzufordern. Diese beliebte IT-Service-Management (ITSM)-Lösung stärkt somit die Zero Trust-Haltung, indem sie Zugriffsberechtigungsanfragen zu bestehenden Genehmigungsworkflows in ServiceNow hinzufügt. Ein wichtiger Schritt Richtung herstellerunabhängiger Zero-Trust Architektur.

Fazit

Ich bin beeindruckt von dem Umfang und der Tiefe der Funktionen, welche Microsoft Entra bietet, um den sicheren Zugriff auf alles und für jeden zu ermöglichen. Ich glaube, dass diese Lösungen meinen Kunden helfen kann, ihre digitale Transformation voranzutreiben und gleichzeitig ihre Sicherheit zu erhöhen. Gerade die Integration von anderen Cloud Services wie AWS, Google oder Service-Now sind wichtige Schritte für die Absicherung der Identitäten.

Exchange Hybrid: Neuer Assistent für die Hybridkonfiguration (HCW)

Heute möchte ich euch über die neueste Version des Hybrid Configuration Wizard (HCW) berichten, die Microsoft am 24ten Januar 2024 veröffentlicht hat. Der HCW ist ein nützliches Tool, um eine Hybrid-Konfiguration zwischen Exchange Server und Exchange Online einzurichten und zu verwalten.

Neuer HCW

Was ist neu am HCW?

Die wichtigste Neuerung ist die Möglichkeit, bei einem erneuten Ausführen des HCW explizit auszuwählen, welche Konfigurationen durchgeführt werden sollen. Bisher konnte es passieren, dass der HCW einige Einstellungen, die manuell angepasst wurden, auf die Standardwerte zurücksetzte. Dies war vor allem bei der wichtigen Einstellung „Centralized Mail Transport“ ein kritischer Punkt. Denn die zuvor gesetzte Einstellung wurde bei einem erneuten Ausführen des Assistenten immer deaktiviert. Was gravierende Auswirkungen auf dem Mail-Fluss zur Folge hatte.

Das ist nun vorbei, denn der HCW erlaubt es, gezielt die gewünschten Konfigurationen anzuhaken. Das ist besonders praktisch für wiederkehrende Aufgaben wie das Zertifikatsmanagement.

Einfachere Aktualisierung der Zertifikate

Eine weitere neue Funktion ist die Option “Update Secure Mail Certificate for connectors”. Diese findet man im Bereich “Configure Mail Flow”. Damit kann man das TLS-Zertifikat, welches für den Mail-Fluss zwischen Exchange Server und Exchange Online verwendet wird, erneuern oder ersetzen. Nachdem man das neue Zertifikat installiert hat, muss man nur noch den HCW ausführen, die Option ankreuzen und auf “Update” klicken. Der HCW kümmert sich dann um die nötigen Anpassungen der Konnektoren.

Änderungen der notwendigen Berechtigungen

Außerdem hat Microsoft Anforderungen der Berechtigungen, die für die Durchführung von Hybrid-Konfigurationen in Microsoft 365 erforderlich sind, angepasst. 

Diese Anpassungen reduzieren die Szenarien, in denen Globale Admin-Berechtigungen erforderlich sind, wenn man den HCW ausführt, um Änderungen an einer bestehenden Hybrid-Konfiguration vorzunehmen.

Organisationsverwaltungs-Berechtigungen in Exchange On-Premises und Exchange Online sind nun für die häufigsten Szenarien ausreichend

Bitte beachten Sie, dass für eine erste Hybrid-Einrichtung weiterhin Globale Admin-Berechtigungen in Microsoft 365 erforderlich sind!

Was sind die Vorteile des HCW?

Der HCW erleichtert die Einrichtung und Verwaltung einer Hybrid-Konfiguration zwischen Exchange Server und Exchange Online. Er führt automatisch die erforderlichen Schritte aus, um eine sichere und zuverlässige Verbindung zwischen den beiden Umgebungen herzustellen. Er unterstützt auch verschiedene Szenarien, wie z.B. die Migration von Postfächern, die gemeinsame Nutzung von Kalendern und Kontakten, die Verwendung von Teams oder die Einhaltung von Compliance-Anforderungen.

Wo kann man mehr über den neuen HCW erfahren?

Microsoft hat die Dokumentation des HCW aktualisiert, um die neuesten Änderungen und die Szenarien, in denen die neue Funktion “Exchange Hybrid-Konfiguration auswählen” verwendet werden kann, zu erklären. Man kann die Dokumentation hier finden.

Fazit

Der HCW ist nun flexibel und anpassbar. Er ermöglicht es, die Hybrid-Konfiguration nach den eigenen Bedürfnissen und Präferenzen zu gestalten. Er bietet die Möglichkeit, die Konfiguration jederzeit zu ändern oder zu aktualisieren, ohne die bestehende Funktionalität zu beeinträchtigen.

Endlich Copilot für Alle

Copilot ist jetzt allgemein für kleine Unternehmen mit Microsoft 365 Business Premium und Business Standard verfügbar.

Kunden können zwischen einer und 299 Lizenzen für 30 US-Dollar pro Person und Monat erwerben.

Microsoft entfernt die Mindestabnahme von 300 Plätzen für kommerzielle Pläne und stellt Copilot für Office 365 E3- und E5-Kunden zur Verfügung (zuvor war eine Microsoft 365-Lizenz erforderlich).

Der Erwerb ist nun auch über Microsoft Cloud Solution Provider-Partner verfügbar(zuvor war ein Enterprise Agreement erforderlich).

Weitere Neuigkeiten:

  • Copilot Pro: Eine neue Premium-Abonnement für Einzelpersonen, die Zugang zu erweiterten KI-Funktionen, Copilot in Microsoft 365, GPT-4 Turbo und Copilot GPT Builder bietet.
  • Copilot für Microsoft 365: Eine KI-Lösung für Organisationen aller Größen, die Copilot in Microsoft Teams, Office 365 und anderen Microsoft-Apps integriert.
  • Neue Funktionen in Copilot: Copilot GPTs, Copilot mobile App und Copilot in der Microsoft 365 mobile App.

Microsoft verschiebt die Veröffentlichung von H2 2023 CU für Exchange Server 2019

Microsoft hat im letzten Jahr sein Servicemodell für Exchange Server aktualisiert und ist zu einem Servicerhythmus von zwei kumulativen Updates (CUs) pro Jahr übergegangen, die jeweils in der ersten und zweiten Hälfte jedes Kalenderjahres erscheinen sollen, vorzugsweise im März und September. Die tatsächlichen Veröffentlichungstermine hängen jedoch von der Nutzlast und der Qualität der CUs ab, sowie von weiteren Prioritäten, wie zum Beispiel der Veröffentlichung eines Sicherheitsupdates (SU).

Microsoft teilt nun mit, dass es in diesem Jahr kein zweites CU für Exchange Server 2019 geben wird, da der November fast zu Ende ist und im Dezember keine CUs veröffentlicht werden. Dies entspricht dem Vorgehen von Microsoft im letzten Jahr.

Aktuell sind nur noch zwei CUs für Exchange Server 2019 geplant: CU14 und CU15, die auch als H1 2024 und H2 2024 bezeichnet werden.

Das ursprünglich für dieses Jahr vorgesehene CU14 wurde auf Anfang nächsten Jahres verschoben. Es wird nun voraussichtlich im Januar 2024 herauskommen. CU14 wird einige wichtige Verbesserungen enthalten, wie zum Beispiel die Unterstützung für TLS 1.3, eine Korrektur für die S/MIME-Kontrolle, die Aktivierung von Extended Protection als Standardoption und mehr.

Da CU14 erst im Januar veröffentlicht wird, wird es nach dem 9. Januar sein, dem Datum, an dem der Mainstream-Support für Exchange Server 2019 endet. Das bedeutet, dass Microsoft zwei CUs nach dem Ende des Mainstream-Supports für Exchange Server 2019 anbieten wird. Das mag verwirrend klingen, da Microsoft immer sagt, dass Produkte im erweiterten Support keine CUs erhalten.

Hier gibt es jedoch eine Feinheit. Wenn wir Exchange Server 2019 als Beispiel nehmen, endet der Mainstream-Support am 9. Januar 2024. Das ist aber nicht die Frist für die Veröffentlichung von CUs. Der 9. Januar 2024 ist das letzte Datum, an dem Kunden einen Bug oder eine Design Change Request (DCR) an Microsoft melden und das Exchange-Team diese berücksichtigen kann. Microsoft wird Anfragen nach Fehlerbehebungen und DCRs bis zum 9. Januar annehmen. Nach diesem Datum wird Microsoft nur noch Sicherheitskorrekturen berücksichtigen.

Microsoft meldet neuen Angriff mit Azure AD Connect

In diesem Blogbeitrag möchte ich den Inhalt des Artikels https://practical365.com/mercury-attack-april-2023 auf Deutsch zusammenfassen.

Der Artikel beschreibt einen neuen Angriff, welcher Azure AD Connect ausnutzt, um sowohl On-Premises- als auch Cloud-Ressourcen zu kompromittieren.

Wer steckt hinter den Angriffen?

Der Angriff wurde von Microsoft Threat Intelligence aufgedeckt und wird zwei Gruppen zugeschrieben: MERCURY, einer mit der iranischen Regierung verbundenen Nation-State-Akteurin, und DEV-1084, einer Gruppe, welche von MERCURY beauftragt wurde, die Netzwerkzugriffe auszunutzen.

Wie begann der Angriff?

Bei Angriffen wie diesem hört man oft zwei Begriffe: Eskalation von Privilegien und Lateral Movement.

Lateral Movement klingt kompliziert, ist aber einfach: Der Begriff bedeutet nur, dass ein Angreifer ein Gerät oder System in einem Netzwerk kompromittiert hat und dies als Sprungbrett oder Drehpunkt nutzt, um in andere Geräte oder Systeme zu gelangen. Diese Bewegung kann sofort erfolgen, aber oft ist sie verzögert (wie in diesem Fall) – ein kluger Angreifer wird eindringen, eine Persistenz herstellen und dann eine Weile warten, das Zielnetzwerk studieren und jede offensichtliche Aktion vermeiden, welche die Verteidiger auf seine Anwesenheit aufmerksam machen könnte.

In diesem Fall begann der Angriff mit der Ausnutzung der bekannten log4j-Schwachstelle, um in das Netzwerk einzudringen und Persistenz zu erlangen. Die Angreifer bewegten sich dann durch das Netzwerk und griffen sowohl On-Premises- als auch Hybrid-Ressourcen an. Für die On-Premises-Angriffe nutzten sie Gruppenrichtlinienobjekte (GPOs), um Sicherheitstools (Endpoint Protection) zu stören und Ransomware über die NETLOGON-Freigaben auf den Active Directory-Domänencontrollern zu verteilen. Für die Hybrid-Angriffe nutzten sie Azure AD Connect, um sich mit Azure AD zu synchronisieren und Zugriff auf Cloud-Ressourcen zu erhalten. Die Angreifer löschten anschließend Daten aus Azure Storage-Konten und Azure SQL-Datenbanken. Mit einem vernünftigen Tier-Modell wäre der Angriff in diesem Ausmaß vermutlich nicht umsetzbar gewesen.

Microsoft empfiehlt dringend, Azure AD Connect zu überprüfen und sicherzustellen, dass es keine unbefugten oder verdächtigen Synchronisierungen gibt. Außerdem sollten die Sicherheitsmaßnahmen für Domänencontroller und GPOs verstärkt werden, um ähnliche Angriffe zu verhindern oder zu erkennen. Microsoft bietet verschiedene Sicherheitstools an, die bei der Untersuchung und Abwehr solcher Angriffe helfen können, wie z.B. Microsoft Defender for Endpoint, Microsoft 365 Defender und Azure Sentinel.

Dennoch zeigt dieser Angriff wieder, wie wichtig es ist, sowohl On-Premises- als auch Cloud-Umgebungen zu schützen und zu überwachen. Hybrid-Umgebungen bieten viele Vorteile, aber auch neue Herausforderungen und Risiken. Es ist daher unerlässlich, sich über die aktuellen Bedrohungen zu informieren und die besten Praktiken für die Sicherheit von Azure AD Connect zu befolgen. Zum Schutz gehört auch der Aufbau von Tier-Strukturen.

Wozu ist ein Azure AD Connect Server notwendig?

Azure AD Connect ist ein wichtiges Werkzeug für die Synchronisation von Identitäten zwischen lokalen Active Directory-Domänen und Azure Active Directory. Da der Azure AD Connect Zugriff auf die Anmeldeinformationen und Attribute aller Benutzer und Gruppen in den verbundenen Domänen hat, muss dieser Server entsprechend gut geschützt werden. Daher sollten Sie den Azure AD Connect wie einen Domänencontroller behandeln und in Tier-0 aufnehmen.

Was bedeutet Tier-0?

Tier-0 ist die höchste Sicherheitsstufe in einem Active Directory-Design, das auf dem Prinzip der administrativen Grenzen basiert. Tier-0 umfasst alle Systeme und Konten, die in der Lage sind, Änderungen an der Active Directory-Domänenstruktur oder den Sicherheitsrichtlinien vorzunehmen. Diese sollten von anderen Tiers isoliert und mit strengen Zugriffs- und Überwachungsregeln versehen werden.

Indem der Azure AD Connect Server in Tier-0 aufgenommen wird, wird sichergestellt, dass nur berechtigte Administratoren darauf zugreifen können und dass alle Aktivitäten auf dem Server protokolliert und überprüft werden. Dies reduziert das Risiko eines unbefugten Zugriffs oder einer Kompromittierung von Azure AD Connect.

QakBot sowie andere aktuelle Angriffe und wie diese verhindert werden können!

QakBot ist eine gefährliche Malware, die sich über verschiedene Methoden verbreitet, um Zugriff auf sensible Daten zu erlangen, Passwörter zu stehlen und weitere Schadsoftware nachzuladen. In diesem Blogpost erfahren Sie mehr über die aktuelle QakBot-Kampagne, die OneNote-Dateien als Angriffsvektor nutzt, und wie Sie sich davor schützen können.

Warum OneNote?

OneNote ist eine beliebte Anwendung von Microsoft, die es erlaubt, Notizen zu erstellen, zu organisieren und zu teilen. OneNote hat weltweit Millionen von Nutzern in verschiedenen Bereichen wie Bildung, Arbeit und persönlichem Leben. Leider haben auch Cyberkriminelle das Potenzial von OneNote erkannt und verwenden es als Alternative zu Office-Makros, die von vielen Sicherheitslösungen blockiert werden. Seit Ende Januar 2023 verbreiten Hacker QakBot-Malware über schädliche OneNote-Dateien, die entweder als Anhang oder als Link in Phishing-E-Mails verschickt werden.

Die Phishing-E-Mails sind oft als Antworten auf bestehende Kommunikationen getarnt, um das Vertrauen der Empfänger zu gewinnen. Die OneNote-Dateien enthalten eine Grafik, die den Nutzer auffordert, auf einen „Open“-Button zu klicken, um einen weiteren Anhang aus der Cloud herunterzuladen. Dieser Anhang ist eine HTML-Anwendung im .hta-Format, die die QakBot-Malware von einem entfernten Server lädt und ausführt.

Was macht QakBot so gefährlich?

QakBot ist eine modulare Malware, die verschiedene Funktionen hat, wie zum Beispiel:

  • Keylogging: QakBot zeichnet alle Tastatureingaben des Opfers auf und sendet sie an den Command-and-Control-Server der Hacker.
  • Credential Stealing: QakBot stiehlt Passwörter aus Browsern, E-Mail-Clients und anderen Anwendungen.
  • Banking Trojan: QakBot kann Online-Banking-Sitzungen manipulieren und Geldtransfers durchführen oder sensible Daten abfangen.
  • Lateral Movement: QakBot kann sich im Netzwerk ausbreiten und weitere Geräte infizieren.
  • Loader: QakBot kann weitere Schadsoftware nachladen, wie zum Beispiel Ransomware oder Spyware.

Wie können Sie sich vor QakBot und anderen Angriffen schützen?

Die beste Verteidigung gegen QakBot und andere Malware ist eine mehrschichtige Sicherheitsstrategie, die folgende Maßnahmen umfasst:

  • E-Mail-Sicherheit: Verwenden Sie eine zuverlässige E-Mail-Sicherheitslösung, die Spam-, Phishing- und Malware-E-Mails filtert und blockiert. Achten Sie auch auf verdächtige Absender, Betreffzeilen und Anhänge oder Links in E-Mails. Führen Sie ein Whitelisting für Ihre Anhänge ein. Blocken Sie Dateien mit der Endung .One
  • Endpoint-Sicherheit: Verwenden Sie eine leistungsstarke Endpoint-Sicherheitslösung, die Ihre Geräte vor bekannten und unbekannten Bedrohungen schützt. Aktualisieren Sie regelmäßig Ihre Betriebssysteme und Anwendungen, um Sicherheitslücken zu schließen.
  • Netzwerk-Sicherheit: Verwenden Sie eine robuste Netzwerk-Sicherheitslösung, die den Datenverkehr überwacht und verdächtige Aktivitäten erkennt und blockiert. Vermeiden Sie auch den Zugriff auf unsichere oder unbekannte Websites oder Dienste.
  • Backup-Sicherheit: Verwenden Sie eine zuverlässige Backup-Sicherheitslösung, die Ihre wichtigen Daten regelmäßig sichert und wiederherstellt. Bewahren Sie Ihre Backups an einem sicheren Ort auf, der von Ihrem Netzwerk getrennt ist.
  • Awareness-Schulung: Sensibilisieren Sie Ihre Mitarbeiter für die Risiken von Cyberangriffen und schulen Sie sie in den besten Praktiken für die E-Mail- und Internetnutzung. Ermutigen Sie sie auch dazu, verdächtige E-Mails oder Vorfälle zu melden.
  • Zero Trust: Implementieren Sie ein Sicherheitskonzept, welches davon ausgeht, dass alle Netzwerkverbindungen potenziell gefährlich sind. Ihr Leitsatz sollte lauten „Vertrau niemanden, überprüfe alles“. Zero Trust erfordert eine kontinuierliche Überwachung und Validierung aller Aktivitäten im Netzwerk, unabhängig davon, ob sie von innen oder außen kommen. Siehe Zero-Trust-Implementierung mit Microsoft 365
  • AD Hardening: Implementieren Sie das Active Directory Tiering Modell, um die Sicherheit von Ihrem Verzeichnisdienst zu verbessern. Siehe AD Tiering Struktur – Funktion und Nutzen

Fazit

Sicherheit ist ein Prozess, welcher ständig angepasst und verbessert werden muss. Nur die Kombination aus verschiedensten Sicherheitsansätzen verringert die Angriffsfläche sowie den potenziellen Schaden.

Ziel ist es, Angriffe frühzeitig zu erkennen, den Schaden somit einzugrenzen und die Produktivität des Unternehmens aufrecht zu erhalten. Hierzu gibt es leider keine einfache Software-Lösung. Nur die Kombination aus Erkennungssystemen, gehärteten und isolierten Sicherheitsebenen garantieren einen möglichst geringen Schaden.

Cookie Consent mit Real Cookie Banner