Microsoft warnt derzeit vor aggressiven Angriffen auf Microsoft Teams, bei denen Cyberkriminelle und russische Hacker versuchen, an Benutzeranmeldedaten zu gelangen. Unternehmen sollten ihre Mitarbeiter sensibilisieren und die Sicherheit ihrer Teams-Umgebung stärken.
Angriffe auf Microsoft Teams durch Hackergruppen gegen KMU und Behörden
Seit Anfang August hat das Microsoft Threat Intelligence-Team gezielte Social Engineering-Angriffe auf Microsoft Teams beobachtet, die bereits seit Mai 2023 im Gange sind. Kunden, die bereits ins Visier genommen wurden, erhielten Warnungen von Microsoft. Jedoch sollten alle Microsoft 365-Abonnenten sich mit diesem Thema befassen. Im Juni 2023 haben Sicherheitsforscher von Jumptec eine Sicherheitslücke in Teams identifiziert, über die Angreifer an Benutzeranmeldedaten gelangen können.
Schutzmaßnahmen vor den Angriffen
Um sich vor den Angriffen zu schützen, wird empfohlen, die Kontrolle über externe Domänen für den Teams-Zugriff zu behalten. Die Angreifer zielen auch auf das Standardverzeichnis ab und versuchen, Arbeitsstationen zu infiltrieren. Obwohl die Multi-Faktor-Authentifizierung (MFA) vor Phishing-Angriffen schützen kann, ist sie keine absolute Lösung.
Herausforderungen bei der Abwehr der Angriffe
Die Angreifer setzen auf Phishing, um an Anmeldedaten zu gelangen, was ihnen Zugang zu lokalen Umgebungen und Microsoft 365-Ressourcen verschafft. Ein besonderes Risiko besteht darin, dass erfahrene Nutzer die Angriffe kaum erkennen können. Daher ist es ratsam, bei unerwarteten Anfragen für Zugangsdaten oder MFA-Vorgängen skeptisch zu sein.
Angriffe auf KMUs als Eintrittspunkt
Die ersten Angriffe zielen auf kleine Unternehmen ab, um ihre Abonnements zu kompromittieren. Über diese Kompromittierung werden dann Angriffe auf größere Unternehmen gestartet. KMUs sind also im Fokus hochprofessioneller Angreifer und sollten ihre Sicherheitsvorkehrungen erhöhen.
Begrenzter Schutz durch Multi-Faktor-Authentifizierung
MFA ist zwar hilfreich, kann jedoch nicht vor umfassenden Phishing-Angriffen schützen. Die Angreifer nutzen gestohlene Anmeldedaten, um wiederholt MFA-Anfragen zu stellen, bis die Anwender nachgeben. Microsoft empfiehlt, alle MFA-Anfragen als verdächtig zu betrachten, bis ihre Legitimität feststeht.
Vorgehensweise der Angreifer
Die aktuellen Angriffe erfolgen über den Chat in Microsoft Teams. Sogar Videoanrufe und -konferenzen können für Angriffe genutzt werden, da Stimmen und Videos leicht gefälscht werden können. Bekannte Hackergruppen wie Midnight Blizzard (ehemals NOBELIUM) und APT29 sind daran beteiligt.
Schutzmaßnahmen und Empfehlungen
Unternehmen sollten Mitarbeiter im Umgang mit Phishing-E-Mails schulen und zusätzliche Schutzlösungen implementieren. Azure AD/Entra ID Identity Protection in Microsoft 365 kann dabei helfen. Unternehmen sollten auf verdächtige Chats achten und externe Chats nur in Ausnahmefällen annehmen. Die Nutzung von MFA und die Einschränkung des externen Zugriffs auf Teams können weitere Schutzschichten bieten.
Die Sicherheitslage in der Cloud erfordert stetige Aufmerksamkeit und Anpassung, um potenzielle Angriffe erfolgreich abzuwehren.