Die Midnight Blizzard- und Cloudflare-Atlassian-Cybersecurity-Zwischenfälle haben auf die inhärenten Schwachstellen großer SaaS-Plattformen aufmerksam gemacht. Diese Vorfälle verdeutlichen die Bedeutung der Absicherung der Integrität von SaaS-Anwendungen und ihrer sensiblen Daten, was jedoch nicht einfach ist. Die häufigsten Bedrohungsvektoren wie raffiniertes Spear-Phishing, Konfigurationsfehler und Sicherheitslücken in Integrationen von Drittanbieter-Apps zeigen die komplexen Sicherheitsherausforderungen für IT-Systeme auf.
Im Fall von Midnight Blizzard war Passwort-Spraying gegen eine Testumgebung der initialer Angriffsvektor. Bei Cloudflare-Atlassian erfolgte der Angriff über kompromittierte OAuth-Token aus einem früheren Verstoß bei Okta, einem SaaS-Identitätssicherheitsanbieter.
Was genau ist passiert?
Microsoft Midnight Blizzard Verstoß
Microsoft wurde von den russischen „Midnight Blizzard“-Hackern (auch bekannt als Nobelium, APT29 oder Cozy Bear) ins Visier genommen, die mit dem SVR, dem ausländischen Geheimdienst des Kremls, in Verbindung stehen.
Bei dem Angriff auf Microsoft haben die Angreifer:
– Eine Passwort-Sprühanlage auf einem Legacy-Konto und historischen Testkonten verwendet, die keine Multi-Faktor-Authentifizierung (MFA) aktiviert hatten. Microsoft zufolge haben die Angreifer „[eine geringe Anzahl von Versuchen verwendet], um Erkennung und Kontosperrungen aufgrund der Anzahl der Fehlschläge zu umgehen.“
– Das kompromittierte Legacy-Konto als initialen Einstiegspunkt genutzt, um eine Legacy-Test-OAuth-App zu übernehmen. Diese Legacy-OAuth-App hatte Berechtigungen auf höherer Ebene, um auf die Unternehmensumgebung von Microsoft zuzugreifen.
– Bösartige OAuth-Apps erstellt, indem sie die Berechtigungen der Legacy-OAuth-App ausnutzten. Da die Angreifer die Legacy-OAuth-App kontrollierten, konnten sie weiterhin auf die Anwendungen zugreifen, selbst wenn sie den Zugriff auf das ursprünglich kompromittierte Konto verloren.
– Admin-Exchange-Berechtigungen und Admin-Anmeldeinformationen für sich selbst gewährt.
– Privilegien von OAuth auf einen neuen Benutzer eskaliert, den sie kontrollierten.
– Der bösartigen OAuth-Anwendung zugestimmt, indem sie ihr neu erstelltes Benutzerkonto verwendet haben.
– Den Zugriff auf die Legacy-Anwendung weiter eskaliert, indem sie ihr vollen Zugriff auf M365 Exchange Online-Postfächer gewährten. Mit diesem Zugriff konnte Midnight Blizzard E-Mail-Konten von leitenden Mitarbeitern einsehen und Unternehmens-E-Mails und Anhänge extrahieren.
Cloudflare-Atlassian-Verstoß
Am Thanksgiving-Tag, dem 23. November 2023, wurden auch die Atlassian-Systeme von Cloudflare durch einen Angriff eines Nationalstaats kompromittiert.
Dieser Verstoß, der am 15. November 2023 begonnen hat, wurde durch die Verwendung von kompromittierten Zugangsdaten ermöglicht, die nach einem früheren Verstoß bei Okta im Oktober 2023 nicht geändert wurden.
Die Angreifer hatten Zugang zur internen Wiki und Fehlerdatenbank von Cloudflare, was ihnen ermöglichte, 120 Code-Repositories in der Atlassian-Instanz von Cloudflare einzusehen.
76 Quellcode-Repositories, die mit wichtigen betrieblichen Technologien zusammenhängen, wurden potenziell entwendet.
Cloudflare hat den Bedrohungsakteur am 23. November entdeckt, weil dieser ein Smartsheet Service-Konto mit einer Administratoren-Gruppe in Atlassian verbunden hat.
Bedrohungsakteure zielen zunehmend auf SaaS ab
Diese Vorfälle sind Teil eines breiteren Musters von Nationalstaaten, die sich auf SaaS-Dienstanbieter konzentrieren, einschließlich Spionage und Nachrichtendiensten. Midnight Blizzard war bereits an bedeutenden Cyber-Operationen beteiligt, darunter der SolarWinds-Angriff von 2021.
Diese Zwischenfälle verdeutlichen die Bedeutung einer kontinuierlichen Überwachung Ihrer SaaS-Umgebungen und des anhaltenden Risikos durch raffinierte Cyber-Bedrohungsakteure, die kritische Infrastrukturen und Betriebstechnologien ins Visier nehmen. Sie zeigen auch erhebliche Schwachstellen in Bezug auf das Identitätsmanagement von SaaS und die Notwendigkeit einer strengen Risikomanagementpraxis für Drittanbieter-Apps auf.
Die Angreifer verwenden gängige Taktiken, Techniken und Verfahren (TTPs), um SaaS-Anbieter über die folgende Kill Chain zu kompromittieren:
– Initialer Zugriff: Passwort-Spray, Übernahme von OAuth
– Persistenz: Gibt sich als Administrator aus, erstellt zusätzliches OAuth
– Abwehrumgehung: Hochprivilegiertes OAuth, keine MFA
– Laterale Bewegung: Umfassendere Kompromittierung verbundener Apps
– Datenexfiltration: Zugriff auf privilegierte und sensible Daten aus Apps
Um die Kill Chain frühzeitig zu durchbrechen, ist eine kontinuierliche Überwachung, eine granulare Richtlinienumsetzung und ein proaktives Lifecycle-Management Ihrer SaaS-Umgebungen äußerst effektiv. Eine SaaS-Sicherheits-Posture-Management-Plattform wie AppOmni kann dabei helfen, Folgendes zu erkennen und zu alarmieren:
Initialer Zugriff: Vorkonfigurierte Regeln zur Erkennung von Zugriffsdaten-Kompromittierungen, einschließlich Passwort-Spray-Angriffen, Brute-Force-Angriffen und nicht durchgesetzten MFA-Richtlinien.
Persistenz: Scannen und Identifizieren von OAuth-Berechtigungen und Erkennen von OAuth-Übernahmen.
Abwehrumgehung: Zugriffsrichtlinienprüfungen, Erkennen von neuen Identitätsanbietern (IdPs) und Erkennen von Berechtigungsänderungen.
Laterale Bewegung: Überwachung von Anmeldungen und privilegiertem Zugriff, Erkennen von toxischen Kombinationen und Verständnis des Radius einer potenziell kompromittierten Kontos.
Hinweis: Dieser fachkundig verfasste Artikel stammt von Beverly Nevalga, AppOmni.