Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat mitgeteilt, dass das Netzwerk einer staatlichen Organisation über einen Administrator-Account eines ehemaligen Mitarbeiters kompromittiert wurde. Der Bedrohungsakteur konnte sich erfolgreich über einen internen Virtual Private Network (VPN) Zugangspunkt authentifizieren und sich mit dem virtuellen SharePoint-Server verbinden. Dadurch erlangten die Angreifer Zugriff auf weitere Zugangsdaten, die ihnen administrative Rechte sowohl im lokalen Netzwerk als auch im Azure Active Directory (jetzt Microsoft Entra ID) gewährten. Eine genauere Untersuchung ergab jedoch, dass die Angreifer keinen lateralen Zugriff von der lokalen Umgebung in die Azure Cloud Infrastruktur hatten.
Die Angreifer erlangten schließlich Zugriff auf Host- und Benutzerinformationen und veröffentlichten diese Informationen im Dark Web, vermutlich um finanziellen Gewinn daraus zu erzielen. Aus diesem Grund mussten alle Benutzerpasswörter zurückgesetzt werden, der Administrator-Account wurde deaktiviert und die erhöhten Rechte des zweiten Accounts wurden entfernt. Es wird darauf hingewiesen, dass keiner der beiden Accounts die Zwei-Faktor-Authentifizierung aktiviert hatte, was die Notwendigkeit betont, privilegierte Konten abzusichern, die Zugriff auf kritische Systeme gewähren. Es wird außerdem empfohlen, das Prinzip des geringsten Privilegs umzusetzen und separate Administrator-Accounts zu erstellen, um den Zugang zu lokalen und Cloud-Umgebungen zu segmentieren.
Diese Entwicklung zeigt, dass Bedrohungsakteure gültige Konten, einschließlich derer von ehemaligen Mitarbeitern, die nicht ordnungsgemäß aus dem Active Directory (AD) entfernt wurden, nutzen, um unbefugten Zugriff auf Organisationen zu erlangen. „Überflüssige Konten, Software und Dienste im Netzwerk schaffen zusätzliche Angriffsvektoren für Bedrohungsakteure“, so die Behörden.