Frage an die Administratoren von Microsoft Tenants mit Office 365-Konten: Beobachtet ihr verstärkt Angriffe auf diese Konten. Mir liegt eine Lesermeldung vor, die nahelegt, dass NGOs verstärkt im Fokus solcher Angriff sein könnten.
Anzeige
Ich stelle das Thema mal hier im Blog ein, auf das mich ein Leser zum 17. April 2025 hingewiesen hat. Er schrieb in einer E-Mail, dass sie gerade eine mögliche Angriffswelle auf Non Government Organizations (NGOs) beobachten.
Der Leser merkte an, dass es einige NGOs offensichtlich schon erwischt habe, denn mehrere seiner Kunden hätten zum genannten Datum SharePoint-Links erhalten. Diese SharePoint-Links stammen von legitimen, aber offensichtlich übernommenen Microsoft Office 365-Konten. Der Leser konnte in seinem IT-Umfeld mindestens zwei NGOs ausmachen, die Betroffenen in etwa gleichen Dateien geschickt haben.
Der Leser fragte, ob ich da was konkretes gehört habe, was ich verneinen musste. Auf Nachfrage meldete der Blog-Leser zum 18. April, dass er zwei NGOs als angegriffen identifiziert habe. Alles sähe nach simplen Übernahmen von Office 365-Accounts aus.
Interessant war für den Leser, dass es in beiden Fällen um konkrete Partner von seinen Kunden ging. Die übernommen E-Mail-Konten wurden dann direkt benutzt, um auch Office 365-Accounts der eigenen Kunden zu übernehmen.
Anzeige
Die bösartige E-Mail kam von Microsoft und beinhalte einen SharePoint-Link, der legitim aussah und zu sein scheint (zumindest ein Link zeige wirklich auf SharePoint – bei dem anderen Link liegt dem Leser nur ein Screenshot der betreffenden Mail vor).
Die schädliche E-Mail hat zumindest, was das Wording im Text der Datei angeht, grob auf die Aufgaben des Empfängers gepasst. Es hieß "Vorschlag zur Genehmigung". Der Leser meint, dass sie schon länger erwarten, dass NGOs gezielter in den Blick von Cyberangriffen rücken, da hier oft der Stress immens hoch sei. Andererseits seien diese Ziele hochgradig interessant, da NGOs mit immens vielen Ministerien und anderen staatlichen Stellen Kontakt haben.
Fundstelle zu SharePoint passt nicht
Ich habe mal kurz gesucht – die Kollegen von Bleeping Computer haben zum 27. März 2025 den Beitrag Hijacked Microsoft web domain injects spam into SharePoint servers veröffentlicht, der auch SharePoint thematisiert.
Dort ging es aber um eine Die Legacy Domain für Microsoft Stream, die von Dritten gekapert wurde. Microsoft Stream ist ein Video-Streaming-Dienst für Unternehmen, der es Organisationen ermöglicht, Videos in Microsoft 365-Anwendungen wie Teams und SharePoint hochzuladen und zu teilen.
In obigem Fall wurde die gekaperte Domain genutzt, um eine gefälschte Amazon-Website anzuzeigen, die für ein thailändisches Kasino wirbt. Dies führte dazu, dass alle SharePoint-Websites mit alten eingebetteten Videos die Seite als Spam anzeigten. Der Fall passt also nicht so ganz.
Anzeige
Das ist keine spezielle Angriffswelle, sondern ein permanente Gefahr und ein immer wiederkehrendes Szenario, weil viele ihre O365 Umgebung nicht entsprechend absichern.
Grundprobleme:
– keine 2FA aktiv
(Angreifer kann sich also ohne Probleme mit Mailadresse und Passwort anmelden)
– keine bedingter Zugriff definiert
(z.B. Anmeldungen aus dem Ausland unterbinden)
– Sharepoint Zugriff für externe nicht blockiert
– Keine Restriktion bei der Anbindung von Drittsystemen
Ohne diese Maßnahmen reicht eine erfolgreiche Phishing Aktion aus und der Angreifer kann ich von überall auf der Welt im Account anmelden, eine schadhafte Datei auf dem Sharepoint legen und Mail an alle Empfänger im Adressbuch schicken.
Erlaubt man auch noch die Integration von 3. Systemen in der Umgebung, wird auch gleich noch eingestellt das Rückfragen per definierten Text beantwortet werden und alle neuen und auch versendeten Mails direkt gelöscht werden, damit es dem Originalbesitzer des Accounts nicht auffällt was da für Rückfragen kommen.
Daily Business, leider..
moin,
laut unserem gegenüber war 2fa an – wurde abgezogen und dann direkt ne app untergeschoben um von dort aus mails zu verschicken
die anderen punkte melde ich gerne rüber:
was meinst du mit "sharepoint zugriff für externe nicht blockiert"? Das wird ja dort
Habe ein solches Szenario heute selbst erlebt. Firmenaccount schickt an uns legitime Mail mit Link auf legitimen Sharepoint und darin befindet sich ein OneNote mit dem Phishing Link. Für den normalen User eine katastrophe zu erkennen.
Hier kann man nur mit höchster Vorsicht und ständiger Sensibilisierung arbeiten und Links in Mails generell vermeiden.
Und M$ ignoriert jedewede Meldung dazu, hatten das auch mehrfach über den Weg, man meldet es an M$ oder an die Firma die übernommen wurde, passieren tut nichts, z.T. sind die Daten nach wie vor erreichbar. Interessiert auch irgendwie keinen, wird hingenommen und akzeptiert
Das Anmelden mit einer Mailadresse als Benutzernamen ist auch so ein Unding. Die Mailadresse ist ja doch vielen Leuten bekannt.
Der Nutzername sollte aber gerade so gewählt sein, dass er eben nicht allgemein bekannt ist. Ist ganz einfach und trotzdem wirkungsvoll.
Das verstehe ich bis heute nicht, warum das nicht bei M365 möglich ist.
Bei Outlook[.]com kann man ja wenigstens einen anderen Alias als Login verwenden, aber selbst das geht bei M365 nicht…
Kann man neben dem Alias bei Outlook[.]com nicht trotzdem auch einfach nur seine Mailadresse eingeben?
Wenn ja, bringt das mit dem Alias ja nicht wirklich was.
Die Emailadresse hat immerhin einen Vorteil: Sie ist weltweit einmalig und damit eindeutig. Wenn man es mit verschiedenen Kombinationen aus Vor- und Nachname macht, ist es schon nicht mehr so einfach, weil diverse Namen halt recht verbreitet sind, "mich" gibts zum Beispiel mindestens vier mal. Das heißt man müsste die peter.mueller und michael.schmidt dieser Welt irgendwie durchnummerieren oder was ganz kryptisches automatisch generieren lassen was sich wieder keiner merken kann.
2FA oder Passkeys löst das Problem schon ganz gut… Man muss es halt nur mal machen.
wer abweichende Anmeldenamen nimmt, macht sich garantiert zur Zielscheibe der Benutzer.
Außerdem wäre es security by obscurity.
Das matching UPN/primäre Mailadresse ist obligatorisch bei M365, alles andere ist M.U.R.K.S.
Das sehe ich anders, Benutzer IDs zum Anmelden mit der passenden primären email Adresse UPN. Die Email Domains nur als Alias drauf, das macht einiges einfacher bei Hochzeit, oder niemals doppelte Namen in der Domain usw. Display Name ändern alias neue email fertig alles andere bleibt .p. Kommt sicherlich auf die Größe oder User Anzahl drauf an.