![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
In letzter Zeit finden wohl massive IMAP-basierende Password-spraying-Angriffe auf Microsoft Office 365- und G-Suite-Konten statt. Die Angreifer konnten die Multi-Faktor-Authentifizierung (MFA) der Dienste erfolgreich umgehen, wie eine Analyse von Proofpoint ergab.<\/p>\n
<\/p>\n
Diese Angriffsmethode nutzt die Tatsache aus, dass die Authentifizierung per IMAP-Protokoll die Multi-Faktor-Authentifizierung (MFA) der Dienste umgeht. Dies erm\u00f6glicht es den Angreifern, Zugriff auf Konten bei Microsoft Office 365 und Googles G-Suite zu erhalten, die sonst gesch\u00fctzt w\u00e4ren.<\/p>\n
Wie das Information Protection Research Team von Proofpoint in einem k\u00fcrzlich erschienenen Bericht feststellte, beobachteten die Forscher von Proofpoint bei einer \"k\u00fcrzlich durchgef\u00fchrten sechsmonatigen Studie \u00fcber gro\u00dfe Cloud-Service-Nutzer massive Angriffe, die Legacy-Protokolle und Qualifikations-Dumps nutzen, um die Geschwindigkeit und Effektivit\u00e4t bei Brute-Force-Angriffe auf die Konten in gro\u00dfem Ma\u00dfstab zu erh\u00f6hen\".<\/p>\n
72% der Cloud-Nutzer wurden mindestens einmal angegriffen. Die Proofpoint-Analyse<\/a> ergab, dass rund 60% aller Microsoft Office 365- und G-Suite-Mieter mit IMAP-basierten Password-spraying-Angriffe angegriffen wurden. Dabei waren rund 25% der angegriffenen G-Suite- und Office 365-Nutzer von einem erfolgreichen Angriffe auf die Konten betroffen. Nachfolgende Grafik zeigt die Verteilung der erfolgreichen Logins nach einem solchen Angriff. <\/p>\n Die IMAP-basierten Angriffe auf Office 365- und G-Suite-Konten verst\u00e4rkten sich zwischen September 2018 und Februar 2019. Die Angriffe richteten sich haupts\u00e4chlich gegen \"hochwertige Benutzer wie F\u00fchrungskr\u00e4fte und deren Verwaltungsassistenten\". Nach erfolgreichen Angriffen wurde sich in den meisten F\u00e4llen \u00fcber nigerianische IP-Adressen eingeloggt. Rund 40% aller erfolgreichen b\u00f6sartigen Aktivit\u00e4ten stammen aus Nigeria, w\u00e4hrend chinesische Akteure etwa 26% der erfolgreichen Verst\u00f6\u00dfe verzeichneten. <\/p>\n Nach mir vorliegenden Information erfolgte auch der Angriff auf das Cisco-Netzwerk \u00fcber Password-spraying-Angriffe. Zitat einer Mitteilung von Dracoon:<\/p>\n Nach aktuellem Kenntnisstand ist der IT-Sicherheitsanbieter Citrix zweimal innerhalb der letzten Monate angegriffen worden: einmal im Dezember und erneut einmal am letzten Montag \u2013 so berichtete es die Firma Resecurity. <\/p>\n Zu den T\u00e4tern gibt es bereits erste Informationen: Der Angriff sei wahrscheinlich von der iranischen Hackergruppe Iridium durchgef\u00fchrt worden, die auch hinter einer Welle j\u00fcngster Cyberangriffe gegen zahlreiche Regierungsbeh\u00f6rden, \u00d6l- und Gasunternehmen und andere Ziele stand. <\/p>\n Bez\u00fcglich der Methodik bedienten sich die Cyberkriminellen wahrscheinlich dem \u201ePasswort Spraying.\" Bei dieser Vorgehensweise handelt es sich nicht um einen klassischen Brute-Force-Angriff, sondern es werden typische, weitverbreitete Passw\u00f6rter ausprobiert, bis man schlie\u00dflich auf den richtigen Code st\u00f6\u00dft und Zugang erh\u00e4lt. H\u00e4ufig werden hier besonders naheliegende und unsichere Zugangsinformationen durchprobiert, wie etwa \u201ePassword.\" Auf diese Weise konnten die Angreifer wohl mehrere Mitarbeiter-Accounts kompromittieren und somit in das Netzwerk eindringen. Insgesamt wurden vermutlich zwischen sechs und zehn Terabyte Daten entwendet. <\/p>\n<\/blockquote>\n \u00dcber diesen Hack hatte ich im Beitrag Hacks und Leaks der Woche<\/a> berichtet. (via<\/a>)<\/p>\n","protected":false},"excerpt":{"rendered":" In letzter Zeit finden wohl massive IMAP-basierende Password-spraying-Angriffe auf Microsoft Office 365- und G-Suite-Konten statt. Die Angreifer konnten die Multi-Faktor-Authentifizierung (MFA) der Dienste erfolgreich umgehen, wie eine Analyse von Proofpoint ergab.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-215768","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/215768","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=215768"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/215768\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=215768"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=215768"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=215768"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"Successful](\"https:\/\/www.bleepstatic.com\/images\/news\/u\/1109292\/March%202019\/Successful%20malicious%20login%20sources.png\")
(Quelle: Proofpoint) <\/p>\n\n