{"id":295216,"date":"2024-05-14T00:01:00","date_gmt":"2024-05-13T22:01:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=295216"},"modified":"2024-05-13T12:37:22","modified_gmt":"2024-05-13T10:37:22","slug":"risiko-infos-von-people-sharepoint-teams-onedrive-und-outlook-abziehen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/05\/14\/risiko-infos-von-people-sharepoint-teams-onedrive-und-outlook-abziehen\/","title":{"rendered":"Risiko: Infos von People, SharePoint, Teams, OneDrive und Outlook abziehen"},"content":{"rendered":"

Risiko Cloud und \u00f6ffentlich lagernde Daten. Ein Sicherheitsforscher hat gerade auf diesen Sachverhalt bzw. die Probleme hingewiesen, die durch Speichern von Daten auf SharePoint, OneDrive oder durch die Informationen in People, Teams oder Outlook entstehen. Ausgangspunkt war das Wissen, dass man mit Daten, die aus der People-App herausgezogen werden k\u00f6nnen, \u00f6ffentliche Microsoft 365-Gruppen finden und dann Dokumente exfiltrieren kann. Zudem ist es m\u00f6glich, b\u00f6sartige Dateien auf offenen OneDrive-Freigaben zu speichern, \u00fcber die die Nutzer ausspioniert werden k\u00f6nnen. Der Sicherheitsforscher zeigt einen \"Blick in den Abgrund\", was IT-Sicherheit betrifft. <\/p>\n

<\/p>\n

Die Gefahr der Cloud<\/h2>\n

Landl\u00e4ufig geht ja die M\u00e4r, dass b\u00f6se Hacker Schwachstellen ausnutzen, um Netzwerke auszukundschaften und Systeme zu hacken. Insider wissen aber, dass die ben\u00f6tigen Informationen oft frei im Netz zu finden sind. Das gro\u00dfe Risiko der Cloud besteht nach Meinung mancher Nutzer auch darin, dass eine Fehlkonfiguration den Zugriff auf Daten durch Unbefugte erm\u00f6glicht. <\/p>\n

Eine unbewusste Fehlkonfiguration eines Cloud-Speichers, die den Datenabfluss erm\u00f6glicht, ist die eine Sache. H\u00e4ufig sind es aber bewusst frei zug\u00e4ngliche Online-Speicher, die dazu f\u00fchren k\u00f6nnen, dass Daten abflie\u00dfen. Denn wer ist sich immer dar\u00fcber im Klaren, ob eine OneDrive- oder SharePoint-Freigabe gesch\u00fctzt oder frei zug\u00e4nglich ist. Und dann landet schnell mal ein Dokument auf einem offenen Online-Speicher, was dort niemals hingeh\u00f6rt hat – und sei es, weil eine App dort ihre Dateien als Backup ablegt. <\/p>\n

Das Cloud-Experiment <\/h2>\n

Ein Nutzer hat auf X die einfache Frage stellt: \"Wer kann mir Informationen dar\u00fcber geben, was Bedrohungsakteure tun, sobald sie Zugang zu M365-Umgebungen erhalten haben?\". Das ist ja die gro\u00dfe Gefahr, die die Leute sehen. Sicherheitsforscher Erica Zelic, der als Freelance Security Consultant im Bereich AD, MS Cloud, Purple Team, EDR, Initial Access Leistungen anbietet, hat auf diese Frage geantwortet und in nachfolgendem Tweet<\/a> skizziert, wie weit er mit den f\u00fcr ihn zug\u00e4nglichen Informationen kommt, um Daten Dritter aus der Cloud abzurufen. <\/p>\n

\"Risiko<\/a><\/p>\n

Dazu beschreibt er die Vorgehensweise: Er ruft die People-App (Kontakte-App) unter seinem Benutzerkonto myapps.microsoft.com<\/a> auf. Dort werden ja Kontakte eines Nutzers mit allerlei Informationen aufgelistet. Was kann schon schief gehen, die Daten in den Kontakten erm\u00f6glichen ja nicht den Zugriff auf deren Online-Konten. <\/p>\n

Der Sicherheitsforscher schreibt aber, dass er seine Kontakte verwenden kann, um \u00f6ffentliche Microsoft 365-Gruppen zu finden. Sobald er eine solche Gruppe finde, pr\u00fcfe er, welche Dokumente er aus dieser \u00f6ffentlichen Gruppe exfiltrieren kann. Auch schaue er, welche E-Mail-Archive er lesen kann, um Wissen \u00fcber die Organisationsstruktur und die PTO (Paid Time Off) der Mitarbeiter zu erlangen. Weiterhin gilt sein Augenmerk dem Ergattern von Verteilerlisten. Genau so w\u00fcrden Cyberkriminelle vorgehen. <\/p>\n

Dann k\u00f6nnte er b\u00f6sartige Dateien auf \u00f6ffentlichen OneDrive-Freigaben anlegen, um von der Cloud  auf On-Premise-Instanzen der Opfer zugreifen zu k\u00f6nnen. Dort k\u00f6nnte er andere Anwendungen wie ServiceNow durchsuchen, um Informationen in Wikis und Anleitungen zu erhalten. Weiterhin w\u00e4re es m\u00f6glich, Admin-Portale wie entra.microsoft.com<\/a> zu \u00fcberpr\u00fcften, um alle Konfigurationsinformationen \u00fcber Oauth-App-Registrierungen und Enterprise-Apps zu erhalten und auszunutzen.  <\/p>\n

Der Sicherheitsforscher schreibt, dass man nach freigegebenen und delegierten Postf\u00e4chern suchen k\u00f6nne, um sich dort zu verstecken. Er kann zudem Informationen \u00fcber standortspezifische Beschr\u00e4nkungen abrufen, um zu erfahren, wohin er sich im Netzwerk risikofrei bewegen kann. Dann schreibt der Sicherheitsforscher, k\u00f6nne er ein internes Phishing mit unerlaubter Zustimmung f\u00fcr laterale Bewegungen einrichten. \u00dcber diese Schiene ist es m\u00f6glich, per Phishing Zugang zu Teams und SharePoint zu bekommen. Dann lie\u00dfen sich von Mitarbeitern Ger\u00e4tecodes und anderen Methoden f\u00fcr laterale Bewegungen im Unternehmensnetzwerk ergattern.<\/p>\n

Am Ende des Tages, so schreibt der Sicherheitsforscher, sei er in der Lage, Daten aus der Kontakte-App, SharePoint, Teams, OneDrive und Outlook abzuziehen. Eine eingerichtete Multifaktor-Authentifizierung (MFA) sei kein Hindernis. Mit dem ergatterten Wissen synchronisiert er andere Cloud-Laufwerke in Outlook, f\u00fcgt Regeln hinzu, leitet Informationen weiter (sofern zul\u00e4ssig). Der obige Tweet skizziert, was alles m\u00f6glich ist, wenn man nur konsequent die erreichbaren Informationen auswertet. <\/p>\n

Was kann man zur Erkennung tun?<\/h2>\n

In einem weiteren Tweet fragt er: \"Welche Protokolle k\u00f6nnen verwendet werden, um diese Art von Aktivit\u00e4t zu erkennen?\" Darauf gibt er als Antwort, das die Auswertung der Unified Access Logs im Compliance Portal bei der Erkennung helfe. Auch die \u00dcberwachung riskanter Anmeldungen, riskanter Nutzer sowie riskanter Arbeitsfelder seien hilfreich. Nutzer von Entra ID<\/a> k\u00f6nnten nach der Anmeldung unter mysignins.microsoft.com<\/a> die letzten Anmeldungen pr\u00fcfen, um zu sehen, ob Dritte vielleicht das eigene Konto missbrauchen. <\/p>\n

Das Ganze zeigt aber, wie riskant die gesamte Vernetzung mit \u00dcberg\u00e4ngen von Cloud auf On-Premises geworden ist. Bei vielen hundert Benutzern, die froh sind, wenn die IT-Infrastruktur \u00fcberhaupt halbwegs funktioniert, auch noch die Kontrolle \u00fcber die Daten zu erhalten, erscheint mir unm\u00f6glich. Und die Suche nach unberechtigter Nutzung gleicht der Suche nach der Nadel im Heuhaufen. <\/p>\n

Das Ganze erscheint mir kaum noch beherrschbar. Die Protagonisten werden jetzt um die Ecke kommen und argumentieren: \"Zeit, f\u00fcr eine KI-gest\u00fctzte Sicherheitsl\u00f6sung, die die menschlichen Unzul\u00e4nglichkeiten ausb\u00fcgelt und Angriffe aufdeckt\". Klar, es gibt diese Chance, aber die Risiken \u00fcberwiegen in meinen Augen. Wer sagt denn, dass die KI-L\u00f6sung nicht selbst zum Problem wird? Denn diese muss ja auf die Konten und Systeme zugreifen, um die Anmeldungen auszuwerten. Was, wenn eine Schwachstelle mal eben eine Hintert\u00fcr in die Netzwerke \u00f6ffnet? Der Solarwinds-Lieferkettenangriff ist ein Beispiel. <\/p>\n

Und mir ist noch ein spezieller Fall aus dem Feld der KI im Hinterkopf, der zeigt, wie etwas gr\u00fcndlich schief gehen kann. Dr\u00fcben im 50Plus-Blog hatte ich im Beitrag Der gefr\u00e4\u00dfige Gigant: Leuchtst\u00e4rktes Objekt im Universum \u00fcbersehen<\/a> \u00fcber die Entdeckung der hellsten \"Quelle im Universum\" berichtet. Der Quasar mit der Bezeichnung J0529-4351, der durch ein riesiges schwarzes Loch erzeugt wird, war jahrelang durch automatische Auswerteprogramme \u00fcbersehen bzw. herausgefiltert worden. Und im Sinne \"mit KI wird alles besser\" sehe ich die Gefahr, dass sich da die Verantwortlichen in Sicherheit wiegen \"unser super teures KI-System hat nichts gemeldet, wir sind sauber\". Und dass die tollen KI-Systeme unbeabsichtigt Daten leaken, ist ein weiterer Aspekt, der auch zu diskutieren ist. <\/p>\n","protected":false},"excerpt":{"rendered":"

Risiko Cloud und \u00f6ffentlich lagernde Daten. Ein Sicherheitsforscher hat gerade auf diesen Sachverhalt bzw. die Probleme hingewiesen, die durch Speichern von Daten auf SharePoint, OneDrive oder durch die Informationen in People, Teams oder Outlook entstehen. Ausgangspunkt war das Wissen, dass … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,426],"tags":[1171,4328],"class_list":["post-295216","post","type-post","status-publish","format-standard","hentry","category-cloud","category-sicherheit","tag-cloud","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/295216","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=295216"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/295216\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=295216"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=295216"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=295216"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}