Mehrere Quellen bestätigen großflächige Versuche, Zugangsdaten für Microsoft 365 durchzuprobieren; auch bei Heise hat es an der Tür gerappelt. Auch wenn es scheint, dass die akuten Angriffe bereits vorbei sind, sollten M365-Admins vorsichtshalber ihre Logs auf erfolgreiche Einbruchsversuche checken. Das geht recht schnell und einfach.
Anzeige
Die zuerst von Speartip vermeldeten Brute-Force-Angriffe kommen vor allem aus Brasilien, aber auch aus einigen anderen eher unüblichen Ländern wie Argentinien, Türkei und Usbekistan. Sie haben alle den User Agent "fasthttp" und lassen sich damit einfach in den Logs identifizieren. Speartip empfiehlt dazu folgenden schnellen Check:
Melden Sie sich beim Azure-Portal an.Navigieren Sie zu Microsoft Entra ID Users Sign-in LogsWenden Sie den Filter Client-App an: "Andere Clients" und suchen Sie nach "fasthttp"Alternativ könne man auch eine Audit-Protokollsuche in Microsoft Purview mit dem Schlüsselwort "fasthttp" durchführen. Des Weiteren bietet Speartip ein Powershell-Skript zur Suche nach den verdächtigen Zugriffsversuchen in den Logfiles.
Solange alle Log-In-Versuche gescheitert sind, besteht kein akuter Handlungsbedarf; man sollte sich aber durchaus Gedanken darüber machen, ob die aktuellen Schutzmaßnahmen angesichts dieser Bedrohung noch ausreichend sind. Finden sich jedoch erfolgreiche Log-ins mit dem User-Agent "fasthttp", bedeutet das recht sicher, dass die Angreifer den Zugang übernehmen konnten. Wir empfehlen dann, die Credentials sofort zu resetten, aktive Sessions zu terminieren und weitere Incident Response einzuleiten.
Sollte die Zahl der Brute-Force-Versuche überhandnehmen, kann man die eher exotischen Ursprungsregionen auch sukzessive blockieren; Speartip bietet dafür Listen mit ASNs und IPs an. Besser ist es jedoch, den Log-in-Vorgang grundsätzlich gegen Brute-Force-Attacken beziehungsweise Angriffe mit geleakten Passwörtern abzusichern. Zweifaktor-Authentifizierung kann solche Bedrohungen zwar nicht eliminieren, reduziert die Gefahr jedoch beträchtlich.
(
Kommentare