Alles rund um Windows

Kriminelle attackieren Bildungssektor und kapern Microsoft-Konten

Eine raffinierte Cyberangriffskampagne zielt auf Organisationen ab, die bei der anwendungs- und dienstübergreifenden Authentifizierung immer noch auf Active Directory Federation Services (ADFS) setzen.

Eine Phishing-Kampagne nutzt Microsoft Active Directory Federation Services (ADFS), um die Multifaktor-Authentifizierung (MFA) zu umgehen und Benutzerkonten zu übernehmen, sodass die Angreifer weitere böswillige Aktivitäten in Netzwerken durchführen können, die für die SSO-Authentifizierung (Single Sign-on) auf diesen Dienst angewiesen sind.

Forscher von Abnormal Security entdeckten die Kampagne, die sich gegen etwa 150 Organisationen – hauptsächlich im Bildungssektor – richtet, die sich bei der Authentifizierung über mehrere lokale und cloudbasierte Systeme hinweg auf ADFS verlassen.

Die Kampagne verwendet gefälschte E-Mails, die Personen auf gefälschte Microsoft ADFS-Anmeldeseiten leiten, die für die jeweilige MFA-Einrichtung des Ziels personalisiert sind. Sobald ein Opfer Anmeldedaten und einen MFA-Code eingibt, übernehmen Angreifer die Konten und können über die SSO-Funktion auf andere Dienste zugreifen. Sie scheinen eine Reihe von Aktivitäten nach der Kompromittierung durchzuführen, darunter das Ausspähen, die Erstellung von E-Mail-Filterregeln zum Abfangen von Kommunikation und laterales Phishing, das auf andere Benutzer in der Organisation abzielt.

Die Nutzung der veralteten SSO-Funktion in ADFS, einer Funktion, die "für Unternehmensbenutzer praktisch ist", kann sich als sehr gewinnbringend erweisen, bemerkt Jim Routh, Chief Trust Officer bei der Sicherheitsfirma Saviynt. Die Funktion wurde ursprünglich für die Nutzung hinter einer Firewall entwickelt, ist aber jetzt stärker exponiert, da sie zunehmend auf Cloud-basierte Dienste angewendet wird, obwohl sie nie dafür konzipiert wurde, wie er anmerkt.

Die Angreifer in der Kampagne fälschen Microsoft ADFS-Anmeldeseiten, um Benutzerdaten zu sammeln und die mehrstufige Authentifizierung auf eine Weise zu umgehen, die ein langjähriger Sicherheitsexperte noch nie zuvor gesehen hat.

Helpdesk-Köder für den Diebstahl von Anmeldedaten

Die Ziele der Kampagne erhalten E-Mails, die als Benachrichtigungen des IT-Helpdesks der Organisation getarnt sind – ein weit verbreiteter Phishing-Trick – und den Empfänger über ein dringendes oder wichtiges Update informieren, das seine sofortige Aufmerksamkeit erfordert. In der Nachricht werden sie aufgefordert, den bereitgestellten Link zu verwenden, um die angeforderte Aktion zu starten, z. B. eine überarbeitete Richtlinie zu akzeptieren oder ein System-Upgrade durchzuführen.

Dennoch enthalten die E-Mails verschiedene Merkmale, die sie überzeugend erscheinen lassen, darunter gefälschte Absenderadressen, die so aussehen, als stammten sie von vertrauenswürdigen Stellen, betrügerische Anmeldeseiten, die ein legitimes Branding imitieren, und bösartige Links, die die Struktur legitimer ADFS-Links imitieren, so die Forscher.

In dieser Kampagne nutzen Angreifer die vertrauenswürdige Umgebung und das vertraute Design der ADFS-Anmeldeseiten aus, um Benutzer dazu zu verleiten, ihre Anmeldedaten und die Details der Zwei-Faktor-Authentifizierung preiszugeben.

Gezielte Angriffe auf Altsysteme

Die Kampagne richtet sich zwar an verschiedene Branchen, am stärksten betroffen sind jedoch Schulen, Universitäten und andere Bildungseinrichtungen, die mehr als 50 % der Angriffe ausmachen, so die Forscher. "Dies unterstreicht die Vorliebe der Angreifer für Umgebungen mit hohem Benutzeraufkommen, veralteten Systemen, weniger Sicherheitspersonal und oft weniger ausgereiften Cybersicherheitsmaßnahmen", heißt es in dem Bericht.

Andere Sektoren, die im Rahmen der Kampagne angegriffen wurden und diese Präferenz ebenfalls widerspiegeln, sind in der Reihenfolge der Angriffsfrequenz: Gesundheitswesen, Regierung, Technologie, Transportwesen, Automobilindustrie und Fertigung.

Tatsächlich empfehlen sowohl Microsoft als auch Abnormal Security Organisationen, für die Authentifizierung auf ihre moderne Identitätsplattform Entra umzusteigen, doch viele Organisationen mit weniger hoch entwickelten IT-Abteilungen verlassen sich immer noch auf ADFS und sind daher weiterhin anfällig, so die Forscher.

Aber selbst wenn eine Organisation noch ADFS verwendet, kann sie dennoch Maßnahmen ergreifen, um sich zu schützen, sagt Grimes. Er empfiehlt beispielsweise, dass alle Benutzer "phishing-resistente MFA" verwenden, wann immer dies möglich ist.

Zu den weiteren von den Forschern empfohlenen Maßnahmen gehören die Schulung der Benutzer über moderne Phishing-Techniken und psychologische Taktiken von Angreifern sowie der Einsatz fortschrittlicher E-Mail-Filter-, Anomalieerkennungs- und Verhaltensüberwachungstechnologien, um Phishing-Angriffe zu identifizieren und zu entschärfen und kompromittierte Konten frühzeitig zu erkennen.