Microsoft 365 Incident Response

Nach der ersten Entdeckung eines Vorfalls ist Schnelligkeit von größter Bedeutung, um weitere Schäden und Auswirkungen auf Ihr Unternehmen, wie Datenverlust oder Reputationsschäden, zu verhindern. Bei vergangenen Vorfällen haben wir die Exfiltration von E-Mails und SharePoint-Daten, weiteres internes Phishing oder sogar Betrugsfälle im sechsstelligen Bereich mit nur einer kompromittierten Cloud-Identität erlebt.

Ohne schnelle und angemessene Eindämmungsmaßnahmen entwickelt sich ein kleiner Vorfall schnell zu einem Vorfall mit großer Tragweite.

Kontaktieren Sie daher unsere Incident Response-Experten so schnell wie möglich nach der ersten Entdeckung über unsere Notfall-Hotline +49 89 890 63 62 61 oder stellen Sie hier eine Anfrage.

Vorfälle in der Microsoft Cloud werden in der Regel durch Warnungen der Microsoft Defender-Suite erkannt, vor allem durch den Identitätsschutz von Microsoft. Typische Warnungen, die Sie sehen können, sind:

• Atypical travel
• Anomalous Token
• Suspicious browser
• Unfamiliar sign-in properties
• Malicious IP address
• Suspicious inbox manipulation rules
• Password spray
• Impossible travel
• New country
• Activity from anonymous IP address
• Suspicious inbox forwarding
• Mass Access to Sensitive Files
• Verified threat actor IP
• Additional risk detected
• Anonymous IP address
• Admin confirmed user compromised
• Microsoft Entra threat intelligence
• Possible attempt to access Primary Refresh Token (PRT)
• Anomalous user activity
• User reported suspicious activity
• Suspicious API Traffic
• Suspicious sending patterns
• Leaked credentials
• Microsoft Entra threat intelligence
• Token issuer anomaly
• Unusual volume of external file sharing
• Messages have been delayed

Wenn Sie einige dieser Warnungen in Ihrer Umgebung sehen, sollten Sie sie ernst nehmen und sofortige Gegenmaßnahmen ergreifen.​

In den letzten Jahren haben viele Unternehmen die Multifaktor-Authentifizierung (MFA) als eine sehr wichtige Sicherheitsmaßnahme zum Schutz von Benutzerkonten erkannt.

In der Vergangenheit war jede MFA-Methode ausreichend, um ein Unternehmen vor den meisten Phishing-Bedrohungen zu schützen. Mit der zunehmenden Verbreitung von MFA haben die Angreifer ihre Phishing-Angriffe entsprechend angepasst.

Heute ist es üblich, dass Angreifer Adversary-in-the-Mittle (AitM), auch bekannt als Man-in-the-Middle (MitM), Phishing-Websites verwenden, die den Schutz durch nicht Phishing-resistente MFA-Methoden wie SMS-Token, TOTPs oder Push-Benachrichtigungen für mobile Apps umgehen können.

Bei beiden Phishing-Angriffen wird der Benutzer zunächst auf eine Phishing-Website geleitet und zur Eingabe seiner Anmeldedaten verleitet. Beim gewöhnlichen Phishing speichern die Angreifer die Anmeldedaten des Benutzers einfach zur späteren Verwendung. AitM - die raffiniertere Variante - verwendet einen bösartigen Proxy-Server, der die Phishing-Seite hostet.

Dieser Proxy wird verwendet, um die Anmeldeinformationen des Benutzers dynamisch und in Echtzeit an Microsoft weiterzuleiten, um einen Authentifizierungsprozess und die entsprechenden MFA-Mechanismen auszulösen.

Je nach MFA-Methode des Benutzers zeigt die Phishing-Seite dann die Eingabeaufforderung, das Formular oder die Informationen an, die dem Benutzer auf der echten Microsoft-Seite angezeigt werden würden. Auf diese Weise kann der Benutzer den MFA-Vorgang auf der Phishing-Seite abschließen, die dann wiederum vom Angreifer an Microsoft weitergeleitet wird.

Das daraus resultierende Multi-Faktor-Authentifizierungs-Session-Token wird vom Angreifer aufbewahrt und nicht an den Benutzer weitergeleitet.

Da die meisten Vorfälle in der Cloud immer noch mit einer Phishing-Mail beginnen, ist die beste Art, solche Vorfälle zu verhindern, die Implementierung einer Multi-Faktor-Authentifizierung mit phishing-resistenten Faktoren in Kombination mit einer umfassenden Sensibilisierungskampagne.