Haftungsausschluss: Dieser Beitrag dient ausschließlich Bildungs- und Informationszwecken. Die hier gezeigten Informationen und Angriffe dürfen niemals für illegale Zwecke oder auf Systemen, für die keine explizite Erlaubnis eingeräumt wurde, verwendet werden. Solche Handlungen können gegen geltende Gesetze verstoßen und schwerwiegende rechtliche Konsequenzen nach sich ziehen.

Zusammenfassung

Dieser Blogeintrag behandelt die Absicherung von Identitäten in Cloud- und SaaS-Umgebungen. Für dieses SecCore Essential müssen die folgenden Punkte umgesetzt werden:

  • MFA ist für alle externen Logins umgesetzt
  • Passwortrichtlinien für Cloud- und SaaS-Dienste sind konfiguriert (Mindestlänge, keine bekannten Passwörter)
  • Alle privilegierten Accounts sind bekannt und auf das notwendige Minimum beschränkt

Einleitung

Cloud- und SaaS-Dienste sind ein zentraler Bestandteil von modernen Unternehmensumgebungen. Dabei sind diese, egal ob Microsoft 365, Google Workspace, AWS oder andere, ein häufiges Ziel für Angriffe. Oftmals ist es gar nicht mehr notwendig, in die Infrastruktur eines Unternehmens einzudringen, da die wichtigsten und sensibelsten Daten bereits in der Cloud liegen.

Das Hauptproblem ist dabei selten die Plattform selbst, sondern deren Konfiguration. Schwache Passwörter, fehlende Multi-Faktor-Authentifizierung (MFA), zu weit gefasste Rollen und vergessene Accounts sowie Freigaben sind häufige Ursachen für Sicherheitsvorfälle.

Häufige Angriffsvektoren

Der folgende Abschnitt beschreibt potenzielle Angriffsvektoren, die auftreten, wenn Clouddienste nicht korrekt implementiert wurden.

Credential Stuffing und Password Spraying

Angreifer nutzen Listen aus öffentlich bekannten Datenlecks, um automatisiert Zugangsdaten gegen Cloud-Logins zu testen. Bei Credential Stuffing werden geleakte Kombinationen ausprobiert. Werden Passwörter mehrfach verwendet, ist dies möglicherweise auch für einen Cloud-Login gültig.

Beim Password Spraying wird ein einziges, häufig genutztes Passwort (z.B. Sommer2026!) gegen viele Accounts getestet, um Account-Lockouts zu vermeiden.

Password Spraying

Ohne MFA reicht ein einziger Treffer, um einen Account vollständig zu übernehmen. Wurde ein Account kompromittiert, ist es oft direkt möglich, auf alle Daten dieses Accounts (E-Mails, Chats, Dokumente etc.) zuzugreifen und weitere Angriffe durchzuführen (z.B. Phishing über eine interne Mailbox, Hochladen von Schadsoftware in Cloud-Speicher, etc.).

Fehlende oder umgangene Conditional Access Policies

Ohne Conditional Access Policies können sich Angreifer von beliebigen Geräten, Standorten und zu beliebigen Uhrzeiten einloggen. Ein kompromittierter Account kann so ohne Einschränkungen genutzt werden, auch wenn die Verwendung dieses Accounts unter diesen Umständen einen Alarm auslösen sollte.

Überprivilegierte Accounts

Viele Cloud- und SaaS-Dienste bieten eine Vielzahl von Rollen und Berechtigungen, welche oft nicht korrekt eingeschränkt werden. Es passiert daher sehr häufig, dass Accounts mehr Rechte haben als notwendig, was im Falle einer Kompromittierung einen möglichen Schaden deutlich erhöht. Zu hoch privilegierte Accounts können genutzt werden, um weitere Accounts zu erstellen, Berechtigungen zu erhöhen, Daten zu exfiltrieren oder Schadsoftware in die Cloud-Umgebung hochzuladen.

Angriffsszenario

Dieser Abschnitt zeigt, wie über ein geleaktes Passwort Zugang zu einer Microsoft 365-Umgebung erhalten werden kann. Dabei hatte das Zielunternehmen Multifaktor-Authentifizierung nicht für alle Accounts umgesetzt.

Zuerst wird eine Liste von bereits kompromittierten Zugangsdaten aus öffentlich zugänglichen Datenbanken bezogen. Diese Zugangsdaten stammen häufig aus früheren Hacker-Angriffen, bei welchen Passwörter in Klartext oder als Hashes geleakt wurden. Dabei ist es nicht ungewöhnlich, dass Passwörter mehrfach verwendet werden, auch für Zugänge in Unternehmensumgebungen.

Checking leak Database for entries

Im nächsten Schritt muss herausgefunden werden, welche Cloud-Dienste das betroffene Unternehmen nutzt. Dies kann beispielsweise über die Analyse von DNS-Einträgen der Haupt-Domain oder durch Enumeration der Cloud-Dienste an sich geschehen. Für Microsoft 365 kann hierbei ein einfacher curl-Befehl Aufschluss geben, ob die Domain für Microsoft 365 konfiguriert ist:

curl https://login.microsoftonline.com/inseccore.at/.well-known/openid-configuration

Wird dabei ein Token Output zurückgegeben, existiert die Domain in Microsoft 365: MS365 Token Output

Nun kann versucht werden, mit dem geleakten Passwort Zugang zu einem Account zu erhalten. In diesem Fall wurde das Passwort für den Account k.steiner@inseccore.at getestet. Da keine Multifaktor-Authentifizierung für diesen Account konfiguriert ist, war der Login erfolgreich:

SharePoint Website

Nach dem Login können nun alle Daten dieses Accounts eingesehen und genutzt werden. In diesem Fall waren das E-Mails, Chats, Dokumente und weitere Informationen, welche für weitere Angriffe genutzt werden können.

Gegenmaßnahmen

Für sämtliche Cloud- und SaaS-Dienste sollten Multi-Faktor-Authentifizierung und Conditional Access Policies umgesetzt werden, um die Sicherheit von Accounts zu erhöhen. Der Einsatz von MFA verhindert solche Credential-Stuffing- und Password-Spraying-Angriffe. Gegen Phishing-Angriffe kann zusätzlich die Implementierung von Phishing-Resistant MFA (z.B. FIDO2-Sicherheitsschlüssel) helfen, da herkömmliche MFA-Methoden mithilfe von Social Engineering umgangen werden können. Korrekt konfigurierte Conditional Access Policies können ebenfalls helfen, ungewöhnliche Login-Versuche zu blockieren.