Angriffe auf und Absicherung von Microsoft 365

Microsoft-Cloud-Dienste gewinnen immer mehr Nutzer und machen inzwischen den grössten Teil von Microsofts Umsatz aus. Das SaaS-Angebot Microsoft 365 (#M365) und der zu Grunde liegende Verzeichnisdienst Azure Active Directory (#AAD) sind beliebte Ziele für Eindringlinge.

Angreifer finden unsichere Passwörter von Benutzern und umgehen unter Umständen die Nachfrage nach einem zweiten Faktor. Über verschiedene Arten von Phishing erlangen sie Kontrolle über eine Cloud-Identität oder den Rechner eines Microsoft-365-Administrators. Darüber hinaus nutzen Angreifer auch M365-Dienste für ihre Zwecke: Teams zum Phishing oder Intune zum Ausführen von Schadcode auf verwalteten Rechnern.

Azure Active Directory ist der Identitäts- und Zugriffsverwaltungsdienst der Microsoft-Cloud. Seine Standardeinstellungen sind auf Funktionalität ausgelegt und nicht auf Sicherheit. Das führt dazu, dass normale Benutzer im AAD unerwartet viele Informationen über andere Benutzer oder Sicherheitsmassnahmen abrufen können. Mangelnde Härtung und Fehlkonfigurationen sind Einfallstore für Angreifer, die einzelne Identitäten oder gar das komplette Azure AD übernehmen.

Das Webinar zeigt: Eine sichere Konfiguration von Microsoft 365 und Azure Active Directory ist möglich. Mit kostenlosen Tools und Microsoft-eigenen Werkzeugen wie Defender-Diensten spüren Cloud-Admins und Sicherheitsverantwortliche Verbesserungspotential auf. Ausserdem bieten M365 und AAD zahlreiche Funktionen, die Identitäten und die Office-Dienste sicherer machen.

#cybersecurity #microsoft365 #oneconsult

▬▬ Inhalt ▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬
00:00 Einführung
01:20 Cloud als «neues» Phänomen
03:16 Microsoft 365 und Entra ID (Azure AD) – Grundlagen
06:54 Unauthentisierte Enumeration
08:50 Initialer Zugriff über Passwort-Angriffe
14:58 Starke Authentifizierung aktivieren
17:20 Initialer Zugriff über OAuth Phishing
20:42 Initialer Zugriff über Device Code Phishing
22:13 Initialer Zugriff über MitM/AitM-Phishing
25:05 Initialer Zugriff über Phishing zur Codeausführung
28:16 Business Email Compromise (BEC)
30:50 Phishing Gegenmassnahmen
33:19 Enumeration authentisiert
34:50 Richtlinien für bedingten Zugriff Conditional Access Policies (CAP)
39:30 Microsoft-365-Anwendungen härten
42:55 Microsoft Defender for Office 365
53:21 Audit-Werkzeuge für Azure AD (Microsoft Entra ID) und Microsoft 365

▬▬ Über Frank Ully ▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬
Seit April 2018 ist Frank Ully Senior Penetration Tester & Security Consultant. Von Oktober 2020 bis Dezember 2021 war er Chief Technical Officer der Oneconsult Deutschland AG. Seit 2022 beschäftigt er sich als Head of Research mit relevanten Entwicklungen in der offensiven IT-Sicherheit. Er hält regelmäßig Vorträge, gibt Workshops und veröffentlicht Artikel in Fachzeitschriften wie der iX.

▬▬ Über Oneconsult ▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬
Oneconsult ist ein Schweizer Cyber-Security-Services-Partner, der seit 2003 unabhängige Dienstleistungen anbietet. Mit Büros in Zürich, Bern, München und Auckland bietet das Unternehmen umfassende Dienstleistungen wie Red Teaming, Penetration Testing, Incident Response, Digital Forensics und Cyber Security Academy an. Die Firma unterstützt Kunden bei der Erkennung von Sicherheitsmängeln, bei der Erstellung von Präventionsmassnahmen und bei der Reaktion auf #Cyberattacken. #Oneconsult ist bekannt für sein teamorientiertes und umsetzungsstarkes Handeln sowie seine höchste Dienstleistungsqualität. Das Oneconsult International Computer Security Incident Response Team (OCINT-CSIRT) ist rund um die Uhr verfügbar, um Kunden im Notfall zu unterstützen.

▬▬ Social Media ▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬
►Twitter:   / oneconsultag  
►LinkedIn:   / onec.  .
►Xing: https://www.xing.com/companies/onecon...
►Youtube: ‪@Oneconsult‬
►Website: https://www.oneconsult.com/