Microsoft Office 365 wordt de kern van veel bedrijven. En hackers hebben het gemerkt.

Nu cloudgebaseerde services de sleutel worden tot veel bedrijfsactiviteiten, richten hackers hun doel opnieuw.

Naarmate het gebruik van Office 365 van Microsoft groeit – inclusief services zoals Exchange, Teams, SharePoint, OneDrive en meer – blijkt de enorme hoeveelheid gegevens die in de cloud is opgeslagen een verleidelijk doelwit te zijn voor enkele van de meest geavanceerde hackoperaties ter wereld, volgens cybersecurity-onderzoekers bij FireEye Mandiant.

“De hoeveelheid gegevens in Office 365 is gewoon enorm en aanvallers zijn duidelijk geïnteresseerd in gegevens. Maar ze hebben nu ook toegang tot die gegevens van vrijwel overal ter wereld”, vertelde Doug Bientock, hoofdadviseur bij Mandiant aan ZDNet, voorafgaand aan het onderzoek. wordt gepresenteerd op de virtuele veiligheidsconferentie Black Hat USA.

Het kost hackers vaak niet veel om de netwerken van organisaties waarop ze zich richten in gevaar te brengen; het is mogelijk om lijsten met e-mailadressen van werknemers bij een bedrijf op te halen, en aanvallers zullen proberen om brute-force-aanvallen te gebruiken om gewone of zwakke wachtwoorden te kraken. Het hoeft niet eens een spear-phishing-aanval te zijn. Sommige aanvallen zijn echter aanzienlijk geavanceerder.

“De aanvaller neemt die geldige inloggegevens, logt in op de VPN en ze verplaatsen zich over het netwerk met de bedoeling hun privileges te escaleren naar een wereldwijd beheerdersaccount voor Office 365”, zegt Josh Madeley, hoofdadviseur bij Madiant en co-auteur van de presentatie, vertelde ZDNet.

Er wordt aangenomen dat een aanzienlijke meerderheid van – zo niet alle – door de staat gesteunde geavanceerde persistente dreiging (APT) -groepen geïnteresseerd is in het inzetten van dit soort aanvallen, maar een die zeker heeft is APT35, een hackoperatie die vanuit Iran werkt, die Madeley beschreef als “berucht” voor het misbruiken van clouddiensten om toegang te krijgen tot de gevoelige informatie die het wil zien.

“Ze krijgen toegang tot uw Office 365-omgeving en gebruiken vervolgens de beveiligingstools om de inhoud van elke mailbox, elke Teams-chat, elk SharePoint-document te doorzoeken”, legt hij uit.

Van daaruit zoekt APT35 naar referenties die hen toegang geven tot andere afdelingen, zelfs andere bedrijven, en overal waar ze gevoelige informatie kunnen extraheren.

De hackers proberen geen zwakte in Office 365 te misbruiken; gewoon de manier waarop het een kernonderdeel van de IT-infrastructuur van een bedrijf is geworden, maakt het een aantrekkelijk doelwit. Maar de manier waarop bedrijven en gebruikers Office 365 beveiligen, kan worden verbeterd om u tegen dit soort aanvallen te beschermen. De eerste stap die organisaties kunnen nemen om aanvallen te voorkomen, is ervoor te zorgen dat geen gewone, gemakkelijk te raden wachtwoorden worden gebruikt.

Organisaties moeten er ook voor zorgen dat multi-factor authenticatie wordt toegepast op zoveel mogelijk werknemersaccounts, dus in het geval dat een wachtwoord wordt gestolen of gestrand, is er een extra verdedigingslaag om aanvallen te stoppen.

“De twee belangrijkste dingen die we aanbevelen, zijn het inschakelen van multi-factor en het intelligent doen met zo min mogelijk uitzonderingen. Dus iedereen in de organisatie en elke applicatie moet multi-factor toepassen – en bedenk hoe vaak je dat wilt doen,” zei Bienstock.

Het wordt ook aanbevolen dat organisaties de tijd nemen om de activiteit op hun netwerk te begrijpen, zodat het mogelijk is om verdachte activiteit te detecteren en te stoppen voordat deze aanzienlijke schade kan aanrichten.

“Office 365 biedt standaard een goede beveiliging, maar als je bescherming wilt bieden tegen APT’s, moet je wat tijd en moeite doen om de logboeken te begrijpen en robuuste monitoring op te bouwen, zodat je kunt zien dat er iets gebeurt terwijl dat niet zou moeten. zodat je ze kunt afsnijden, ‘zei hij.

Bron: zdnet