Microsoft 365 Konten von Führungskräften im Ziel von Hackern

Eine seit November 2023 laufende Kampagne zur Kontoübernahme bei Microsoft Azure, richtet sich gegen Führungskräfte,. Diese Kampagne hat erfolgreich Hunderte von Benutzerkonten in zahlreichen Microsoft Azure-Umgebungen kompromittiert, einschließlich derer von leitenden Führungskräften.

Die Kampagne nutzt EvilProxy, ein Phishing-as-a-Service (PhaaS)-Tool, um Microsoft 365-Benutzerkonten von C-Level-Führungskräften und Managern in über 100 Organisationen weltweit ins Visier zu nehmen. Durch die Ausnutzung von Schutzmaßnahmen der Multi-Faktor-Authentifizierung (MFA) verwendet EvilProxy Reverse-Proxy- und Cookie-Injektionsmethoden, um Authentifizierungsnachweise und Sitzungscookies zu stehlen. Diese Methode ermöglicht es Angreifern, zusätzliche Sicherheitsmaßnahmen, die durch MFA bereitgestellt werden, zu umgehen und zeigt die Wirksamkeit von Phishing-Diensten gegen weit verbreitete Sicherheitspraktiken auf.

Forscher von Proofpoint haben einen signifikanten Anstieg bei erfolgreichen Übernahmeversuchen von Cloud-Konten hochrangiger Führungskräfte festgestellt, wobei mindestens 35% aller im vergangenen Jahr kompromittierten Benutzer MFA-aktivierte Konten hatten. Die Kampagne umfasste das Versenden von etwa 120.000 Phishing-E-Mails an gezielte Organisationen, die legitime Dienste wie DocuSign, Adobe und SAP Concur imitierten, um Opfer dazu zu verleiten, ihre Anmeldeinformationen preiszugeben.

Diese Kampagne ist besonders alarmierend aufgrund ihrer gezielten Natur und der Verwendung von fortgeschrittenen Techniken zur Umgehung von Sicherheitsmaßnahmen wie MFA. Die Angreifer konzentrierten sich auf “VIP”-Ziele, wobei ein signifikanter Anteil der kompromittierten Konten hochrangigen Unternehmensführungskräften gehörte, die Zugang zu sensiblen Daten und Finanzinformationen haben.

Related Posts

Abhöralarm bei Livall Ski- und Fahrradhelmen

Die Livall-Smart-Helme, die bei Skifahrern und Bikern wegen ihrer integrierten Lautsprecher, Mikrofone und Konnektivitätsfunktionen, die Gruppenkommunikation und Standortfreigabe ermöglichen, beliebt sind, wiesen eine kritische Sicherheitslücke auf. Diese Schwachstelle ermöglichte es Angreifern, unbemerkt den Standort der Helmträger zu verfolgen und ihre Gruppen-Audiochats abzuhören. Das Hauptproblem lag in einer einfachen, aber signifikanten Schwachstelle in den Smartphone-Apps von Livall, die mit der Verwaltung von Gruppenmitgliedschaften zusammenhing. Speziell waren Gruppen durch die Eingabe eines sechsstelligen numerischen Codes zugänglich, der nicht ausreichend zufällig war, was es leicht machte, ihn durch Brute-Force-Methode zu erraten und somit unbefugten Zugriff auf jegliche Gruppenkommunikation und Standortdaten zu ermöglichen.

Read More

Aktuelle Schwachstelle in APache bRPC erlaubt HTTP Request Smuggling

CVE-2024-23452 ist eine Sicherheitslücke, die HTTP-Request-Smuggling-Angriffe in Apache bRPC (vor Version 1.8.0) ermöglicht. Apache bRPC ist ein industrielles [Remote Procedure Call](https://de.wikipedia.org/wiki/Remote_Procedure_Call#:~:text=Remote%20Procedure%20Call%20(RPC%3B%20englisch,als%20das%20aufrufende%20Programm%20ausgef%C3%BChrt.) (RPC) Framework, mit Hilfe dessen Prozesse aus unterschiedlichen Adressräumen miteinander kommunizieren können. Diese Schwachstelle betrifft Versionen von Apache bRPC zwischen 0.9.5 und 1.7.0 auf allen Plattformen. Der Kern des Problems liegt darin, dass der http_parser nicht mit der RFC-7230 HTTP 1.1 Spezifikation übereinstimmt, was es Angreifern erlaubt, manipulierte Anfragen durch das System zu schleusen​​​​.

Read More

Linux Systeme von CVE 9.8/10 Shim Bootloader Vulnerability betroffen

CVE-2023-40547 ist eine kritische Sicherheitslücke mit CVE 9.8/10 im Shim-Bootloader, die eine Vielzahl von Linux-Systemen betrifft. Diese Schwachstelle ermöglicht es Angreifern, durch das Vertrauen auf vom Angreifer kontrollierte Werte beim Parsen einer HTTP-Antwort, beliebigen Code auszuführen. Speziell ermöglicht es die Schwachstelle, eine spezifisch bösartige HTTP-Anfrage zu konstruieren, was zu einer vollständig kontrollierbaren Out-of-Bounds-Schreiboperation und einer vollständigen Systemkompromitierung führt.

Read More