Integrierte Bedrohungen: Wie Cyberkriminelle Microsoft-Tools zu Angriffsvektoren machen

Cyberkriminelle wenden sich immer häufiger genau den Tools zu, denen Unternehmen vertrauen, um ihre Produktivität und Sicherheit zu gewährleisten. In den letzten sechs Monaten hat Ontinue's Team für fortgeschrittene Bedrohungsoperationen (ATO) hat eine Zunahme von Angriffen beobachtet, die integrierte Microsoft Windows-Tools - insbesondere Quick Assist und Windows Hello - missbrauchen, um heimlich Schutzmaßnahmen zu umgehen und in Umgebungen einzudringen.

Diese Angriffe sind ein Weckruf: Bequemlichkeit darf nicht länger schwerer wiegen als Sicherheit.

Schnelle Hilfe: Wenn “hilfreich” schädlich wird

Quick Assist ist eine legitime Funktion von Microsoft, die in Windows-Systeme integriert ist und dem Supportpersonal den Fernzugriff ermöglicht. Doch in den Händen von Bedrohungsakteuren wird sie zu einer mächtigen Waffe.

Die Angriffskette verläuft oft folgendermaßen:

• Spam-Bombardierung - Die Angreifer überschwemmen den Posteingang oder das Telefon des Opfers mit Junk-Nachrichten, um Verwirrung und Dringlichkeit zu stiften.
• Gefälschter technischer Support - Die Opfer werden dazu verleitet, eine betrügerische Nummer auf einer gefälschten “Support”-Seite anzurufen.
• Schnelle Hilfe bei der Nutzung - Der Betrüger fordert das Opfer auf, Quick Assist zu öffnen und mit einem Sitzungscode Zugang zu gewähren.

Von dort aus können die Angreifer:

• Installation von Malware und Backdoors
• Ausdauer beibehalten
• Ausführen von Befehlen oder Installieren sekundärer Nutzlasten
• Daten und Berechtigungsnachweise stehlen
• Deaktivierung von Sicherheitstools oder sogar Einsatz von Ransomware

Tipps zur Schadensbegrenzung:

• Deaktivieren Sie Quick Assist über die Gruppenrichtlinie, wenn es nicht unbedingt erforderlich ist.
• Überwachen Sie die Verwendung von QuickAssist.exe auf Anomalien.
• Schulung der Benutzer, damit sie niemals unaufgeforderten Fernzugriff gewähren und Supportkontakte verifizieren.

Windows Hello: Passwortlos, nicht risikolos

Windows Hello - insbesondere seine Unternehmensvariante, Windows Hello for Business (WHfB) bietet eine starke Authentifizierung über biometrische Merkmale und PINs. Es ist so konzipiert, dass es gegen Phishing geschützt ist. Doch auch dieses robuste System ist nicht vor Missbrauch gefeit.

Es zeichnen sich zwei zentrale Bedrohungsszenarien ab:

1. Rogue Device Enrollment
   • In falsch konfigurierten Umgebungen können Angreifer mit gültigen Benutzeranmeldeinformationen nicht autorisierte Geräte beim WHfB registrieren und sich so dauerhaften Zugriff verschaffen.
2. Missbrauch von Authentifizierungsschlüsseln
   • Angreifer können auf private Schlüssel abzielen, die im Trusted Platform Module (TPM) gespeichert sind, insbesondere auf Endgeräten ohne angemessenen Schutz, wodurch sie MFA umgehen können.

Sicherheitsempfehlungen:

• Überwachen Sie die Registrierung von WHfB-Geräten in Entra ID und Active Directory.
• Durchsetzung von Richtlinien für bedingten Zugriff und Gerätekonformität.
• Erfordert TPM 2.0 und aktiviert Credential Guard.
• Sperren Sie kompromittierte Schlüssel und Geräte umgehend.
• Regelmäßige Überprüfung der Anmeldeaktivitäten auf Anomalien.

Vertrauen in vertrauenswürdige Werkzeuge überdenken

Der zunehmende Missbrauch von Tools wie Quick Assist und Windows Hello zeigt, dass Angreifer nicht immer auf der Suche nach exotischen Exploits sind - sie nutzen oft die Bequemlichkeit aus.

Es ist an der Zeit, dass Sicherheitsteams die Tools und Anwendungen, die als “standardmäßig sicher” gelten, genau unter die Lupe nehmen. Denn wenn Bequemlichkeit zum blinden Fleck wird, ist es nur eine Frage der Zeit, bis sie als Waffe eingesetzt wird.

Erfahren Sie mehr über diese Taktiken und andere wachsende Bedrohungen in der neuesten Ausgabe von Ontinue 2H 2024 Bericht über Bedrohungsdaten von unserem Advanced Threat Operations Team.