Di. Apr 23rd, 2024

München/Zürich, den 14.03.2023 – Was kann ein Angreifer tun, wenn die Identität eines Benutzers kompromittiert wurde? Die Antwort lautet: so ziemlich alles. Mit Zugriff auf eine Unternehmensumgebung kann ein Angreifer Daten aus SaaS-Anwendungen stehlen, einschließlich sensibler Microsoft 365-Datenspeicher wie SharePoint, Teams und Exchange sowie Anwendungen wie Salesforce und ADP. Er kann Kampagnen gegen föderierte Cloud-Provider und hybride Netzwerkumgebungen durchführen.

 

„Verteidiger müssen auf identitätsorientierte Angriffe gegen Azure AD und M365 reagieren und diese stoppen, bevor Schaden entsteht. Präventionsmechanismen wie Mitarbeiterschulung, Multi-Faktor-Authentifizierung (MFA) und eine gut ausgearbeitete Conditional Access Policy helfen, aber Angreifer finden immer wieder einen Weg hinein“, meint Andreas Riepen, Head Central & Eastern Europe bei Vectra AI, „Um Angreifer zu stoppen, die Präventivmaßnahmen umgehen, ist es jedoch wichtig zu verstehen, was ein Angreifer tut, sobald er in der Umgebung ist.“

 

Sicherheitsteams brauchen die richtigen Tools, um die Cloud-Sicherheitskontrollen so zu testen, dass sie das Verhalten eines echten Angreifers nachahmen. So gelingt es, die Lücken zu verstehen und zu gewährleisten, dass sie die richtige Sichtbarkeit haben, um einen Angreifer zu stoppen. Der praktischen Erfahrung nach ist dies der Schlüssel zur Ausfallsicherheit. Eine stabile Cloud-Konfiguration mit den richtigen Erkennungsmechanismen, die eine rechtzeitige Erkennung und Reaktion ermöglichen, kann dazu beitragen, den Schaden eines Angriffs zu begrenzen und zu verhindern.

 

Ein Schlüssel dazu ist MAAD-AF (M365 & Azure AD Attack Framework), das Andreas Riepen von Vectra AI in der Folge erläutert.

 

MAAD-AF ist ein Open-Source-Cloud-Angriffs-Framework, um die Sicherheit von Microsoft 365- und Azure AD-Umgebungen durch Emulation von Angreifern zu testen. MAAD-AF wurde entwickelt, um Cloud-Sicherheitstests für Sicherheitsexperten einfach, schnell und effektiv zu machen, indem es ein intuitives Test-Tool bereitstellt und sich auf die kritischsten Bereiche konzentriert.

 

MAAD-AF bietet verschiedene benutzerfreundliche Module zur Angriffssimulation durch Ausnutzung von Konfigurationsfehlern in verschiedenen M365/Azure AD-Cloud-basierten Tools und Diensten – mit der Möglichkeit, im Laufe der Zeit problemlos neue Module zu integrieren und hinzuzufügen.  Da praktisch keine Einrichtung erforderlich ist und die Angriffsmodule interaktiv sind, können Sicherheitsteams ihre Cloud-Sicherheitskontrollen, Erkennungsfunktionen und Reaktionsmechanismen einfach und schnell testen.

 

Mit MAAD-AF können Sicherheitsteams auf einfache Weise echte Angriffstaktiken und -techniken emulieren, um sich durch eine kompromittierte M365- und Azure AD-Umgebung zu bewegen. Dies kann helfen, Lücken in bestehenden Konfigurationen und Erkennungs- und Reaktionsfähigkeiten zu identifizieren, um letztendlich die Sicherheit der Cloud-Umgebung zu erhöhen.

 

Warum MAAD-AF effektiv ist

 

MAAD-AF ist ein Tool für Post-Compromise- und Pre-Compromise-Exploitation. Mit seinen interaktiven Modulen können Benutzer die Ausnutzung von Microsoft 365- und Azure AD-Konfigurationsschwachstellen über eine einzige, einfach zu bedienende Schnittstelle simulieren. Die Post-Compromise-Module von MAAD-AF verwenden „Living-off-the-Land“-Techniken. MAAD-AF nutzt die inhärente Funktionalität von Microsoft Cloud-Diensten, um Aktionen in der Zielumgebung auszuführen. Es unterstützt Aktionen vor der Kompromittierung, wie z. B. die anfängliche Erkundung und das Erzwingen von Zugangsdaten. Sicherheitsexperten, die sich für weitere Kompromittierungstechniken interessieren, können auf AADInternals und PowerZure zurückgreifen – zwei Tools, die bei der Entwicklung des MAAD-Angriffsframeworks Pate standen.

 

Die in MAAD-AF enthaltenen Techniken basieren auf den aktiven Verhaltensweisen, die Angreifer in Azure AD- und M365-Umgebungen ausführen. MAAD-AF sorgt für einfache und effektive Sicherheitstests, indem sich die Module auf häufig verwendete Techniken und die Ausnutzung wichtiger und häufig angegriffener Microsoft Cloud-Dienste konzentrieren. MAAD-AF erfordert zudem praktisch keine Einrichtung. Benutzer können das Tool aus dem Github Repository von MAAD-AF herunterladen und mit dem Testen beginnen. Alle benötigten Abhängigkeiten können direkt von MAAD-AF gehandhabt werden.

 

Jetzt ausprobieren, damit Sicherheitstests einfach, schnell und effektiv werden

 

MAAD ist Open-Source und jeder ist eingeladen, es zu nutzen und zu seiner Entwicklung beizutragen. Jeder ist willkommen, sich an der Mission von MAAD zu beteiligen und auf jede erdenkliche Weise beizutragen – mit Ideen, Funktionswünschen, Meldung von Fehlern und Problemen oder auch durch das Schreiben von neuen Angriffsmodulen für die MAAD-Bibliothek. Weitere Informationen über die MAAD-AF Angriffsmodule und die Kernkomponenten, die Installation und das Setup sind hier verfügbar.

 

# # # ENDE # # #

 

Über Vectra

Vectra ist der führende Anbieter von KI-gesteuerter Bedrohungserkennung und -Reaktion für die Hybrid-Cloud. Nur Vectra optimiert die KI, um Angriffsmethoden – die TTPs (Tactics, Techniques and Procedures), die allen Angriffen zugrunde liegen – konkret zu erkennen, anstatt einfach nur unpräzise zu warnen. Das daraus resultierende zuverlässige Bedrohungssignal und der klare Kontext ermöglichen es Cybersicherheitsteams, schnell auf Bedrohungen zu reagieren und erfolgreiche Angriffe zu verhindern, die sich zu Sicherheitsverletzungen entwickeln. Die Vectra-Plattform und -Services decken Public Clouds, SaaS-Anwendungen, Identity-Systeme und Netzwerkinfrastrukturen ab – sowohl vor Ort (On-Premises) als auch in der Cloud. Unternehmen auf der ganzen Welt verlassen sich auf die Vectra-Plattform und -Services, um sich vor Ransomware, Kompromittierung der Lieferkette, Identitätsübernahmen und anderen Cyberangriffen zu schützen, die ihr Unternehmen betreffen. Weitere Informationen finden Sie unter https://www.vectra-ai.com/de

 

Pressekontakt 

tech2com UG (haftungsbeschränkt)

Philipp Haberland

0049 163 2722 363

p.haberland@tech2com.de

Pressemitteilung teilen:
Sparta PR

Von

Schreibe einen Kommentar