M365 Brute-Force Angriffe

[wznutzer 36]

Hallo zusammen,

 

ich frage mich, wie man die Aussage begründen kann, dass MFA das Durchprobieren nicht eliminieren kann? Die reine Meldung, die man nur bestätigen konnte (im Authenticator), auch versehentlich, gibt es ja nur noch in Verbindung mit dem RDS-Gateway.

https://www.heise.de/news/Grossflaechige-Brute-Force-Angriffe-auf-M365-vorsichtshalber-Log-ins-checken-10252167.html

 

Grüße und noch einen schönen Nachmittag

[cj_berlin 1.393]

Weil der User in der Regel nicht auf die App und die kleine Karte schaut, sondern einfach die Nummer eingibt. Und wenn man genug Login-Versuche von unterschiedlichen Adressen gleichzeitig abschließt, wird der User mit Wahrscheinlichkeit >0 die richtige Zahl in den falschen Prompt tippen.

 

Händisch nicht machbar, automatisiert - warum nicht? Kostet ja fast nichts.

[wznutzer 36]

Tatsächlich kenne ich die Karte im Microsoft-Authenticator nicht. Firmenname und Login, mehr sehe ich nicht und der Dialog ist auch modal, die App wartet mit der nächsten Meldung bis ich auf die aktuelle reagiert habe. Dann muss der Angreifer einen Zeitpunkt erwischen, zu dem ich mich anmelde und dann noch zufällig die Nummer stimmen. Spätestens bei der zweiten Abfrage wäre ich stutzig.

 

Aber ich vergesse immer wieder, dass das ja Massenabfragen sind und nicht ein ganz bestimmter Account erobert werden soll, sondern „nur“ irgendwelche und irgendwer gibt dann 30x die gleiche Nummer in den Prompt ein und wundert sich, dass sein Login nicht geht.

 

D. h. wir können nur die Leute sensibilisieren, dass alle Ungereimtheiten beim Login-Prozess gemeldet werden und Conditional-Access nutzen. Z. B., dass sich die Empfangsdame nur von vertrauenswürdigen Standorten aus anmelden darf.

 

Kann man im Tenant eine Regel konfigurieren, dass man nach X Anmeldeversuchen Y Sekunden bis zur nächsten Eingabe warten muss? Ich finde nichts derartiges.

 

[testperson 1.758]

Hi,

 

vor 21 Stunden schrieb wznutzer:

Kann man im Tenant eine Regel konfigurieren, dass man nach X Anmeldeversuchen Y Sekunden bis zur nächsten Eingabe warten muss? Ich finde nichts derartiges.

 

da kannst du dir die Optionen von "Smart Lockout" anschauen: Prevent attacks using smart lockout - Microsoft Entra ID | Microsoft Learn

 

Für den "Rest" kannst du dir ggfs. Entra Id P2 und Defender for Identity ansehen. Die Sign In Logs kann man dann bspw. auch zu Log Analytics senden und dort auswerten (lassen). 

 

Semperis , Crowdstrike, SentinelOne und Co. haben da sicherlich auch Lösungen für im Portfolio.

 

Gruß

Jan

bearbeitet 24. Januar von testperson
Anbieter mit Lösungen im Portfolio überarbeitet. :)

[zahni 566]

Bei uns gab es auch nicht erfolgreiche "fasthttp" Versuche,

[wznutzer 36]

vor 9 Stunden schrieb zahni:

Bei uns gab es auch nicht erfolgreiche "fasthttp" Versuche,

Nutzt Ihr MFA von nicht vertrauenswürdigen Standorten?

[wznutzer 36]

MFA Fatigue: https://www.bleepingcomputer.com/news/security/mfa-fatigue-hackers-new-favorite-tactic-in-high-profile-breaches/

 

Sachen gibt’s. 

[wznutzer 36]

Am 24.1.2025 um 08:34 schrieb testperson:

da kannst du dir die Optionen von "Smart Lockout" anschauen:

Ich muss da nochmals nachfragen. Lt der MS Doku ist Smart-Lockout standardmäßig aktiv und ab P1 kann man die Parameter verändern.

Zitat

Smart lockout is always on, for all Microsoft Entra customers, with these default settings that offer the right mix of security and usability.

 

Ich verstehe nicht, wie man nun erfolgreiche Brute-Force Attacken durchführen kann. Klar kann man immer mal Glück haben, aber die Erfolgsquote soll bei der Sache mit fasthttp ja immerhin fast 10% gewesen sein.

[zahni 566]

Sie waren "nicht erfolgreich". Wir haben 2FA. Und die Konten wurden alle als "lockout" geloggt.