XtravaganT - Fotolia
Microsoft Azure AD: Erweiterter Schutz vor Password Spraying
Mit Password Protection und Smart Lockout hat Microsoft zwei neue Funktionen für Azure AD im Programm, die zusammen moderne Angriffe via Password Spraying verhindern können.
Nutzernamen und Passwörter sind auch in der Cloud genauso wichtig wie außerhalb. Das ist eigentlich selbstverständlich. Nichtsdestotrotz haben wiederholte Authentifizierungsfehler zu teilweise schwerwiegenden Folgen geführt. Neue Funktionen wie Smart Lockout und Passwort Protection für Microsoft Azure AD verbessern jedoch die Sicherheit in der Cloud durch die damit mögliche vertrauenswürdige Authentifizierung.
So wirkte sich zum Beispiel ein am 4. Juli 2018 durchgeführter Angriff auf den Anbieter der Smartphone-App Timehop auf die Daten von 21 Millionen Nutzern aus. Dabei wurde nur ein einziger gestohlener Admin-Account verwendet. Durch seine Nutzung konnten die Angreifer einen neuen User-Account anlegen, den sie mit erweiterten Rechten ausstatteten. So konnten sie das Netzwerk von Timehop ausforschen, zahlreiche Daten der Nutzer sammeln und sie zuletzt hinaus schleusen.
Dieser Missbrauch von Zugangskontrollen in der Cloud ist kein Einzelfall. Der Schutz von in Cloud-Umgebungen genutzten Nutzerkonten ist allerdings aufwändiger als in traditionellen lokalen Umgebungen. Woran liegt das?
Herausforderungen bei Cloud-Umgebungen
Zunächst einmal sind die meisten Cloud-Umgebungen direkt aus dem Internet erreichbar. Ein für den Zugriff auf einen internen Host oder eine interne Anwendung genutzter Account unterliegt dagegen meist restriktiven Vorgaben. So werden hierfür in der Regel bestimmte, erlaubte Zugriffskanäle definiert. So wird unter anderem häufig festgelegt, welches Gateway genutzt werden darf, ob ein VPN (Virtual Private Network) vorgeschrieben ist und ob überhaupt nur genau definierte Dienste ihn überhaupt nutzen dürfen. Das führt dazu, dass Angriffe nicht nur schwerer durchzuführen sind, sondern auch, dass sie schwerer zu verbergen sind. In einer On-Premises-Umgebung sind auch Angriffsmethoden wie Password Spraying schwerer durchzuführen. Damit wird eine Methode bezeichnet, bei der ein Passwort bei möglichst vielen Nutzer-Accounts ausprobiert wird.
Dazu kommt, dass viele Verteidigungs- und Gegenmaßnahmen, die Unternehmen nutzen, sich nicht auf Cloud-Umgebungen erweitern lassen. Dazu gehören unter anderem erweiterte Authentifizierungssysteme, physische Zugangskontrollen, Überprüfungen der Qualität von Passwörtern und umfangreiche, interne Logging-Funktionen.
Authentifizierung und Zugangskontrollen für die Cloud sind aber wichtige Bereiche, die umfassend geplant und geprüft werden müssen. Insbesondere die von den Cloud-Providern angebotenen Funktionen zum Schutz und zur Absicherung der von einem Unternehmen verwendeten Accounts sollten von jedem Praktiker sorgfältig abgewogen werden. Welche Zugriffskontrollen sich für die Cloud einsetzen lassen, ist für alle von großem Belang, deren Unternehmen sich mit dem Thema Cloud auseinandersetzen. Zwei dabei besonders nützliche Funktionen für das verbreitete Microsoft Windows Azure Active Directory (AD) sind Password Protection und Smart Lockout.
Password Protection und Smart Lockout für Azure AD
Im Juni 2018 hat Microsoft zwei neue Funktionen vorgestellt, um die Sicherheit von Nutzer-Accounts in Azure AD zu verbessern. Diese neuen Zugangskontrollen für die Cloud bieten Azure-Kunden die Möglichkeit, sich gegen mehrere wiederholt eingesetzte Angriffsmethoden zu verteidigen. Insbesondere die bereits erwähnten Angriffe via Password Spraying sind für produktiv genutzte Umgebungen eine große Gefahr.
Der Begriff Password Spraying wird für Vorfälle verwendet, bei denen ein Angreifer ein oder mehrere Passwörter bei zahlreichen Nutzer-Accounts ausprobiert. Bei traditionellen Attacken via Brute Force versuchen die Angreifer dagegen, das Passwort eines einzelnen Anwenders zu erraten. Eine Attacke mit Hilfe von Password Spraying läuft genau anders herum. Dasselbe Passwort wird bei einer Vielzahl an Nutzern getestet, um so Accounts zu identifizieren, die es verwenden.
Das hat für die Angreifer den großen Vorteil, dass sie damit gängige Sicherheitsfunktionen umgehen können, die zum Beispiel in Kraft treten, wenn mehrmals hintereinander ein falsches Passwort für einen Nutzer eingegeben wurde. Normalerweise werden weitere Versuche dann für einen bestimmten Zeitraum gesperrt. Mit Password Spraying lässt sich dies umgehen, da hier nacheinander unterschiedliche Accounts geprüft werden und nicht mehrfach hintereinander nur ein einzelner Benutzer.
Azure AD Password Protection verhindert, dass die Nutzer ein Kennwort auswählen, das auf einer Liste mit bekannt schwachen Passwörtern steht – oder, dass nur eine leichte Abwandlung eines dieser Passwörter ist. So wird zum Beispiel das Passwort P4$$w0rd! nicht mehr zugelassen, obwohl es viele andere gängige Anforderungen an die Komplexität wie eine Kombination aus großen und kleinen Buchstaben sowie enthaltene Ziffern und Sonderzeichen erfüllt.
Durch das Ausforsten vergleichbar schwacher Passwörter wird dafür gesorgt, dass die genutzten Zugangsdaten von höherer Qualität sind, so dass sie Angriffe besser überstehen. Die Taktik bewirkt also, dass Password Spraying erschwert wird, weil die Nutzer keine Passwörter mehr nutzen können, die bei diesen Attacken immer wieder verwendet werden.
Die zweite neue Funktion mit dem Namen Smart Lockout sorgt zusätzlich dafür, dass Login-Versuche von verdächtigen oder bekannt bösartigen Adressen automatisch erkannt werden. Sie werden dann blockiert, legitime Logins sind aber weiter möglich. Die Funktion nutzt dabei zur Verfügung stehende Daten aus der Cloud wie frühere Logins, das dabei jeweils verwendete Gerät, bestimmte Verhaltensweisen beim Login, die Zahl der Versuche sowie nicht näher spezifizierte weitere Parameter.
Mit Hilfe dieser Methodik können Unternehmen leichter böswillige Login-Versuche erkennen und stoppen, bevor ein Schaden entstanden ist. Darüber hinaus verhindert Smart Lockout ebenfalls Password Spraying, da böswillige Login-Versuche bereits im Vorfeld blockiert werden können.
Überlegungen zum Einsatz in produktiv genutzten Umgebungen
Die beiden neuen AD-Funktionen können gemeinsam dafür sorgen, dass die Wahrscheinlichkeit erfolgreicher Attacken via Password Spraying auf Cloud-Umgebungen deutlich gesenkt werden kann. Sie bewirken zudem, dass die von Ihren Nutzern verwendeten Authentifizierungsmaßnahmen optimiert werden. Die wichtigste Frage für die Praxis ist deswegen, ob und wie sie sich einsetzen lassen und wie der größte Vorteil daraus gewonnen werden kann?
Erstens muss klar sein, dass keines dieser Werkzeuge ein Allheilmittel für Ihre sämtlichen Sicherheitsbedenken bei Login-Vorgängen ist. Es muss vor allem klar sein, dass es sich trotz der guten Fähigkeiten gegen Password Spraying und bei der Verbesserung der Authentifizierung nicht um eine Zwei-Faktor-Authentifizierung handelt.
Multi-Faktor-Authentifizierung bietet viele Vorteile, die über die beiden neuen Funktionen in Azure AD hinausgehen. Vor allem ist es ratsam, Multi-Faktor-Authentifizierung für die wertvollen Admin-Accounts zu nutzen, zumal die Technik kostenlos in Microsoft Azure zur Verfügung steht. Je nach Situation in einem Unternehmen und abhängig von den geltenden Richtlinien kann es auch empfehlenswert sein, weitere Accounts mit einer Multi-Faktor-Authentifizierung zu schützen. Das bedeutet aber nicht, dass ein Einsatz dieser Dienste Sie von einer sorgfältigen Kontrolle aller Login-Versuche befreit, mit der Sie verdächtige Aktivitäten frühzeitig bemerken können.
Unterm Strich gibt es also kaum Nachteile, wenn Sie diese Dienste einsetzen und an Ihre Bedürfnisse anpassen wollen. So können Sie unter anderem selbst festlegen, ab wann ein Smart Lockout erfolgen soll – also die Zahl der Versuche die erlaubt sind, bevor eine Sperre erfolgt. Auch die maximale Dauer der Login-Periode können Sie individuell definieren. Abhängig von Ihren Anforderungen lässt sich Smart Lockout also an die Situation in Ihrem Unternehmen anpassen.
Zusätzlich können Sie auch eine Aufstellung mit verbotenen Passwörtern erstellen, um über eine angepasste, erweiterte Liste speziell für Ihr Unternehmen zu verfügen. So können Sie zum Beispiel verhindern, dass die Nutzer den Namen Ihres Unternehmens oder auch mehr oder weniger leichte Abwandlungen mit in ihre Passwörter aufnehmen. So garantieren Sie eine erhöhte Sicherheit für Ihre Cloud-Umgebung und schöpfen den größten Wert aus den neuen Funktionen, die Microsoft seit kurzem anbietet.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!