Phishing-Angriffe auf Microsoft 365 nehmen zu HTML Smuggling greift Netzwerke von innen an

Von Thomas Joos

Das Microsoft 365 Defender Threat Intelligence Team bemerkt immer mehr HTML Smuggling-Angriffe. Dabei umgehen Angreifer Sicherheitsfunktionen im Netzwerk, in dem der schädliche Code erst auf den Endpunkten erstellt wird.

Anbieter zum Thema

HTML Smuggling umgeht Sicherheitslösungen im Netzwerk. Dazu wird schädlicher HTML-Code hinter der Firewall und im Browser von Anwendern generiert.
HTML Smuggling umgeht Sicherheitslösungen im Netzwerk. Dazu wird schädlicher HTML-Code hinter der Firewall und im Browser von Anwendern generiert.
(Bild: Myst - stock.adobe.com)

HTML Smuggling, auf Deutsch mit "HTML-Schmuggel" übersetzt, stellt eine immer größere Gefahr für Unternehmen dar, auch wenn Microsoft 365 zum Einsatz kommt. HTML-Schmuggel umgeht Sicherheitslösungen im Netzwerk. Dazu wird schädlicher HTML-Code hinter der Firewall und im Browser von Anwendern generiert. Die Angreifer nutzen dazu HTML5 und Javascript, um auf dem Browser Code zu erstellen, der nicht mehr von Firewalls und anderen Systemen erkannt wird. Zur Erstellung kommt entweder eine URL mit Daten zum Einsatz, oder die Erstellung eines Javascript-Blob mit dem entsprechenden MIME-Typ. Auch das löst einen Download auf dem Client-Gerät aus.

Bildergalerie
Bildergalerie mit 9 Bildern

Die Duri-Malware verwendet zum Beispiel die Javascript-Blob-Technik. Ausgelöst werden die Angriffe durch das Besuchen einer Webseite mit dem schädlichen Code. Durch den Download kann die Malware sich selbst auf dem Zielgerät installieren. Der HTML-Schmuggel wird auch durch das HTML5-Attribut "Download" für Anker-Tags ermöglicht. Wenn ein Benutzer auf den HTML-Link klickt, wird ein Download der Datei ausgelöst. Der Angriff nutzt also herkömmliche HTML5- und JavaScript-Funktionen. Vor allem bei E-Mail-Kampagnen kommt der Angriff vor. Das heißt, auch Benutzer mit Exchange Online-Postfächern sind davon betroffen.

Spear-Phishing-Kampagne kann Ransomware

Diese Technik wurde im Mai 2021 in einer Spear-Phishing-Kampagne bemerkt. Im Rahmen dieser Angriffe wurden der Banking-Trojaner Mekotio sowie AsyncRAT/NJRAT und Trickbot eingeschleust- Das heißt auch Remotecode-Ausführung und komplette Übernahme von Rechnern ist möglich. Auch Ransomware kommt auf diesem Weg in Netzwerke. Wie ein solcher Angriff aussieht, zeigt das Microsoft 365 Defender Threat Intelligence Team in einem Twitter-Post. Auch auf der Seite "ISOMorph Infection: In-Depth Analysis of a New HTML Smuggling Campaign" zeigt Microsoft, wie solche Angriffe ablaufen.

Beim HTML-Schmuggel werden die gefährlichen Programme erst auf den PCs der Anwender erstellt, nachdem die HTML-Datei über den Browser auf den Endpunkt geladen ist. Das hebelt sehr viele Schutzmechanismen aus.

Um auch vor solchen Angriffen geschützt zu sein benötigen Unternehmen eine "Defense-in-Depth"-Strategie und eine mehrschichtige Sicherheitslösung.

Diese kann E-Mail-Zustellung, die Netzwerkaktivitäten, das Verhalten der Endpunkte und die Folgeaktivitäten der Angreifer untersuchen und darauf reagieren. Nur dann fällt HTML-Schmuggel auf. HTML-Schmuggel in E-Mail-Kampagnen stellt eine große Gefahr für Anwender in Microsoft 365 dar. Es gibt allerdings Möglichkeiten sich zu schützen.

Microsoft Defender für Office 365 kann Phishing-Angriffe verhindern

Microsoft Defender für Office 365 erkennt solche Angriffe. Dazu setzt das Tool auf dynamische Schutztechnologien die maschinelles Lernen und Sandboxing nutzen. Dadurch erkennt das System sehr zuverlässig HTML-Schmuggel-Links und -Anhänge. Diese werden anschließend in Exchange Online blockiert. Microsoft 365 Defender kann parallel dazu verschiedene Funktionen einsetzen, um Endpunkte, Identitäten und Cloud-Anwendungen vor Angriffen wie HTML-Schmuggel zu schützen.

Bei der Verwendung von Microsoft 365 macht es daher durchaus Sinn auf Microsoft Defender für Office 365 und auf Microsoft 365 Defender zu setzen. Nur mit intelligenten Tools lassen sich solche Angriffe zuverlässig verhindern.

Microsoft 365 Defender stellt dazu die Schaltzentrale für mehr Schutz von Exchange Online, SharePoint Online und den anderen Diensten in Microsoft 365 dar. Microsoft Defender für Office 365 prüft wiederum Anhänge und Links in E-Mails, um HTML-Schmuggelversuche zu erkennen und zu melden. Wie eine Untersuchung des Microsoft 365 Defender Threat Intelligence Teams zeigt, steigen die Angriffe immer weiter an.

Bildergalerie
Bildergalerie mit 9 Bildern

Maßnahmen gegen HTML-Schmuggel

Um HTML-Schmuggel zu unterbinden, können verschiedene Vorgehensweisen helfen. Safe Links und Safe Attachments bieten Echtzeit-Schutz vor HTML-Schmuggel und anderen E-Mail-Bedrohungen. Dazu kommt eine virtuelle Umgebung zum Einsatz, die Links und Anhänge überprüft, bevor sie an die Empfänger übermittelt werden. Verdächtige Verhaltensmerkmalen erkennt Microsoft Defender für Office 365 in E-Mails. Auch das Erstellen eigener Regeln kann in diesem Bereich hilfreich sein. Verdächtig sind vor allem E-Mails mit folgenden Merkmalen:

  • Eine angehängte ZIP-Datei enthält JavaScript
  • Ein Anhang ist passwortgeschützt
  • Eine HTML-Datei enthält einen verdächtigen Skriptcode
  • Eine HTML-Datei dekodiert einen Base64-Code oder verschleiert ein JavaScript

Das Blockieren von JavaScript oder VBScript zum Starten von heruntergeladenen ausführbaren Inhalten stellt einen wichtigen Schutz dar. Auch das Blockieren der Ausführung von potenziell verschleierten Skripten ist ein wichtiger Punkt, der auf Endgeräten umgesetzt werden sollte.

Grundsätzlich sollten Admins verhindern, dass JavaScript-Code automatisch ausgeführt wird. Erreicht wird das zum Beispiel, indem Dateiverknüpfungen für .js und .jse-Dateien geändert werden. Erreicht werden kann das zum Beispiel über Gruppenrichtlinien durch das Anpassen der Einstellungen bei "Benutzerkonfiguration > Einstellungen > Systemsteuerungseinstellungen > Ordneroptionen". Hier können neue Einstellungen für.jse- und .js-Dateien erstellt und mit dem Editor in Windows verknüpft werden, zum Beispiel "notepad.exe".

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Sinnvoll ist auch das Setzen von E-Mail-Filtereinstellungen in Exchange Online, um sicherzustellen, dass gefälschte E-Mails, Spam und E-Mails mit Malware blockiert. Links sollten beim Anklicken generell immer erneut überprüft werden, bevor sie angezeigt werden.

Microsoft Edge schützt mit Defender SmartScreen vor HTML-Schmuggel

Bei der Verwendung von Microsoft Edge besteht die Möglichkeit auf Microsoft Defender SmartScreen zu setzen. Dieser Browserschutz hilft dabei Angriffe zu erkennen und zu verhindern. Mit Windows Defender SmartScreen kann Windows 10 und Windows 11 verschiedene Bereiche des Betriebssystems schützen. Dazu gehören Apps, die Anwender installieren oder aus dem Store herunterladen, aber auch Webseiten und Downloads, die mit Microsoft Edge genutzt werden.

Bildergalerie
Bildergalerie mit 9 Bildern

Die Einstellungen dazu sind über „Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows Defender SmartScreen“ zu finden. Hier kann der Schutz von Windows, aber auch von Microsoft Edge gesteuert werden. Zusammen mit Windows Defender System Guard stellt auch diese Defender-Erweiterung eine wichtige Grundlage für den Schutz von Windows 10 und Windows 11 mit Bordmitteln dar. Neben diesem Schutz verfügt Microsoft Edge in Windows 10 und Windows 11 noch über den Schutz mit Windows Defender Application Guard. Auch diese Funktion kann vor HTML-Schmuggelangriffe schützen.

Ebenfalls wichtig sind die Einstellungen "Echtzeitschutz, "Cloudbasierter Schutz" und "Automatische Übermittlung von Beispielen" in den Sicherheitseinstellungen von Windows 10 und Windows 11. Die Einstellungen sind bei "Datenschutz & Sicherheit" und dann "Windows Sicherheit" zu finden. Dazu wird "Viren- und Bedrohungsschutz" geöffnet. Diese Funktionen nutzen künstliche Intelligenz und maschinelles Lernen, um neue und unbekannte Bedrohungen zu erkennen und zu stoppen.

(ID:48172899)