:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/59/66/5966e482c8ce497f3ce78aac4e0f9200/0112150345.jpeg "Abwägungssache – unsere OSINT-Tipps bleiben online. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/4d/65/4d659da289f5aca04c24cbb2ef2fd540/0111240624.jpeg "Der Blick von außen auf die eigenen IT-Ressourcen geht über das hinaus, was im Schwachstellenmanagement sichtbar ist. (Bild: rufous - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/60/a8/60a85b048367a1658787275099d1d11c/0111864407.jpeg "ISX-Keynote-Sprecher Dr. Siegfried Rasthofer ist ein IT-Sicherheitsexperte mit langjähriger Erfahrung in den Bereichen Software-Exploitation, Secure Software Engineering, Reverse Engineering, Malware-Analyse, Offensive Security und Threat Intelligence. (Bild: www.rasthofer.info)")
:quality(80)/p7i.vogel.de/wcms/30/44/3044359115a16f7460b28117e9a3604a/0112178091.jpeg "GitLab 16 bringt eine breite Palette neuer Funktionen in den Bereichen Sicherheit, Compliance, KI/ML und Wertstromanalyse, um Software schneller bereitzustellen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/a4/b4a406fca20011692876d63ea87b8554/0111848384.jpeg "Mit Blockierlisten und Geo-IP-Filtern für Firewalls lassen sich viele Angriffe ganz einfach automatisch abwehren. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/f9/f4f9e3c1460bf363f97d92be0d5a4b7a/0111847742.jpeg "Kriminelle suchen generell nach den schwächsten Zielen. Es nützt also wenig, wenn das TK-Unternehmen bestens aufgestellt ist, Cyberkriminelle aber über junge Zielgruppen, Endgeräte hacken. (Bild: sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/53/c5/53c5fc5c6538b26c4a0cdd08c7ed66d5/0111572686.jpeg "Beyond-Identity-Studie zeigt: Das Vertrauen in Passwörter ist trotz Sicherheitsrisiken und Nutzerfrustration ungebrochen vorhanden. (Bild: FAMILY STOCK - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/91/2691777debb58ac490c877f6e72b1c27/0111319943.jpeg "Seit 25. Mai 2018 gilt die DSGVO auch in Deutschland und muss sich immer wieder der öffentlichen Diskussion stellen: Während die einen das EU-Gesetz loben, sehen andere in ihm den Totengräber – auch digitaler – Innovation. (Bild: noah9000 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/c6/b3c641a4d3910d7e2aecfe566eacc8ef/0111572419.jpeg "Durch Cyberversicherungen versuchen viele Unternehmen das Geschäftsrisiko digitaler Bedrohungen abzufedern – doch Konditionen und Anforderungen steigen. (Bild: VideoFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/27/bc276af26a560cace6721af0a0e60fab/0111322090.jpeg "Observability erweitert und ergänzt das klassische Monitoring um Bigdata und KI – und erlaubt somit einen umfassend datengestützen Blick auf Detailfragen. (Bild: © lexiconimages - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/2b/2b2b99a6d3d8e6ea3cc8f88382fb19fb/0111189707.jpeg "Ransomware-as-a-Service (RaaS) ist eine Form von Cybercrime-as-a-Service bei der Teile von Ransomware-Kampagnen als Dienstleistung eingekauft werden können. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Phishing-Angriffe auf Microsoft 365 nehmen zu HTML Smuggling greift Netzwerke von innen an
Das Microsoft 365 Defender Threat Intelligence Team bemerkt immer mehr HTML Smuggling-Angriffe. Dabei umgehen Angreifer Sicherheitsfunktionen im Netzwerk, in dem der schädliche Code erst auf den Endpunkten erstellt wird.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
HTML Smuggling, auf Deutsch mit "HTML-Schmuggel" übersetzt, stellt eine immer größere Gefahr für Unternehmen dar, auch wenn Microsoft 365 zum Einsatz kommt. HTML-Schmuggel umgeht Sicherheitslösungen im Netzwerk. Dazu wird schädlicher HTML-Code hinter der Firewall und im Browser von Anwendern generiert. Die Angreifer nutzen dazu HTML5 und Javascript, um auf dem Browser Code zu erstellen, der nicht mehr von Firewalls und anderen Systemen erkannt wird. Zur Erstellung kommt entweder eine URL mit Daten zum Einsatz, oder die Erstellung eines Javascript-Blob mit dem entsprechenden MIME-Typ. Auch das löst einen Download auf dem Client-Gerät aus.
:quality(80)/images.vogel.de/vogelonline/bdb/1951700/1951722/original.jpg "Microsoft 365 Defender kann zuverlässig vor Angriffen und Phishing-Attacken schützen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1951700/1951723/original.jpg "Mit verschiedenen Tools kann Microsoft 365 Defender vor HTML-Schmuggel und anderen Angriffen schützen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1951700/1951724/original.jpg "Auch das Betriebssystem auf den Clients lässt sich mit Microsoft 365 Defender schützen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1951700/1951725/original.jpg "Anzeigen der Gefährdungsstufe in Microsoft 365 Defender.")
Die Duri-Malware verwendet zum Beispiel die Javascript-Blob-Technik. Ausgelöst werden die Angriffe durch das Besuchen einer Webseite mit dem schädlichen Code. Durch den Download kann die Malware sich selbst auf dem Zielgerät installieren. Der HTML-Schmuggel wird auch durch das HTML5-Attribut "Download" für Anker-Tags ermöglicht. Wenn ein Benutzer auf den HTML-Link klickt, wird ein Download der Datei ausgelöst. Der Angriff nutzt also herkömmliche HTML5- und JavaScript-Funktionen. Vor allem bei E-Mail-Kampagnen kommt der Angriff vor. Das heißt, auch Benutzer mit Exchange Online-Postfächern sind davon betroffen.
Spear-Phishing-Kampagne kann Ransomware
Diese Technik wurde im Mai 2021 in einer Spear-Phishing-Kampagne bemerkt. Im Rahmen dieser Angriffe wurden der Banking-Trojaner Mekotio sowie AsyncRAT/NJRAT und Trickbot eingeschleust- Das heißt auch Remotecode-Ausführung und komplette Übernahme von Rechnern ist möglich. Auch Ransomware kommt auf diesem Weg in Netzwerke. Wie ein solcher Angriff aussieht, zeigt das Microsoft 365 Defender Threat Intelligence Team in einem Twitter-Post. Auch auf der Seite "ISOMorph Infection: In-Depth Analysis of a New HTML Smuggling Campaign" zeigt Microsoft, wie solche Angriffe ablaufen.
Beim HTML-Schmuggel werden die gefährlichen Programme erst auf den PCs der Anwender erstellt, nachdem die HTML-Datei über den Browser auf den Endpunkt geladen ist. Das hebelt sehr viele Schutzmechanismen aus.
Um auch vor solchen Angriffen geschützt zu sein benötigen Unternehmen eine "Defense-in-Depth"-Strategie und eine mehrschichtige Sicherheitslösung.
Diese kann E-Mail-Zustellung, die Netzwerkaktivitäten, das Verhalten der Endpunkte und die Folgeaktivitäten der Angreifer untersuchen und darauf reagieren. Nur dann fällt HTML-Schmuggel auf. HTML-Schmuggel in E-Mail-Kampagnen stellt eine große Gefahr für Anwender in Microsoft 365 dar. Es gibt allerdings Möglichkeiten sich zu schützen.
Microsoft Defender für Office 365 kann Phishing-Angriffe verhindern
Microsoft Defender für Office 365 erkennt solche Angriffe. Dazu setzt das Tool auf dynamische Schutztechnologien die maschinelles Lernen und Sandboxing nutzen. Dadurch erkennt das System sehr zuverlässig HTML-Schmuggel-Links und -Anhänge. Diese werden anschließend in Exchange Online blockiert. Microsoft 365 Defender kann parallel dazu verschiedene Funktionen einsetzen, um Endpunkte, Identitäten und Cloud-Anwendungen vor Angriffen wie HTML-Schmuggel zu schützen.
Bei der Verwendung von Microsoft 365 macht es daher durchaus Sinn auf Microsoft Defender für Office 365 und auf Microsoft 365 Defender zu setzen. Nur mit intelligenten Tools lassen sich solche Angriffe zuverlässig verhindern.
Microsoft 365 Defender stellt dazu die Schaltzentrale für mehr Schutz von Exchange Online, SharePoint Online und den anderen Diensten in Microsoft 365 dar. Microsoft Defender für Office 365 prüft wiederum Anhänge und Links in E-Mails, um HTML-Schmuggelversuche zu erkennen und zu melden. Wie eine Untersuchung des Microsoft 365 Defender Threat Intelligence Teams zeigt, steigen die Angriffe immer weiter an.
Maßnahmen gegen HTML-Schmuggel
Um HTML-Schmuggel zu unterbinden, können verschiedene Vorgehensweisen helfen. Safe Links und Safe Attachments bieten Echtzeit-Schutz vor HTML-Schmuggel und anderen E-Mail-Bedrohungen. Dazu kommt eine virtuelle Umgebung zum Einsatz, die Links und Anhänge überprüft, bevor sie an die Empfänger übermittelt werden. Verdächtige Verhaltensmerkmalen erkennt Microsoft Defender für Office 365 in E-Mails. Auch das Erstellen eigener Regeln kann in diesem Bereich hilfreich sein. Verdächtig sind vor allem E-Mails mit folgenden Merkmalen:
- Eine angehängte ZIP-Datei enthält JavaScript
- Ein Anhang ist passwortgeschützt
- Eine HTML-Datei enthält einen verdächtigen Skriptcode
- Eine HTML-Datei dekodiert einen Base64-Code oder verschleiert ein JavaScript
Das Blockieren von JavaScript oder VBScript zum Starten von heruntergeladenen ausführbaren Inhalten stellt einen wichtigen Schutz dar. Auch das Blockieren der Ausführung von potenziell verschleierten Skripten ist ein wichtiger Punkt, der auf Endgeräten umgesetzt werden sollte.
Grundsätzlich sollten Admins verhindern, dass JavaScript-Code automatisch ausgeführt wird. Erreicht wird das zum Beispiel, indem Dateiverknüpfungen für .js und .jse-Dateien geändert werden. Erreicht werden kann das zum Beispiel über Gruppenrichtlinien durch das Anpassen der Einstellungen bei "Benutzerkonfiguration > Einstellungen > Systemsteuerungseinstellungen > Ordneroptionen". Hier können neue Einstellungen für.jse- und .js-Dateien erstellt und mit dem Editor in Windows verknüpft werden, zum Beispiel "notepad.exe".
Sinnvoll ist auch das Setzen von E-Mail-Filtereinstellungen in Exchange Online, um sicherzustellen, dass gefälschte E-Mails, Spam und E-Mails mit Malware blockiert. Links sollten beim Anklicken generell immer erneut überprüft werden, bevor sie angezeigt werden.
Microsoft Edge schützt mit Defender SmartScreen vor HTML-Schmuggel
Bei der Verwendung von Microsoft Edge besteht die Möglichkeit auf Microsoft Defender SmartScreen zu setzen. Dieser Browserschutz hilft dabei Angriffe zu erkennen und zu verhindern. Mit Windows Defender SmartScreen kann Windows 10 und Windows 11 verschiedene Bereiche des Betriebssystems schützen. Dazu gehören Apps, die Anwender installieren oder aus dem Store herunterladen, aber auch Webseiten und Downloads, die mit Microsoft Edge genutzt werden.
Die Einstellungen dazu sind über „Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows Defender SmartScreen“ zu finden. Hier kann der Schutz von Windows, aber auch von Microsoft Edge gesteuert werden. Zusammen mit Windows Defender System Guard stellt auch diese Defender-Erweiterung eine wichtige Grundlage für den Schutz von Windows 10 und Windows 11 mit Bordmitteln dar. Neben diesem Schutz verfügt Microsoft Edge in Windows 10 und Windows 11 noch über den Schutz mit Windows Defender Application Guard. Auch diese Funktion kann vor HTML-Schmuggelangriffe schützen.
Ebenfalls wichtig sind die Einstellungen "Echtzeitschutz, "Cloudbasierter Schutz" und "Automatische Übermittlung von Beispielen" in den Sicherheitseinstellungen von Windows 10 und Windows 11. Die Einstellungen sind bei "Datenschutz & Sicherheit" und dann "Windows Sicherheit" zu finden. Dazu wird "Viren- und Bedrohungsschutz" geöffnet. Diese Funktionen nutzen künstliche Intelligenz und maschinelles Lernen, um neue und unbekannte Bedrohungen zu erkennen und zu stoppen.
(ID:48172899)
:quality(80)/images.vogel.de/vogelonline/bdb/1765600/1765674/original.jpg "Sicherheit muss nicht immer Geld kosten. Windows Server 2016 lässt sich auch mit Microsoft Defender und der Microsoft Defender Firewall grundlegend absichern. (monsitj - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1944800/1944859/original.jpg "Microsoft hilft Admins mit dem Microsoft Security Compliance Toolkit dabei, Sicherheitseinstellungen für Windows Server 2022 und Windows 11 im Netzwerk über Gruppenrichtlinien zu verteilen. (Gorodenkoff - stock.adobe.com)")