Blogg

Office 365: Svagheter, risker, anfall och hot

Över 70 % av organisationer som använder Office 365 utsätts för kontokapningar samt en mängd andra risker och hot, varje månad. Vissa applikationer är mer sårbara än andra, och vissa har fler inbyggda säkerhetshål än ändra. Men sårbarheten lyser framför allt när säkerhetsrutiner inte efterlevs och när säkerhetslösningar inte utformats för Office 365.

Eftersom det finns en stor mängd olika potentiella sårbarheter så utförs även stora mängder angrepp. Målet för hackare brukar vara att stjäla data eller sprida kaos. Därför kan de systematiskt rikta fokus mot olika svaga punkter, beroende på vad ändamålet är. Exempelvis e-postklienter, dataskydd och molnlagring är vanligt för hackare att försöka kapa. Det är anledningen till att några extra steg behövs för att se till att både känslig företagsinformation och anställdas uppgifter är säkra.

För administratörer i Office 365 är dock utsattheten högre. Detta eftersom administratörerna är de som har den övergripande möjligheten att ändra och komma åt information och inställningar i hela tenanten.

Åtgärder kan vara lättare sagda än gjorda

Ett problem med säkerhetshål är att de är svåra att täppa till – framför allt på lång sikt.

Låt säga att en hackare gör ett intrång som skapar kaos och problem i ett system. Och till synes kanske attackerna inte längre görs, bara för att samma nivå av kaos inte skett igen. Men det kan även vara ett tecken på att andra typer av skadlig kod implementerats. Kod som har andra syften än att skapa kaos.

Hackare förfinar och ändrar ständigt sin skadliga programvara, dels för att knäcka säkerheten men även för att kunna komma åt ännu mer information.

Låt inte phising-bedragare få napp

Många phising-anfall riktas mot Office 365-administratörer, och dessa anfall kan ta en mängd skepnader. Alltså kan phising-mejl ibland se ut att komma från Microsoft. De kan ha logotyper som verka äkta – bland annat från Office 365 och Teams. Med syftet är att få personer ange sina inloggningsuppgifter.

Brian Posey från Microsoft skriver i ett Redmond.com-inlägg att skadliga utskick kan innehålla ett bifogat html-dokument. Det är dokument som ofta leder mottagaren till en webbplats som utformats för att se ut som en äkta inloggningsportal. Om användaren försöker logga in med sina användaruppgifter på den falska webbplatsen blir uppgifterna stulna där och då. Dessa mejlavsändare utger sig ofta för att vara Microsoft och begär en åtgärd från tenantens administratör. Det kan exempelvis handla om att bekräfta eller uppdatera kontouppgifter.

Men i stället för att utge sig för att vara Microsoft så kan bedragare skicka meddelanden från registrerade domäner med namn som verkar äkta. Tanken bakom det är att mejlet då kommer från en existerande (men bedräglig) webbplats. Vidare så gör det att färre spamfilter blockerar utskicket. Där menar Brian Posey att det är extra viktigt att vara uppmärksam. Han hävdar dock att det inte brukar vara något problem för administratörer att försäkra sig om att mejlet är legitimt.

Målet är SharePoint

SharePoint är en riktig guldgruva eftersom stora mängder data lagras där. Bedragare försöker ofta kapa Office 365-konton för att sprida malware på SharePointsidor. Hackarna använder sedan de kapade SharePointsidorna för att skicka e-post till företagets kontaktlista, som kan innehålla exempelvis kunder och leverantörer. Mottagarna får då dokument med länkar som leder till de kapade sidorna.

TrustedSec har noterat att bedragare kan ändra både namn och innehåll på kapade sidor, för att få filer att verka äkta. Ett exempel som nämns var ett Exceldokument som hade infekterats med malware. Detta dokument fanns lagrat på en anställds OneDrive, och dokumentet skickades till företagets alla anställda. Beroende på vad den skadliga koden utformats för att åstadkomma så kan ett sådant fall få förödande konsekvenser.

Det svåra med att begränsa kontokapningarna

Att kapa konton är ett viktigt sätt för hackare att komma åt Office 365-system. Nästan 30 % av alla organisationer med Office 365 har haft minst ett konto kapat – den senaste månaden. Och med åtkomst till dessa konton har över 1,5 miljoner spammeddelanden och farliga länkar skickats.

Bedragare använder inloggningsuppgifter som stulits via dataläckor som sedan delas på forum för hackare. Ett stort problem är att även äldre lösenord är värdefulla, eftersom lösenord ändras så pass sällan.

Obytta lösenord är en fara

Ett kapat konto noteras inte nödvändigtvis av användaren. Hackare kan vänta med att utnyttja åtkomsten och istället vänta, i syfte att kartlägga aktivitet och lära sig mer. På så vis kan de maximera mängden värdefull information de kan stjäla. Det är en metod som inte kan nyttjas på samma sätt om lösenord ändras regelbundet.

Lösenordsfrågan är välkänd för att vara viktig, och det av en anledning. Och att som användare inte byta lösenord innebär stora risker för hela organisationen, även om andra delar av Office 365 är säkrade.

Utpressningstrojaner innebär risker för Office 365

Utpressningstrojaner blir allt vanligare, och Office 365 är inte immunt. Den välkända Cerber-trojanen utsatte 57 % av organisationer med Office 365. Trojanen spreds genom tenanter via e-post. Trojanen kringgick skydd och säkerhetsåtgärder genom att använda användares privata Office 365-konton. Attacken var inte den första i sitt slag, men den visade tydligt hur ödesdigra effekterna av hackare och skadlig kod kan bli.

KnockKnock-efterträdare står fortfarande vid dörren

Det ökända botnätet KnockKnock är i stort sett borta, men aktivitet som liknar KnockKnock-attackerna kvarstår. I dessa anfall så hittar hackare en bakdörr och ”knackar på” där, i syfte att få åtkomst till Office 365-tenanten. Istället för att hämta data och vara klara med det, så ämnar dessa hackare att kapa konton med administratörsrättigheter. Och för att göra det ännu svårare att upptäcka så riktar hackarna sig mot konton som inte tilldelats någon specifik användare.

Det var SkyHigh Networks, som numera ägs av McAfee, som hittade och tog ner KnockKnock. Företaget menar att nätverket riktades mot en typ av konton som var en svag länk. Det gällde exempelvis servicekonton, automatiseringskonton, maskinkonton, verktygskonton, utskickskonton och så vidare. Därför tillhör kontona inte en specifik person. Dessa konton kan många gånger ha fler behörigheter än vanliga användarkonton. Därmed behöver kontona inte heller bekräfta inloggningar via multifaktorautentiseringar eller liknande, och de har ofta svaga lösenord som sällan ändras. Det gör att dessa konton är perfekta måltavlor: många behörigheter och dålig säkerhet.

Icke-personliga konton ses sällan över eftersom de ofta sköter automatiserade tjänster. Men själva problemet uppstår i att de kommer åt e-postadresser och andra känsliga uppgifter inom organisationen, men inte har skydd som motsvarar den behörighetsgraden. Därför blir de en uppenbart svag länk i säkerhetskedjan.

Hur blir det i framtiden?

Anfall fortsätter utmana och ställa krav på IT-säkerhetsexperter runt om i världen. Men allt mer avancerade hot utvecklas, inte minst med framväxten av sofistikerad artificiell intelligens. Därför ställer det höga krav på att organisationer har ett effektivt och uppdaterat skydd. Att få sin organisations data stulen eller saboterad kan få oerhört stora konsekvenser.

En artikel från Symantec varnar om en nyare typ av cyberattacker. De grundas i botnät som systematiskt försöker gissa sig fram till rätt inloggningsuppgifter. Attackerna upptäcks lättast genom att se var inloggningsförsöken sker från. Många gånger är dessa botnät baserade i Kina och Indien. Att skapa regler för att hindra inloggningar från misstänkta områden eller IP-adresser är ett effektivt sätt att stoppa den här typen av attacker.

Att hålla säkerhetsnivån hög är en utmaning. På EdgeGuide har vi erfarna arkitekter som vet de styrkor och svagheter, risker och möjligheter som finns i hela Office 365. Vi ser till att våra kunders lösningar ständigt är kompatibla med Microsoftplattformarnas senaste versioner. Är du själv fundersam på hur trygg er organisation är? Registrera dig för en Health Check eller ta kontakt med oss så hjälper vi till att säkra din organisation.

Klicka här och ange din e-postadress så hör vi av oss till dig.