Man-in-the-Cloud-Angriffe gefährden Cloud-Dienste

Andre Borbe,
Cloud (Bild: Shutterstock)

Für solche Attacken benötigen Cyberkriminelle den Passwort-Token eines Diensts wie Dropbox, OneDrive oder Google Drive. Anschließend erhalten sie Zugriff auf das Konto eines Opfers. Auch Malware lässt sich auf diese Weise auf Rechner einschleusen.

Auf der Konferenz Black Hat in Las Vegas hat das Sicherheitsunternehmen Imperva einen Man-in-the-Cloud-Angriff demonstriert. Dieser nutzt eine Sicherheitslücke in Diensten wie Google Drive, Box, Microsoft OneDrive und Dropbox aus. Cyberkriminelle können auf diese Weise auf online gespeicherte Dateien zugreifen oder auch Malware auf Rechner schleusen.

Die Angriffsmethode unterscheidet den Forschern zufolge sich von klassischen Man-in-the-Middle-Attacken. Diese basieren darauf, dass Dritte Datenkommunikation zwischen zwei Servern abfangen. Man-in-the-Cloud-Angriffe nutzen einen Designfehler in vielen Dateisynchronisationsdiensten aus. Damit stellen sie nicht nur eine Gefahr für Verbraucher dar, sondern auch für Unternehmen, die vermehrt Cloud-basierte Lösungen einsetzen, um vertrauliche Personen- und Unternehmensdaten bereitzustellen.

Cyberkriminelle brauche für die Attacken nur ein Passwort-Token. Dabei handelt es sich um eine kleine Datei auf dem Gerät eines Nutzers, in der die Anmeldedaten hinterlegt sind, damit nicht bei jedem Aufruf des Diensts Benutzername und Passwort erneut eingegeben werden müssen. Der Token lässt sich beispielsweise per Phishing oder von einer per Drive-by-Download untergeschobenen Malware stehlen. Anschließend kann er genutzt werden, um von einem anderen Rechner aus das Konto des Nutzers zu übernehmen. Ab dann hat der Angreifer lauft Imperva Zugriff auf alle online abgelegten Dateien und kann zudem von der Cloud aus in die lokal synchronisierten Ordner Malware einschleusen, die dann für weitere Angriffe benutzt werden kann.

cloud_securityBetroffene Nutzer können gegen den Angriff nichts unternehmen. Durch eine Änderung des Passworts lassen sich Angreifer nicht aus dem Konto aussperren, da der Token mit dem Gerät des Nutzers verknüpft ist.

“Das sollte uns wirklich beunruhigen”, sagte Amichai Schulman, Chief Technology Officer von Imperva, im Gespräch mit ZDNet.com. “Angreifer suchen nach Methoden, die kaum erkannt werden können. In Wirklichkeit haben sie die schon gefunden.”

Die Anbieter der Cloud-Speicherdienste nahm Schulman jedoch in Schutz. “Diese Dienste sind nicht gefährlich oder unsicher.” Man müsse zwischen Sicherheit und Nutzbarkeit abwägen. Viele Dienste böten inzwischen zudem eine Authentifizierung in zwei Schritten an oder benachrichtigten ihre Kunden über Anmeldungen, die von neuen Geräten aus erfolgten. Viele Nutzer ignorierten jedoch diese Meldungen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Fachmann in Sachen Cloud Computing? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.