Freigeben über

Reagieren auf ein kompromittiertes E-Mail-Konto

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender for Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.

Benutzeranmeldeinformationen steuern den Zugriff auf Microsoft Entra ID-Konten, die für Kompromittierungsuntersuchungen von zentraler Bedeutung sind. Sobald ein Angreifer Zugriff auf das Konto erhält, kann er auf das zugeordnete Microsoft 365-Postfach, sharePoint-Ordner oder Dateien auf dem OneDrive des Benutzers zugreifen. Die Behebung und Untersuchung eines kompromittierten Benutzers konzentriert sich auf das betroffene Konto und die dem Konto zugeordneten Dienste.

Angreifer verwenden häufig das Postfach eines kompromittierten Benutzers, um an Empfänger innerhalb und außerhalb des organization zu senden. Business Email Compromise (BEC) ist eine produktive Art von Angriff und wird in diesem Artikel behandelt.

In diesem Artikel werden die Symptome einer Kontokompromittierung (insbesondere des Postfachs) und die Wiederherstellung der Kontrolle über das kompromittierte Konto behandelt.

Wichtig

Mit der folgenden Schaltfläche können Sie verdächtige Kontoaktivitäten testen und identifizieren. Verwenden Sie diesen Test zusammen mit den Anleitungen in diesem Artikel, um Einblicke in potenziell kompromittierte Konten zu erhalten und die erforderlichen Wiederherstellungsaktionen zu bestimmen.

Ausführen von Tests: Kompromittierte Konten

Häufige Symptome eines kompromittierten Microsoft 365-E-Mail-Kontos

Eine oder mehrere der folgenden Aktivitäten können darauf hindeuten, dass ein Konto, das einem Microsoft 365-Postfach zugeordnet ist, kompromittiert ist:

  • Das Senden von E-Mails durch das Postfach wird blockiert.
  • Verdächtige Aktivität. Beispielsweise fehlende oder gelöschte E-Mails.
  • Verdächtige Posteingangsregeln. Zum Beispiel:
    • Regeln, die E-Mails automatisch an unbekannte Adressen weiterleiten.
    • Regeln, die Nachrichten in die Ordner Notizen, Junk-Email oder RSS-Abonnements verschieben.
  • Die Ordner "Gesendete Elemente" oder " Gelöschte Elemente " enthalten verdächtige Nachrichten. Beispiel: "Ich bin in London hängen geblieben, sende Geld."
  • Änderungen am Kontakt des Benutzers in der globalen Adressliste (GAL). Beispiel: Name, Telefonnummer oder Postleitzahl.
  • Häufige Kennwortänderungen oder unerklärliche Kontosperrungen.
  • Kürzlich wurde die externe E-Mail-Weiterleitung hinzugefügt.
  • Verdächtige E-Mail-Nachrichtensignaturen. Zum Beispiel eine gefälschte Banksignatur oder eine verschreibungspflichtige Arzneimittelsignatur.

Wenn das Postfach eines dieser Symptome aufweist, führen Sie die Schritte im nächsten Abschnitt aus, um die Kontrolle über das Konto wiederzuerlangen.

Sichern und Wiederherstellen Email-Funktion in einem kompromittierten Microsoft 365-E-Mail-aktivierten Konto

Nachdem der Angreifer Zugriff auf ein Konto erlangt hat, müssen Sie den Zugriff auf das Konto so schnell wie möglich blockieren.

In den folgenden Schritten werden bekannte Methoden angesprochen, die es dem Angreifer ermöglichen könnten, die Persistenz aufrechtzuerhalten und später die Kontrolle über das Konto wiederzuerlangen. Achten Sie darauf, jeden Schritt zu behandeln.

Schritt 1: Deaktivieren des betroffenen Benutzerkontos

  • Das Deaktivieren des kompromittierten Kontos wird bevorzugt und dringend empfohlen, bis Sie die Untersuchung abgeschlossen haben.

    1. Installieren Sie bei Bedarf das Microsoft Graph PowerShell-Modul in PowerShell, indem Sie den folgenden Befehl ausführen:

      Install-Module -Name Microsoft.Graph -Scope CurrentUser

    2. Stellen Sie eine Verbindung mit Microsoft Graph her, indem Sie den folgenden Befehl ausführen:

      Connect-MgGraph -Scopes "User.ReadWrite.All"

    3. Um die Details des Benutzerkontos in der Variablen namens $userzu speichern, ersetzen Sie <UPN> durch den Kontonamen des Benutzers (Benutzerprinzipalname oder UPN), und führen Sie dann den folgenden Befehl aus:

      $user = Get-MgUser -Search UserPrincipalName:'<UPN>' -ConsistencyLevel Eventual

      Zum Beispiel:

      $user = Get-MgUser -Search UserPrincipalName:'jason@contoso.onmicrosoft.com' -ConsistencyLevel Eventual

    4. Führen Sie den folgenden Befehl aus, um das Benutzerkonto zu deaktivieren:

      Update-MgUser -UserId $user.Id -AccountEnabled $false

    Ausführliche Informationen zu Syntax und Parametern finden Sie unter Update-MgUser.

  • Wenn Sie das Konto nicht deaktivieren können, besteht der nächstbeste Schritt darin, das Kennwort zurückzusetzen. Anweisungen finden Sie unter Zurücksetzen von Kennwörtern in Microsoft 365 Business.

    • Achten Sie darauf, ein sicheres Kennwort zu verwenden: Groß- und Kleinbuchstaben, mindestens eine Zahl und mindestens ein Sonderzeichen.
    • Senden Sie das neue Kennwort nicht per E-Mail an den Benutzer, da der Angreifer an diesem Punkt möglicherweise Zugriff auf das Postfach haben könnte.
    • Verwenden Sie ein eindeutiges Kennwort, das der Angreifer nicht erraten kann. Selbst wenn die Kennwortverlaufsanforderung dies zulässt, dürfen Sie keines der letzten fünf Kennwörter wiederverwenden.
    • Wenn das Konto aus Active Directory synchronisiert wird, setzen Sie das Kennwort in Active Directory zurück, und setzen Sie es zweimal zurück, um das Risiko von Pass-the-Hash-Angriffen zu verringern. Anweisungen finden Sie unter Set-ADAccountPassword.
    • Wenn die Identität des Benutzers mit Microsoft 365 verbunden ist, müssen Sie das Kontokennwort in der lokalen Umgebung ändern und dann den Administrator über die Kompromittierung benachrichtigen.
    • Sorgen Sie dafür, dass App-Kennwörter aktualisiert werden. App-Kennwörter werden nicht automatisch widerrufen, wenn Sie das Kennwort zurücksetzen. Der Benutzer sollte vorhandene App-Kennwörter löschen und neue erstellen. Weitere Informationen finden Sie unter Verwalten von App-Kennwörtern für die zweistufige Überprüfung.

  • Es wird dringend empfohlen, die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) für das Konto zu aktivieren und zu erzwingen. MFA schützt effektiv vor Kontokompromittierung und ist für Konten mit Administratorrechten unerlässlich.

    Weitere Informationen finden Sie in den folgenden Artikeln:

Schritt 2: Widerrufen des Benutzerzugriffs

Mit diesem Schritt wird jeder aktive Zugriff mit den gestohlenen Anmeldeinformationen sofort ungültig und verhindert, dass der Angreifer auf sensiblere Daten zugreifen oder nicht autorisierte Aktionen für das kompromittierte Konto ausführt.

  1. Führen Sie den folgenden Befehl in einem PowerShell-Fenster mit erhöhten Rechten aus (ein PowerShell-Fenster, das Sie öffnen, indem Sie Als Administrator ausführen auswählen):

    Set-ExecutionPolicy RemoteSigned

  2. Führen Sie bei Bedarf die folgenden Befehle aus, um die erforderlichen Module für Microsoft Graph PowerShell zu installieren:

    Install-Module Microsoft.Graph.Authentication

Install-Module Microsoft.Graph.Users.Actions

  3. Stellen Sie eine Verbindung mit Microsoft Graph her, indem Sie den folgenden Befehl ausführen:

    Connect-MgGraph -Scopes User.RevokeSessions.All

  4. Um die Details des Benutzerkontos in der Variablen namens $userzu speichern, ersetzen Sie <UPN> durch das Konto des Benutzers (Benutzerprinzipalname oder UPN), und führen Sie dann den folgenden Befehl aus:

    $user = Get-MgUser -Search UserPrincipalName:'<UPN>' -ConsistencyLevel Eventual

    Zum Beispiel:

    $user = Get-MgUser -Search UserPrincipalName:'jason@contoso.onmicrosoft.com' -ConsistencyLevel Eventual

  5. Widerrufen Sie die Anmeldesitzungen des Benutzers, indem Sie den folgenden Befehl ausführen:

    Revoke-MgUserSignInSession -UserId $user.Id

Weitere Informationen finden Sie unter Widerrufen des Benutzerzugriffs in einem Notfall in Microsoft Entra ID.

Schritt 3: Überprüfen der MFA-registrierten Geräte für den betroffenen Benutzer

Identifizieren und entfernen Sie alle verdächtigen Geräte, die von einem Angreifer hinzugefügt wurden. Stellen Sie außerdem sicher, dass alle nicht erkannten MFA-Methoden entfernt werden, um das Konto des Benutzers zu schützen.

Anweisungen finden Sie unter Entfernte MFA-Methoden.

Entfernen und widerrufen Sie alle Anwendungen, die nicht zulässig sein sollten.

Anweisungen finden Sie unter Anwendungsüberprüfung.

Schritt 5: Überprüfen der dem Benutzer zugewiesenen Administratorrollen

Entfernen Sie alle Rollen, die nicht zulässig sein sollten.

Weitere Informationen finden Sie in den folgenden Artikeln:

Schritt 6: Überprüfen von E-Mail-Weiterleitungen

Entfernen Sie alle verdächtigen Postfachweiterleitungen, die der Angreifer hinzugefügt hat.

  1. Stellen Sie eine Verbindung mit Exchange Online PowerShell her.

  2. Um festzustellen, ob die Postfachweiterleitung (auch als SMTP-Weiterleitung bezeichnet) für das Postfach konfiguriert ist, ersetzen Sie <Identity> durch den Namen, die E-Mail-Adresse oder den Kontonamen des Postfachs, und führen Sie dann den folgenden Befehl aus:

    Get-Mailbox -Identity \<Identity\> | Format-List Forwarding*Address,DeliverTo*

    Zum Beispiel:

    Get-Mailbox -Identity jason@contoso.com | Format-List Forwarding*Address,DeliverTo*

    Beachten Sie die Werte der folgenden Eigenschaften:

    • ForwardingAddress: Ein wert, der nicht leer ist, bedeutet, dass die E-Mail an den angegebenen internen Empfänger weitergeleitet wird.
    • ForwardingSmtpAddress: Ein nonblank-Wert bedeutet, dass E-Mails an den angegebenen externen Empfänger weitergeleitet werden. Wenn sowohl ForwardingAddress als auch ForwardingSmtpAddress konfiguriert sind, wird E-Mail nur an den internen ForwardingAddress-Empfänger weitergeleitet.
    • DeliverToMailboxAndForward: Steuert, wie Nachrichten an Empfänger übermittelt und weitergeleitet werden, die durch ForwardingAddress oder ForwardingSmtpAddress angegeben werden:
      • True: Nachrichten werden an dieses Postfach übermittelt und an den angegebenen Empfänger weitergeleitet.
      • False: Nachrichten werden an den angegebenen Empfänger weitergeleitet. Nachrichten werden in diesem Postfach nicht zugestellt.

  3. Um festzustellen, ob Posteingangsregeln E-Mails aus dem Postfach weiterleiten, ersetzen Sie <Identity> durch den Namen, die E-Mail-Adresse oder den Kontonamen des Postfachs, und führen Sie dann den folgenden Befehl aus:

    Get-InboxRule -Mailbox <Identity> -IncludeHidden | Format-List Name,Enabled,RedirectTo,Forward*,Identity

    Zum Beispiel:

    Get-InboxRule -Mailbox jason@contoso.com -IncludeHidden | Format-List Name,Enabled,RedirectTo,Forward*,Identity

    Beachten Sie die Werte der folgenden Eigenschaften:

    • Aktiviert: Gibt an, ob die Regel aktiviert (True) oder deaktiviert (False) ist.

    • RedirectTo: Ein Nicht-B-Wert bedeutet, dass E-Mail an die angegebenen Empfänger umgeleitet wird. Nachrichten werden in diesem Postfach nicht zugestellt.

    • ForwardTo: Ein Nicht-Leerwert bedeutet, dass E-Mails an die angegebenen Empfänger weitergeleitet werden.

    • ForwardAsAttachmentTo: Ein Nicht-Leerwert bedeutet, dass E-Mails als E-Mail-Anlage an die angegebenen Empfänger weitergeleitet werden.

    • Identität: Der global eindeutige Wert der Regel. Um vollständige Details der Regel anzuzeigen, ersetzen Sie <Identity> durch den Wert Identity, und führen Sie dann den folgenden Befehl aus:

      Get-InboxRule -Identity "<Identity>" -IncludeHidden | Format-List

      Zum Beispiel:

      Get-InboxRule -Identity "jason\10210541742734704641" -IncludeHidden | Format-List

Weitere Informationen finden Sie unter Konfigurieren und Steuern der externen E-Mail-Weiterleitung in Microsoft 365.

Durchführen einer Untersuchung

Wenn ein Benutzer ungewöhnliche Symptome meldet, ist es wichtig, eine gründliche Untersuchung durchzuführen. Die Microsoft Entra Admin Center und das Microsoft Defender-Portal bieten verschiedene Tools, um verdächtige Aktivitäten in Benutzerkonten zu untersuchen. Achten Sie darauf, die Überwachungsprotokolle ab beginn der verdächtigen Aktivität zu überprüfen, bis Sie die Korrekturschritte abgeschlossen haben.

Durch die Analyse der bereitgestellten Protokolle können Sie den spezifischen Zeitrahmen ermitteln, der weitere Aufmerksamkeit erfordert. Überprüfen Sie nach der Identifizierung die nachrichten, die der Benutzer während dieses Zeitraums gesendet hat, um weitere Erkenntnisse zu erhalten.

Nach Abschluss der Untersuchung

  1. Wenn Sie das Konto während der Untersuchung deaktiviert haben, setzen Sie das Kennwort zurück, und aktivieren Sie es dann wie weiter oben in diesem Artikel beschrieben.

  2. Wenn das Konto zum Senden von Spam oder einer großen Anzahl von E-Mails verwendet wurde, ist es wahrscheinlich, dass das Postfach für das Senden von E-Mails blockiert ist. Entfernen Sie den Benutzer aus der Seite Eingeschränkte Entitäten, wie unter Entfernen blockierter Benutzer von der Seite Eingeschränkte Entitäten beschrieben.

Weitere Ressourcen

Erkennen und Korrigieren von Outlook-Regeln und benutzerdefinierten Formularen für Einschleusungsangriffe in Microsoft 365

Erkennen und Beheben unzulässiger Zustimmungserteilungen

Melden von Spam, Nichtspam, Phishing, verdächtigen E-Mails und Dateien an Microsoft