Security

Microsoft Defender Predictive Shielding stoppt GPO-Ransomware

3 Min. Lesezeit

Zusammenfassung

Microsoft hat einen realen Ransomware-Fall beschrieben, in dem Defenders Predictive Shielding den Missbrauch von Group Policy Objects (GPOs) erkannte, bevor die Verschlüsselung begann. Durch das Härten der GPO-Verteilung und das Unterbrechen kompromittierter Konten blockierte Defender rund 97 % der versuchten Verschlüsselungsaktivität und verhinderte, dass Geräte über den GPO-Verteilungsweg verschlüsselt wurden.

Audio-Zusammenfassung

0:00--:--
Brauchen Sie Hilfe mit Security?Mit einem Experten sprechen

Einführung

Microsofts aktuelle Defender-Fallstudie beleuchtet eine zunehmende Ransomware-Taktik: den Missbrauch von Group Policy Objects (GPOs), um Sicherheitstools zu deaktivieren und Payloads in großem Umfang zu verteilen. Für IT- und Sicherheitsteams ist das relevant, weil GPOs in den meisten Windows-Umgebungen vertrauenswürdige Verwaltungsmechanismen sind und damit einen attraktiven Angriffsweg für von Menschen gesteuerte Ransomware darstellen.

Was passiert ist

Microsoft untersuchte einen Angriff auf eine große Bildungseinrichtung mit Tausenden von Geräten, 33 Servern, 11 Domain Controllers und 2 Entra Connect-Servern. Der Angreifer hatte bereits Domain Admin-Zugriff erlangt und durchlief mehrere bekannte Phasen:

  • Aufklärung: Active Directory-Aufzählung und Brute-Force-Aktivität
  • Zugriff auf Anmeldeinformationen: Kerberoasting- und NTDS-Dump-Aktivität
  • Laterale Bewegung: Einsatz hochprivilegierter Anmeldeinformationen und Erstellung lokaler Konten zur Persistenz
  • Auswirkungsversuch: GPO-basierte Manipulation und Ransomware-Bereitstellung

So funktionierte der GPO-Angriff

Der Angreifer nutzte GPOs in zwei Phasen:

  • Phase 1: Sicherheitsmanipulation
    Ein bösartiges GPO versuchte, zentrale Defender-Schutzfunktionen zu deaktivieren, darunter Echtzeitschutz und Verhaltensüberwachung.

  • Phase 2: Ransomware-Verteilung
    Etwa 10 Minuten später erstellte der Angreifer ein weiteres GPO, das eine geplante Aufgabe bereitstellte, um Ransomware-Dateien aus SYSVOL zu kopieren und auszuführen.

Das ist effektiv, weil der Angreifer die Richtlinie nur einmal festlegen muss; domain-joined Geräte erledigen den Rest automatisch.

So hat Defender es gestoppt

Defenders Predictive Shielding erkannte die GPO-Manipulation als wahrscheinlichen Vorläufer eines Ransomware-Angriffs und löste GPO Hardening aus, bevor sich das Ransomware-GPO breit verteilen konnte.

Wichtige Ergebnisse aus der Fallstudie:

  • Keine Geräte wurden über den GPO-Pfad verschlüsselt
  • Insgesamt wurden rund 97 % der versuchten Verschlüsselungsaktivität blockiert
  • 700 Geräte erhielten GPO Hardening-Schutz
  • Mehr als ein Dutzend kompromittierter Entitäten wurden unterbrochen
  • Tausende Authentifizierungs- und Zugriffsversuche des Angreifers wurden blockiert

Warum das für Administratoren wichtig ist

Dieser Vorfall zeigt, dass Ransomware-Akteure zunehmend standardmäßige IT-Verwaltungstools missbrauchen, statt sich nur auf offensichtliche Malware-Verteilungsmethoden zu verlassen. GPOs, geplante Aufgaben, SMB und Remote Administration Tools sind alles legitime Betriebsmechanismen, was Missbrauch ohne erweiterte Erkennung und Reaktion schwerer erkennbar macht.

Für Administratoren ist die Lehre klar: Eine kompromittierte Identität plus GPO-Missbrauch kann sich schnell zu einem unternehmensweiten Vorfall entwickeln.

Empfohlene nächste Schritte

  • Prüfen Sie die Exposition privilegierter Konten, insbesondere die Nutzung von Domain Admin
  • Auditieren Sie aktuelle GPO-Änderungen und Bereitstellungen geplanter Aufgaben
  • Untersuchen Sie Anzeichen für Kerberoasting, NTDS-Zugriffe und ungewöhnliche SMB-basierte Ausführung
  • Stellen Sie sicher, dass die Angriffsstörungsfunktionen von Microsoft Defender aktiviert sind
  • Validieren Sie Defender Tamper Protection und die Endpoint-Abdeckung auf allen domain-joined Geräten
  • Überwachen Sie SYSVOL auf unerwartete Skripts, ausführbare Dateien und DLLs

Organisationen, die Microsoft Defender einsetzen, sollten diesen Fall als Erinnerung verstehen, Identitäten zu härten, Verwaltungstools zu überwachen und sich auf Ransomware-Kampagnen vorzubereiten, die native Unternehmenssteuerungen missbrauchen.

Brauchen Sie Hilfe mit Security?

Unsere Experten helfen Ihnen bei der Implementierung und Optimierung Ihrer Microsoft-Lösungen.

Mit einem Experten sprechen

Bleiben Sie über Microsoft-Technologien auf dem Laufenden

Originalartikel von Microsoft Defender Security Research Team lesen
Microsoft DefenderransomwareGPOpredictive shieldingattack disruption

Verwandte Beiträge

Security

Trivy-Lieferkettenkompromittierung: Defender-Hinweise

Microsoft hat Hinweise zur Erkennung, Untersuchung und Eindämmung der Trivy-Lieferkettenkompromittierung vom März 2026 veröffentlicht, die die Trivy-Binärdatei und zugehörige GitHub Actions betraf. Der Vorfall ist relevant, weil vertrauenswürdige CI/CD-Sicherheitstools missbraucht wurden, um Anmeldeinformationen aus Build-Pipelines, Cloud-Umgebungen und Entwicklersystemen zu stehlen, während sie scheinbar normal ausgeführt wurden.

Security

KI-Agenten-Governance: Intent sicher ausrichten

Microsoft beschreibt ein Governance-Modell für KI-Agenten, das Benutzer-, Entwickler-, rollenbasierte und organisatorische Intent in Einklang bringt. Das Framework hilft Unternehmen, Agenten nützlich, sicher und compliant zu halten, indem es Verhaltensgrenzen und eine klare Rangfolge bei Konflikten definiert.

Security

Agentic AI Sicherheit: Microsofts RSAC 2026 Neuerungen

Microsoft hat auf der RSAC 2026 neue Sicherheitsfunktionen für agentische KI vorgestellt, darunter die allgemeine Verfügbarkeit von Agent 365 ab dem 1. Mai als zentrale Steuerungsebene für Überwachung, Schutz und Governance von AI-Agents. Ergänzt wird dies durch neue Transparenz- und Erkennungstools wie das Security Dashboard for AI und Entra Internet Access Shadow AI Detection, was für Unternehmen wichtig ist, weil der breite Einsatz von AI-Agents neue Risiken bei Datenzugriff, Identitäten und unkontrollierter AI-Nutzung schafft.

Security

CTI-REALM Open Source: Benchmark für AI Detection

Microsoft hat mit CTI-REALM einen Open-Source-Benchmark vorgestellt, der prüft, ob AI-Agents im Security-Betrieb tatsächlich verwertbare Detection-Regeln aus Threat-Intelligence-Berichten ableiten und validieren können. Das ist wichtig, weil Security-Teams damit KI-Modelle nicht nur nach theoretischem Cybersecurity-Wissen, sondern nach ihrem praktischen Nutzen für SOC- und Detection-Engineering-Workflows in realistischen Umgebungen wie Linux, AKS und Azure bewerten können.

Security

Zero Trust for AI: Microsoft Workshop & Architektur

Microsoft erweitert seinen Zero-Trust-Ansatz gezielt auf KI-Umgebungen und führt dafür mit „Zero Trust for AI“ eine neue Leitlinie sowie eine eigene AI-Säule im Zero Trust Workshop ein. Das ist wichtig, weil Unternehmen damit einen strukturierten Rahmen erhalten, um Risiken wie Prompt Injection, Data Poisoning und übermäßige Zugriffe auf Modelle, Prompts und Datenquellen systematisch zu bewerten und mit konkreten Sicherheitskontrollen abzusichern.

Security

Microsoft warnt vor Steuer-Phishing auf Microsoft 365

Microsoft warnt vor einer Welle steuerbezogener Phishing- und Malware-Kampagnen auf Microsoft 365, die Themen wie Steuerunterlagen, W-2-Formulare und Rückerstattungen nutzen, um Anmeldedaten zu stehlen oder Schadsoftware auszuliefern. Besonders relevant ist, dass die Angriffe zunehmend zielgerichtet sind und mit QR-Codes, mehrstufigen Weiterleitungen, Cloud-Dateien und legitimen RMM-Tools klassische Schutzmechanismen umgehen – Unternehmen sollten ihre Erkennung, Schulungen und Absicherung rund um die Steuersaison daher gezielt verstärken.