Bösartige OAuth-Apps

Cyberangreifer missbrauchen Microsoft-Privilegien

Security-Forscher haben Angriffe entdeckt, die auf den verifizierten Status in der Microsoft-Umgebung abzielen. Dadurch sollen OAuth-Privilegien missbraucht und Benutzer dazu verleitet werden, bösartige Anwendungen zu autorisieren.
Von 
CSO | 02. Februar 2023 16:30 Uhr
Hacker nutzen das OAuth-Autorisierungsprotokoll von Microsoft aus, um Cloud-Umgebungen von Unternehmen zu infizieren.
Hacker nutzen das OAuth-Autorisierungsprotokoll von Microsoft aus, um Cloud-Umgebungen von Unternehmen zu infizieren.
Foto: FamVeld - shutterstock.com

Forscher des Sicherheitsanbieters Proofpoint sind auf eine neue Bedrohungskampagne gestoßen. Die Angreifer setzen bösartige Apps von Drittanbietern ein, die das OAuth-Autorisierungsprotokoll nutzen, um die Cloud-Umgebungen von Unternehmen zu infiltrieren. Laut einem Blog auf der Website des Unternehmens erfüllten die Angreifer die Microsoft-Anforderungen für die Anwendung von Drittanbietern, indem sie den Status "verifizierter Herausgeber" missbrauchten. Dabei setzten sie Social-Engineering-Taktiken ein, damit Benutzer die bösartigen Apps autorisieren.

Datenexfiltration, Mailbox- und Markenmissbrauch

Den Forschern zufolge zählen Datenexfiltration und Mailbox-Missbrauch zu den Auswirkungen der Angriffe. Nach eigenen Angaben entdeckte Proofpoint die Angriffe erstmals im Dezember 2022. Die Sicherheitsforscher informierten Microsoft damals über die bösartigen Aktivitäten. Daraufhin deaktivierte der Hersteller die betroffenen Anwendungen, während die Untersuchung des Angriffs fortgesetzt wurde, bestätigte Proofpoint.

"Publisher verified" or "verified publisher" ist ein Status, den ein Microsoft-Konto erhalten kann, wenn der "Herausgeber der App seine Identität über sein Microsoft Partner Network (MPN)-Konto verifiziert und dieses MPN-Konto mit seiner App-Registrierung verknüpft hat", so Microsoft. Cyberkriminelle haben den Wert des verifizierten Status in der Microsoft-Umgebung erkannt, um OAuth-Privilegien zu missbrauchen. Dadurch erhöht sich die Wahrscheinlichkeit, dass Benutzer ihre Zustimmung erteilen, wenn eine bösartige OAuth-App eines Drittanbieters Zugriff auf Daten anfordert, die über das Benutzerkonto zugänglich sind, schrieb Proofpoint.

"Wir haben drei bösartige Apps von drei verschiedenen Herausgebern identifiziert", so die Proofpoint-Forscher. "Diese Apps zielten auf dieselben Organisationen ab und sind mit derselben bösartigen Infrastruktur verbunden. Mehrere Benutzer wurden dabei beobachtet, wie sie die bösartigen Apps autorisierten und so die Umgebung ihrer Organisation gefährdeten." Den Sicherheitsexperten zufolge waren vor allem Organisationen und Benutzer aus Großbritannien betroffen, darunter Finanz- und Marketingmitarbeiter sowie Manager und Führungskräfte.

Wenn die Benutzer ihr Einverständnis gegeben haben, konnten die Bedrohungsakteure mit den standardmäßig delegierten Berechtigungen in den bösartigen Anwendungen auf mit dem Opfer verknüpfte Mailbox-Ressourcen, Kalender und Einladungen zu Besprechungen zugreifen und diese manipulieren, heißt es im Forschungsbericht. Durch den "Offline-Zugriff" dieser Berechtigungen war nach der Zustimmung keine Interaktion des Benutzers erforderlich.

Zudem hatte das gewährte Token (Refresh-Token) in den meisten Fällen eine lange Ablaufzeit von über einem Jahr, was den Bedrohungsakteuren die Möglichkeit gab, die kompromittierten Konten in nachfolgenden Business EMail Comprpmise (BEC) oder anderen Angriffen zu nutzen, so Proofpoint. "Zusätzlich zu den kompromittierten Benutzerkonten könnten die imitierten Organisationen unter Markenmissbrauch leiden," heißt es weiter.

Proofpoint rät Unternehmen und Anwendern zur Vorsicht, wenn sie den Zugriff auf OAuth-Apps von Drittanbietern gewähren, selbst wenn diese von Microsoft verifiziert wurden. "Vertrauen Sie OAuth-Apps nicht allein aufgrund ihres verifizierten Publisher-Status und verlassen Sie sich nicht darauf." Unternehmen sollten die Risiken und Vorteile des Zugriffs auf Drittanbieter-Apps sorgfältig abwägen.

Darüber hinaus sollten Unternehmen die Zustimmung der Benutzer auf Anwendungen mit verifizierten Herausgebern und delegierten Berechtigungen mit geringem Risiko beschränken. "Automatisierte Abhilfemaßnahmen, wie der Entzug bösartiger OAuth-Apps aus der Cloud-Umgebung, können die Verweildauer von Bedrohungsakteuren erheblich verringern und die meisten Risiken nach dem Zugriff verhindern."

GitHub-Repositories durch gestohlene OAuth-Tokens kompromittiert

Bereits im April 2022 warnten der zu Salesforce gehörende PaaS-Anbieter Heroku und Microsofts GitHub, vor kompromittierten OAuth-Benutzer-Tokens. Diese wurden dazu verwendet, um private Daten von Unternehmen herunterzuladen, die Heroku und den Integrations- und Testdienst Travis CI nutzen. Damals erklärte GitHub, dass fünf spezifische OAuth-Anwendungen betroffen waren - vier Versionen von Heroku Dashboard und Travis CI (IDs 145909, 628778, 313468, 363831 und 9261).

"Unsere Analyse anderer Verhaltensweisen des Bedrohungsakteurs deutet darauf hin, dass die Akteure möglicherweise die heruntergeladenen privaten Repository-Inhalte, auf die das gestohlene OAuth-Token Zugriff hatte, nach Informationen durchsuchte, die zum Einbruch in andere Infrastrukturen verwendet werden könnten", so GitHub.

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Michael Hill schreibt für unsere US-Schwesterpublikation CSO Online.