Eine Analyse zeigt, wie Angreifer über Drittanbieter-Anwendungen und Vishing ohne technische Schwachstellen in Salesforce-Systeme eindringen.
In Untersuchungen, die am 13. Juli 2026 veröffentlicht wurden, dokumentiert Microsoft Kampagnen aus dem Zeitraum von Mitte 2025 bis Mitte 2026. Die Angreifer, deren Vorgehen der Erpressergruppe ShinyHunters zugeschrieben wird, nutzten bestehende Vertrauensstellungen, ohne technische Schwachstellen in der Salesforce-Plattform selbst auszunutzen. Der erste Angriffspfad basiert auf Voice-Phishing (Vishing). Dabei gaben sich die Angreifer am Telefon als IT-Support aus und brachten Mitarbeiter dazu, eine schädliche App namens Data Loader über den OAuth-Zustimmungsbildschirm zu autorisieren. Dadurch erhielten die Angreifer API-Zugriff auf sensible CRM-Daten. Von dieser Welle waren unter anderem Google im Juni 2025 sowie Unternehmen wie Chanel, Pandora und Adidas betroffen.
Diebstahl von OAuth-Token bei Drittanbietern
Der zweite Pfad umgeht die Interaktion mit Mitarbeitern des Zielunternehmens. Stattdessen kompromittieren die Angreifer externe Software-Anbieter, die bereits über OAuth-Freigaben für die Salesforce-Umgebungen ihrer Kunden verfügen. Drei wesentliche Vorfälle verdeutlichen diese Taktik:
- Im August 2025 wurden bei einem Einbruch beim Anbieter Salesloft Drift OAuth- und Refresh-Token entwendet. Dies betraf potenziell über 700 Organisationen, darunter Cloudflare, Zscaler und Palo Alto Networks.
- Im November 2025 wurden über kompromittierte Anwendungen von Gainsight rund 200 Salesforce-Instanzen angegriffen.
- Im Juni 2026 nutzten Angreifer eine alte, nicht deaktivierte Test-Anmeldeinformation beim Anbieter Klue, um über ein manipuliertes Code-Update Kunden-Token abzugreifen, was unter anderem die Sicherheitsfirmen Huntress und Recorded Future betraf.
Unberechtigter Datenabzug über Gastzugänge
Der dritte Pfad erfordert keine Anmeldedaten. Es wurde eine Zunahme verdächtiger Aktivitäten von Gastnutzern auf Salesforce-Aura-Endpunkten beobachtet, die das Fundament für Experience-Cloud-Webseiten bilden. Durch fehlerhaft konfigurierte Berechtigungen für Gastbenutzer konnten die Angreifer ohne Authentifizierung auf interne Daten zugreifen. Mithilfe von Abfragewerkzeugen wie AuraInspector umgingen sie die standardmäßige Begrenzung von 2000 Datensätzen und exportierten vertrauliche Kundendaten in großem Umfang.
Neue Schutzwerkzeuge zur Abwehr
Da diese Angriffe über legitime Schnittstellen erfolgen, schlagen herkömmliche Anmeldeüberwachungen selten Alarm. Microsoft hat daher in Zusammenarbeit mit Salesforce neue Erkennungs- und Governance-Werkzeuge entwickelt. Über die Integration in Defender for Cloud Apps und die Nutzung des Real-Time Event Monitoring von Salesforce können Aktivitäten nun direkt einer spezifischen App-Identität und den erteilten OAuth-Berechtigungen zugeordnet werden. Administratoren erhalten zudem Übersichten über ungenutzte Integrationen, die seit mehr als 90 Tagen inaktiv sind, um die Angriffsfläche präventiv zu minimieren.
(red)