Cyberkriminelle als „verifizierte Herausgeber“ von Microsoft

OAuth-Protokolle werden im Internet im großen Umfang von Anwendern genutzt, um ihre Daten von einer Anwendung an eine andere weiterzugeben, ohne dabei ihre Anmeldeinformationen preiszugeben. Potenziell bieten die Protokolle Cyberkriminellen allerdings die Gelegenheit, an Daten von Benutzern zu gelangen.

Die Security-Forscher von Proofpoint haben nun eine Cyberkampagne enttarnt, bei der Angreifer präparierte OAuth-Apps verwenden, um sich Zugang zu den Cloud-Umgebungen von Organisationen zu verschaffen. Besonders gefährlich ist die neuentdeckte Kampagne, weil sich die Angreifer den Microsoft-Status „verifizierter Herausgeber“ zunutze gemacht haben. Auf diese Weise erscheinen die entsprechenden OAuth-Anwendungen für Benutzer legitim und die Wahrscheinlichkeit steigt, dass sie Opfer der Cyberkriminellen werden.

Wichtigste Erkenntnisse:

• Cyberkriminelle nutzten bösartige OAuth-Apps, um in die Cloud-Umgebungen von Unternehmen einzudringen.

• Sie erfüllten hierzu Microsofts Vorgaben für OAuth-Anwendungen von Drittanbietern, indem sie den Microsoft-Status „verifizierter Herausgeber“ missbrauchen.

• In dieser Kampagne, die von Proofpoint-Forschern am 6. Dezember 2022 entdeckt wurde, setzen die Cyberkriminellen Taktiken wie Markenmissbrauch, App-Identifizierung und andere Social-Engineering-Methoden ein, um Nutzer dazu zu bringen, bösartige Apps zu autorisieren.

• Zu den potenziellen Auswirkungen dieser Cyberkampagne gehören Datenexfiltration, Markenmissbrauch und delegierte Berechtigungen für die Mailboxen, Kalender und Meetings kompromittierter Benutzer.

• Benutzer und Organisationen sollten OAuth-Anwendungen nicht allein aufgrund des Status „verifizierter Herausgeber“ vertrauen.

• Unternehmen wird empfohlen, Cloud-Sicherheitslösungen zu verwenden, die automatisch bösartige OAuth-Apps von Drittanbietern erkennen und aus ihren Umgebungen entfernen können.

Übersicht

Auf beliebten Plattformen wie Instagram, Twitter oder dem Apple AppStore verifiziert zu werden, ist das moderne Online-Statussymbol. Nutzer vertrauen derart verifizierten Konten. Ähnliches gilt für Unternehmen. Leider haben auch Cyberkriminelle den Wert des verifizierten Status in der Microsoft-Umgebung erkannt.

Forscher von Proofpoint haben eine neue bösartige OAuth-App-Kampagne mittels Drittanbieter-Anwendungen entdeckt, die den Microsoft-Status „verifizierter Herausgeber“ missbrauchte, um einige der Microsoft-Vorgaben für die Verbreitung von OAuth-Apps zu umgehen. Dies erhöhte die Wahrscheinlichkeit, dass Nutzer ihre Zustimmung erteilten, wenn eine bösartige OAuth-App eines Drittanbieters (im Folgenden als „OAuth-App“ oder „bösartige App“ bezeichnet) den Zugriff auf Daten anforderte, die über das Konto eines Nutzers zugänglich sind. Die bösartigen Apps der Kampagne verfügten über weitreichende delegierte Berechtigungen, wie z. B. das Lesen von E-Mails, das Anpassen von Postfacheinstellungen und den Zugriff auf Dateien und andere Daten, die mit dem Konto des Nutzers verknüpft sind.

Zu den potenziellen Folgen für Unternehmen gehören kompromittierte Benutzerkonten, Datenexfiltration, Markenmissbrauch durch Imitieren des Unternehmens, BEC-Betrug (Business E-mail Compromise) und Mailbox-Missbrauch. Die Wahrscheinlichkeit, dass ein solcher Angriff entdeckt wird, war geringer als bei herkömmlichen gezielten Phishing- oder Brute-Force-Angriffen. Unternehmen verfügen in der Regel über schwächere Abwehrmaßnahmen gegen Angreifer, die verifizierte OAuth-Apps verwenden.

Was bedeutet „Publisher Verification“?

„Publisher verified“ oder „verifizierter Herausgeber“ ist ein Status, den ein Microsoft-Konto erhalten kann, wenn der „Publisher der App seine Identität über sein Microsoft Partner Network (MPN)-Konto verifiziert und dieses MPN-Konto mit seiner App-Registrierung verknüpft hat“, so Microsoft. (Um Verwirrung zu vermeiden: ein „verifizierter Publisher“ hat nichts mit der Microsoft Publisher-Desktop-Anwendung zu tun, die in einigen Versionen von Microsoft 365 enthalten ist.).

In der Microsoft-Dokumentation heißt es weiter: „Wenn der Herausgeber einer App verifiziert wurde, wird in der Azure-Active-Directory-Zustimmungsaufforderung (Azure AD) für die App und auf anderen Webseiten eine blaue Markierung für die Verifizierung angezeigt“. Microsoft bezieht sich auf OAuth-Apps, die von Drittanbietern erstellt wurden und in der Microsoft-Umgebung als „Herausgeber“ bezeichnet werden.

In einem früheren Blogbeitrag beschrieb Proofpoint, wie sich Bedrohungsakteure den Status „verifizierter Herausgeber“ zunutze machten, indem sie bestehende verifizierte Microsoft-Herausgeber kompromittierten, um OAuth-App-Privilegien zu erlangen. Die Angriffe dieser neuen Kampagne nutzen eine andere Methode, um sich als glaubwürdige Herausgeber auszugeben, verifiziert zu werden und bösartige OAuth-Apps zu verbreiten. Diese Methode ermöglichte es den Cyberkriminellen, bestehende Vorgaben zu erfüllen und die Glaubwürdigkeit der bösartigen OAuth-Apps zu erhöhen.

Drei verschiedene böswillige Herausgeber von Microsoft

Proofpoint hat drei bösartige Anwendungen identifiziert, die von drei verschiedenen kriminell motivierten Herausgebern erstellt wurden. Diese Apps zielten auf dieselben Organisationen ab und sind mit derselben cyberkriminellen Infrastruktur verbunden. Tatsächlich konnte Proofpoint feststellen, dass mehrere Benutzer in den angegriffenen Organisationen die bösartigen Anwendungen autorisierten und so die Umgebung ihrer Organisation gefährdeten.

Diese Kampagne scheint vor allem auf Unternehmen und Nutzer in Großbritannien abzuzielen. Zu den betroffenen Nutzern gehörten Finanz- und Marketingmitarbeiter sowie Manager und Führungskräfte.

Die Sicherheitsforscher von Proofpoint überwachen weiterhin die Kampagne, einschließlich der Aktivitäten der Bedrohungsakteure und der zugehörigen Infrastruktur. Proofpoint hat Microsoft am 20. Dezember 2022 über diesen Angriff informiert – sie endete am 27. Dezember 2022. Microsoft hat inzwischen die bösartigen Anwendungen deaktiviert und untersucht den Angriff näher. Zu diesem Zeitpunkt können Benutzer den bösartigen Anwendungen nicht mehr zustimmen und zuvor autorisierte bösartige Anwendungen können nur noch bis zum Ablauf des letzten Zugriffstokens (normalerweise zwischen 60 und 90 Minuten) auf Daten zugreifen. Kürzlich hat Microsoft seine Partnerüberprüfungsprozesse und die Dokumentation zu OAuth App „Consent Phishing” aktualisiert, um zukünftige Angriffe mit den hier beschriebenen Methoden abzuwehren.

Mögliche Auswirkungen: Datenexfiltration, Mailbox-Missbrauch und Markenmissbrauch

Wenn die Benutzer ihre Zustimmung erteilen, ermöglichen die standardmäßig delegierten Berechtigungen in den bösartigen Anwendungen den Bedrohungsakteuren den Zugriff auf und die Manipulation von Mailbox-Ressourcen, Kalendern und Einladungen zu Meetings, die mit den Konten der kompromittierten Benutzer verknüpft sind. Da die Berechtigungen auch einen „Offline-Zugriff“ ermöglichen, ist für den Zugriff nach der Zustimmung keine Benutzerinteraktion erforderlich. Das gewährte Token (Refresh-Token) hat eine lange Gültigkeitsdauer von in den meisten Fällen über einem Jahr. Dies ermöglichte Cyberkriminellen den Zugriff auf die Daten des kompromittierten Kontos und die Möglichkeit, das kompromittierte Microsoft-Konto in nachfolgenden BEC- oder anderen Angriffen zu nutzen.

Neben der Kompromittierung von Benutzerkonten können auch die Marken von Organisationen missbraucht werden. Für solche Organisationen ist es sehr schwierig zu erkennen, dass ihre Marke bei diesen Angriffen missbraucht wird. Es ist keine Interaktion zwischen der imitierten Organisation und dem böswilligen, verifizierten Herausgeber erforderlich.

Weitere Informationen:

Den kompletten englischsprachigen Blogbeitrag können Sie hier lesen.

www.proofpoint.com