Microsoft warnt vor OAuth-Phishing-Kampagne
Microsoft hat eine Phishing-Kampagne identifiziert, bei der manipulierte Links zu legitimen OAuth-Diensten verwendet werden, um Nutzer zu Malware-Downloads umzuleiten.
Microsoft hat davor gewarnt, dass Phisher ein integriertes Verhalten des OAuth-Authentifizierungsprotokolls ausnutzen, um Opfer mithilfe von Links, die auf legitime Identitätsanbieter-Domains wie Microsoft Entra ID und Google Workspace verweisen, zu Malware umzuleiten. Die Links sehen sicher aus, führen aber letztendlich zu einer unsicheren Seite.
OAuth enthält eine legitime Funktion, mit der Identitätsanbieter Benutzer unter bestimmten Bedingungen, typischerweise in Fehlerszenarien oder anderen definierten Abläufen, auf eine bestimmte Landing Page umleiten können. Angreifer können diese native Funktionalität missbrauchen, indem sie URLs mit beliebten Identitätsanbietern wie Entra ID oder Google Workspace erstellen, die manipulierte Parameter oder zugehörige bösartige Anwendungen verwenden, um Benutzer auf von Angreifern kontrollierte Landing Pages umzuleiten.
Das Unternehmen gab an, mehrere bösartige OAuth-Anwendungen, die mit dieser Aktivität in Verbindung stehen, deaktiviert zu haben, warnte jedoch, dass ähnliche Kampagnen weiterhin stattfinden und eine kontinuierliche Überwachung erfordern.
So funktioniert der Angriff
Der Angriff beginnt mit einer Phishing-E-Mail, deren Köder sich als E-Signatur-Anfragen, HR-Mitteilungen, Microsoft Teams-Einladungen zu Besprechungen und Benachrichtigungen zum Zurücksetzen von Passwörtern tarnen, wobei die bösartigen Links entweder im E-Mail-Text oder in einem PDF-Anhang eingebettet sind, schrieben die Microsoft-Forscher in ihrem Blogbeitrag.
Der Link verweist auf einen echten OAuth-Autorisierungsendpunkt, ist jedoch mit absichtlich fehlerhaften Parametern aufgebaut. Die Angreifer verwenden den Wert „prompt=none“, um eine stille Authentifizierung ohne Anmeldebildschirm anzufordern, und kombinieren ihn mit einem ungültigen Bereichswert. Diese Kombination ist so konzipiert, dass sie fehlschlägt. Wenn dies geschieht, leitet der Identitätsanbieter den Browser des Benutzers zu einer vom Angreifer registrierten URI weiter.
Obwohl dieses Verhalten standardkonform ist, können Angreifer es missbrauchen, um Benutzer über vertrauenswürdige Autorisierungsendpunkte zu vom Angreifer kontrollierten Zielen umzuleiten.
Diese Technik stellt eine strukturelle Veränderung in der Herangehensweise von Angreifern an Identitäten dar, sagte Sanchit Vir Gogia, Chefanalyst bei Greyhound Research. „Der erste Schritt ist echt. Der Browser verhält sich korrekt. Der Identitätsanbieter verhält sich korrekt. Das Vertrauenssignal ist authentisch“, sagte er. „Dadurch verlagert sich Phishing von Täuschung auf Markenebene zu Manipulation auf Workflow-Ebene.“
In einer Kampagne, die Microsoft in seinem Blogbeitrag detailliert beschrieb, wurde durch die Umleitung ein ZIP-Archiv mit einer bösartigen Verknüpfungsdatei auf das Gerät des Opfers übertragen. Das Öffnen der Datei löste ein PowerShell-Skript aus, das Erkundungsbefehle ausführte und schließlich eine Verbindung zu einem vom Angreifer kontrollierten Server herstellte, heißt es in dem Beitrag. Microsoft beschrieb die nachfolgende Aktivität als konsistent mit dem Verhalten vor einer Ransomware-Infektion.
Andere in dem Blogbeitrag beschriebene Kampagnen leiteten die Opfer zu Man-in-the-Middle-Frameworks wie EvilProxy weiter, um Anmeldedaten und Sitzungscookies zu sammeln.
Der Kontext, nicht die URL, ist das neue Warnsignal
Sakshi Grover, Senior Research Manager bei IDC Asia/Pacific, sagte, dass der seit langem bestehende Ratschlag, mit der Maus über einen Link zu fahren und dessen Domain zu überprüfen, für eine Ära von Lookalike-Domains entwickelt wurde und in Umgebungen, in denen Authentifizierungsflüsse routinemäßig über vertrauenswürdige Identitätsanbieter laufen, nicht mehr gilt.
Unternehmen sollten ihre Sensibilisierungsbotschaften von "Link überprüfen" zu "Kontext validieren" umstellen. Mitarbeiter sollten darin geschult werden, zu hinterfragen, ob eine Authentifizierungsanfrage erwartet wurde, ob sie mit der aktuellen Geschäftstätigkeit übereinstimmt und ob die Anwendung Berechtigungen anfordert, die sinnvoll sind.
Gogia sagte, dass Unternehmen noch weiter gehen und das zugrunde liegende Verhalten vollständig ändern müssen. "Initiieren Sie niemals Authentifizierungsprozesse über unaufgeforderte eingehende Links", sagte er. "Die Authentifizierung sollte von kontrollierten Ausgangspunkten aus erfolgen, nicht von E-Mail-Auslösern." Er fügte hinzu, dass die Meldung unerwarteter Anmeldeprozesse reibungslos erfolgen muss und dass die Geschwindigkeit der Meldung wichtiger ist als das Vertrauen in das persönliche Urteilsvermögen.
Die Governance-Lücke, die Angreifer ausnutzen
Beide Analysten wiesen auf die OAuth-Anwendungs-Governance als die tiefere strukturelle Lücke hin, die diese Kampagne ausnutzt.
Grover von IDC erklärte, dass die Reife der Governance in den Unternehmen nach wie vor uneinheitlich ist. "Breite Standard-Einwilligungseinstellungen und eine begrenzte Überwachung von Weiterleitungs-URIs sind nach wie vor weit verbreitet, insbesondere in Umgebungen, in denen die Einführung von Cloud und SaaS die Identitäts-Governance-Kontrollen überholt hat".
Das Ausmaß des Problems wird laut Gogia von Greyhound Research leicht unterschätzt. "Jede SaaS-Integration, jeder Automatisierungs-Workflow und jedes Collaboration-Tool erfordert möglicherweise eine Anwendungsregistrierung. Im Laufe der Zeit sammeln sich bei den Mietern Hunderte oder Tausende von registrierten Apps an. Weiterleitungs-URIs werden während der Einrichtung konfiguriert und selten überprüft. Telemetrie gibt es. Interpretation nicht."
Microsoft erklärte in seinem Blogbeitrag, dass Unternehmen die Zustimmung der Benutzer zu OAuth-Anwendungen von Drittanbietern einschränken, App-Berechtigungen regelmäßig überprüfen und nicht verwendete oder mit zu hohen Berechtigungen ausgestattete Anwendungen entfernen sollten. Der Beitrag veröffentlichte außerdem 16 Client-IDs, die mit den bösartigen Anwendungen der Angreifer in Verbindung stehen, sowie eine Liste der ursprünglichen Umleitungs-URLs als Indikatoren für eine Kompromittierung. Der Beitrag enthält KQL-Suchabfragen für Microsoft Defender XDR-Kunden, um verwandte Aktivitäten in E-Mail-, Identitäts- und Endpunktsignalen zu identifizieren.
Die Methode werde so lange wirksam bleiben, wie Unternehmen diese Lücken nicht schließen, warnte Gogia. "Dazu muss keine Verschlüsselung geknackt werden. Es reicht aus, die Nachlässigkeit der Administratoren auszunutzen."