Wachsende Gefahr durch OAuth-Attacken

Mit den bereits vor einigen Jahren eingeführten Applikationen auf Basis von Open Authorization (OAuth) konnten die großen Cloud-Plattformen wie Microsoft 365 und Google Workspace ihren Funktionsumfang vergrößern und gleichzeitig ihre Benutzeroberflächen verbessern. Allerdings begründen diese Apps auch einen neuen Bedrohungsvektor, da Cyberkriminelle verstärkt gefährliche OAuth 2.0-Anwendungen (bzw. Cloud-Malware) einsetzen, um Daten zu stehlen und auf sensible Informationen zuzugreifen.

Allein im Jahr 2020 entdeckte der US-amerikanische Cybersicherheits-Experte Proofpoint mehr als 180 dieser gefährlichen Anwendungen. Über 55 Prozent der Kunden des Unternehmens waren davon betroffen und die Erfolgsquote der Angriffe lag bei 22 Prozent – ein äußerst bedenklicher Wert in Zeiten wachsender Cyberrisiken.

Im Zuge seiner Untersuchungen konnte Proofpoint eine Vielzahl von Attacken mittels OAuth-Token-Phishing bzw. dem Missbrauch von OAuth-Apps beobachten. Diese Form von Cyberattacke ist für Angreifer geradezu ideal, um sich Zugang zu einem Unternehmen zu verschaffen, Angriffe auf Mitarbeiter zu initiieren und Dateien sowie E-Mails von Cloud-Plattformen zu stehlen.

App-Angriffe mittels OAuth zielen oft auf die Konten des höheren Managements, von Account Managern, Personalverantwortlichen und auf die Finanzabteilung ab – also auf genau die Art von Benutzern, die Zugriff auf hochsensible Daten haben. Ist ein Angriff erst einmal erfolgreich, haben die Cyberkriminellen dauerhaften Zugriff auf E-Mails, Dateien, Kontakte, Notizen, Microsoft Teams-Chats und vieles mehr. In einigen Fällen leiten sie die Benutzer auch auf eine Phishing-Seite um, nachdem diese der Nutzung der Anwendung zugestimmt haben.

Im vergangenen Jahr nutzten Cyberkriminelle eine Vielzahl von Techniken für ihre OAuth-Attacken wie die Imitierung von Anwendungen (durch Homoglyphen und gefälschte Logos bzw. Domains). Es kamen zudem unterschiedliche Köder zum Einsatz, so z.B. COVID-19, eine vorgebliche Mail-Quarantäne und Office-Reviews von Kollegen. Die ausgeklügelten Angriffe stützten sich dabei zuweilen sogar auf Microsofts eigene Plattform, um Einladungen zur Zustimmungsseite für gefährliche Anwendungen zu generieren.

Microsoft erkannte Ende 2020, dass die Authentifizierung von App-Herausgebern eine wichtige Rolle bei der Eindämmung der Bedrohung durch bösartige OAuth-Apps spielen kann. Daher wurde der Verifizierungsmechanismus für Herausgeber geschaffen, um Endbenutzern einen Glaubwürdigkeitsfaktor für den Herausgeber der Anwendung zu bieten. Dieser Prozess bindet den Publisher an einen Verifizierungsprozess, bei dem:

Der Publisher muss ein gültiges Microsoft Partner Network-Mitglied sein.

Das Konto des Publishers muss Teil eines verifizierten Tenants sein (einschließlich der aufgeführten Publisher-Domäne).

Der Publisher muss den Nutzungsbedingungen der „Microsoft Identity Platform für Entwickler“ zustimmen.

Microsoft prüft auch die Rechnungen und Aktivitäten des Mandanten. Der gesamte Verifizierungsprozess ist aus Sicht des Angreifers eine komplizierte und undankbare Prozedur.

Neben der Platzierung eines Verifizierungsabzeichens auf dem Zustimmungsbildschirm für eine Anwendung von einem verifizierten Herausgeber fügte Microsoft auch eine Richtlinie hinzu, die es Administratoren ermöglicht, Benutzer von der Zustimmung zu einer Anwendung von einem nicht verifizierten Herausgeber auszuschließen. Darüber hinaus werden Anwendungen, die nach dem 8. November 2020 veröffentlicht werden, mit einer Warnung auf dem Zustimmungsbildschirm gekoppelt, falls der Herausgeber nicht verifiziert ist.

ZDNet.de Redaktion

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

12 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

1 Tag ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

1 Tag ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

1 Tag ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

2 Tagen ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

2 Tagen ago