Generative Datenintelligenz

Cybersicherheit

Angreifer nehmen Microsoft-Konten ins Visier, um OAuth-Apps zu einer Waffe zu machen

Neuauflage von Plato
Neuauflage von Plato

Datum:

Views: 0

Bedrohungsakteure missbrauchen die schwachen Authentifizierungspraktiken von Organisationen, um und zu erstellen OAuth ausnutzen Anwendungen, oft aus finanziellen Gründen, in einer Reihe von Angriffen, die verschiedene Vektoren umfassen, darunter Kryptomining, Phishing und Passwort-Spraying.

OAuth ist ein offener Authentifizierungsstandard, der zunehmend für den plattformübergreifenden Zugriff eingesetzt wird. Benutzer würden es daran erkennen, dass sie beim Anmelden auf einer Website aufgefordert werden, auf einen Link zu klicken, um sich mit einem anderen Social-Media-Konto anzumelden, z. B. „Mit Facebook anmelden“ oder „Mit Google anmelden“. OAuth ermöglicht Anwendungen den Zugriff auf Daten und Ressourcen anderer Onlinedienste und Websites basierend auf den von einem Benutzer festgelegten Berechtigungen und ist der Mechanismus, der für die Authentifizierungsübergabe zwischen den Websites verantwortlich ist.

Microsoft Threat Intelligence hat eine Reihe von Angriffen beobachtet, bei denen Benutzerkonten für Microsoft-Dienste kompromittiert werden, um OAuth-Anwendungen zu erstellen, zu ändern und ihnen hohe Berechtigungen zu gewähren, sodass sie die Apps als „Automatisierungstool“ für böswillige Aktivitäten verwenden können, wie Forscher enthüllten In a blog post diese Woche veröffentlicht. Die Angreifer nutzen auch den OAuth-Authentifizierungsstandard, um den Zugriff auf Anwendungen aufrechtzuerhalten, selbst wenn sie den Zugriff auf das ursprünglich kompromittierte Konto verlieren, sagten sie.

„Die Bedrohungsakteure haben die OAuth-Anwendungen mit hochprivilegierten Berechtigungen missbraucht, um virtuelle Maschinen (VMs) für das Kryptowährungs-Mining bereitzustellen, eine Persistenz nach Business Email Compromise (BEC) herzustellen und Spam-Aktivitäten unter Verwendung der Ressourcen und des Domänennamens der Zielorganisation zu starten“, heißt es in der Mitteilung Post.

Die Forscher beschreiben mehrere Angriffe, die OAuth auf neuartige Weise missbrauchten. In den meisten Fällen war für ein kompromittiertes Konto keine Multifaktor-Authentifizierung (MFA) aktiviert, was es zu einem leichten Ziel für Angreifer machte, die Taktiken wie Credential Stuffing, Phishing und Reverse-Proxy-Phishing nutzten, um sich für böswillige Zwecke Zugriff auf ein Konto zu verschaffen.

Verwendung und Missbrauch von OAuth

Forscher von Microsoft Threat Intelligence beobachteten drei spezifische Angriffstypen – Kryptomining, Business Email Compromise (BEC)/Phishing und Password Spraying/Spamming –, die OAuth missbrauchten, um auf verschiedene Weise böswillige Aktivitäten durchzuführen.

Bei einem von Microsoft als Storm-1283 verfolgten Bedrohungsakteur nutzten Angreifer ein manipuliertes Azure-Benutzerkonto, um eine OAuth-Anwendung zu erstellen und virtuelle Maschinen (VMs) für das Kryptomining bereitzustellen. Den Zielorganisationen entstanden durch die bösartige Aktivität Rechengebühren in Höhe von 10,000 bis 1.5 Millionen US-Dollar, bei der die Angreifer nach der Einrichtung des ersten Angriffs zum Konto zurückkehrten, um weitere Kryptomining-VMs bereitzustellen.

Angreifer haben auch Benutzerkonten kompromittiert, um OAuth-Anwendungen für BEC- und Phishing-Angriffe zu erstellen. Dabei beobachteten die Forscher einen Bedrohungsakteur, der Benutzerkonten kompromittiert und OAuth-Anwendungen erstellt hat, um die Persistenz aufrechtzuerhalten und E-Mail-Phishing-Aktivitäten zu starten.

Bei diesem Vektor nutzte der Angreifer ein Adversary-in-the-Middle-Phishing-Kit (AitM), um eine beträchtliche Anzahl von E-Mails mit unterschiedlichen Betreffzeilen und URLs an Benutzerkonten in mehreren Organisationen mit einer bösartigen URL zu senden, die zu einem Proxyserver führt Erleichterung eines echten Authentifizierungsprozesses. Wenn ein Benutzer den Köder annimmt und sich anmeldet, stiehlt der Bedrohungsakteur das Token aus dem Sitzungscookie des Benutzers und verwendet es später, um eine Sitzungscookies-Wiedergabeaktivität durchzuführen.

In einigen Fällen durchsuchte der Akteur auch E-Mail-Anhänge in der Outlook-Webanwendung von Microsoft nach bestimmten Schlüsselwörtern wie „Zahlung“. und "Rechnung" um Aufklärung für zukünftige BEC-Aktivitäten durchzuführen, sagten die Forscher.

In anderen Fällen erstellte der Bedrohungsakteur anstelle der BEC-Erkundung nach der Wiedergabe gestohlener Sitzungscookies mehrinstanzenfähige OAuth-Anwendungen und nutzte die Apps, um die Persistenz aufrechtzuerhalten, neue Anmeldeinformationen hinzuzufügen und dann auf die Microsoft Graph-API-Ressource zuzugreifen, um E-Mails zu lesen oder Phishing-E-Mails zu senden .

Bei einem dritten einzigartigen Angriff führte ein Bedrohungsakteur, den Microsoft als Storm-1286 verfolgt, groß angelegte Spam-Aktivitäten durch Passwort-Spraying-Angriffe auf kompromittierte Benutzerkonten durch. Laut Microsoft Threat Intelligence haben die Angreifer Benutzerkonten kompromittiert, um mithilfe von Azure PowerShell oder einem auf Swagger Codegen basierenden Client ein bis drei neue OAuth-Anwendungen in der Zielorganisation zu erstellen und den Anwendungen die Zustimmung zu erteilen, die die Kontrolle über das Kontopostfach ermöglichten. Von dort aus würde der Angreifer täglich Tausende von E-Mails über das kompromittierte Benutzerkonto und die Unternehmensdomäne versenden.

MFA und andere Abhilfemaßnahmen

OAuth, das seit 2007 verwendet wird, stellt aus verschiedenen Gründen ein Risiko für Unternehmen dar und es gibt zahlreiche Möglichkeiten, wie Angreifer es missbrauchen können. Sicherheitsforscher haben Fehler gefunden in seiner Implementierung, die wichtige Online-Dienstplattformen wie z Booking.com und Extras angreifen. In der Zwischenzeit haben andere von ihnen erstellte bösartige OAuth-Apps verwendet um Microsoft Exchange-Server zu gefährden.

Ein wichtiger Schritt für Unternehmen zur Reduzierung ihrer Angriffsfläche beim Einsatz von OAuth ist laut Microsoft vor allem die Sicherung ihrer Identitätsinfrastruktur. Eine einfache Möglichkeit, dies zu erreichen, ist der Einsatz der Multifaktor-Authentifizierung (MFA), da ihr Einsatz die Kontokompromittierung bei den kürzlich beobachteten Angriffen „dramatisch reduziert“ hätte, so die Forscher.

Ein Schritt, den Unternehmen unternehmen können, um die Authentifizierung zu stärken und die Erfolgsaussichten von OAuth-basierten Angriffen zu verringern, ist die Aktivierung von Condition Access (CA)-Richtlinien, die jedes Mal Regeln auswerten und durchsetzen, wenn ein Benutzer versucht, sich bei einem Konto anzumelden. Eine weitere Möglichkeit besteht darin, Sicherheitsstandards in bereitgestellten Microsoft-Anwendungen wie Azure Active Directory zu aktivieren.

Die Überwachung von Apps und genehmigten Berechtigungen im gesamten Unternehmen, um „sicherzustellen, dass Anwendungen nur auf die erforderlichen Daten zugreifen und die Grundsätze der geringsten Rechte einhalten“, kann dem Beitrag zufolge auch zur Abwehr von OAuth-Angriffen eingesetzt werden.

spot_img

Neueste Intelligenz

spot_img

Copyright @ 2024 Plato Technologies Inc.