Proofpoint: Kampagne um bösartige OAuth-Apps enttarnt

Cyberkriminelle als „verifizierte Herausgeber“ von Microsoft

3. Februar 2023, 8:00 Uhr | Anna Molder
© Wolfgang Traub

OAuth-Protokolle sind im Internet im großen Umfang von Anwendern in Verwendung, um ihre Daten von einer Anwendung an eine andere weiterzugeben, ohne dabei ihre Anmeldeinformationen preiszugeben. Potenziell bieten die Protokolle Cyberkriminellen allerdings die Gelegenheit, an Daten von Benutzern zu gelangen. Die Security-Forscher von Proofpoint haben nun eine Cyberkampagne enttarnt, bei der Angreifer präparierte OAuth-Apps verwenden, um sich Zugang zu den Cloud-Umgebungen von Organisationen zu verschaffen.

Die Fachleute von Proofpoint haben eine neue bösartige OAuth-App-Kampagne mittels Drittanbieter-Anwendungen entdeckt, die den Microsoft-Status „verifizierter Herausgeber“ missbrauchte, um einige der Microsoft-Vorgaben für die Verbreitung von OAuth-Apps zu umgehen.

Dies erhöhte die Wahrscheinlichkeit, dass Nutzer ihre Zustimmung erteilten, wenn eine bösartige OAuth-App eines Drittanbieters (im Folgenden als „OAuth-App“ oder „bösartige App“ bezeichnet) den Zugriff auf Daten anforderte, die über das Konto eines Nutzers zugänglich sind. Die bösartigen Apps der Kampagne verfügten über weitreichende delegierte Berechtigungen, wie zum Beispiel das Lesen von E-Mails, das Anpassen von Postfacheinstellungen und den Zugriff auf Dateien und andere Daten, die mit dem Konto des Nutzers verknüpft sind.

Zu den potenziellen Folgen für Unternehmen gehören kompromittierte Benutzerkonten, Datenexfiltration, Markenmissbrauch durch Imitieren des Unternehmens, BEC-Betrug (Business E-Mail Compromise) und Mailbox-Missbrauch. Die Wahrscheinlichkeit, einen solchen Angriff zu entdecken, war laut Proofpoint geringer als bei herkömmlichen gezielten Phishing- oder Brute-Force-Angriffen. Unternehmen verfügen in der Regel über schwächere Abwehrmaßnahmen gegen Angreifer, die verifizierte OAuth-Apps verwenden.

„Publisher verified“ oder „verifizierter Herausgeber“ ist ein Status, den ein Microsoft-Konto erhalten kann, wenn der „Publisher der App seine Identität über sein Microsoft-Partner-Network-Konto (MPN) verifiziert und dieses Konto mit seiner App-Registrierung verknüpft hat“, so Microsoft. (Um Verwirrung zu vermeiden: ein „verifizierter Publisher“ hat nichts mit der Microsoft-Publisher-Desktop-Anwendung zu tun, die in einigen Versionen von Microsoft 365 enthalten ist.)

In der Microsoft-Dokumentation heißt es weiter: „Wenn der Herausgeber einer App verifiziert wurde, wird in der Azure-Active-Directory-Zustimmungsaufforderung (Azure AD) für die App und auf anderen Webseiten eine blaue Markierung für die Verifizierung angezeigt“. Microsoft bezieht sich auf OAuth-Apps, die Drittanbieter erstellt haben und in der Microsoft-Umgebung als „Herausgeber“ bezeichnet sind.

In einem früheren Blogbeitrag beschrieb Proofpoint, wie sich Bedrohungsakteure den Status „verifizierter Herausgeber“ zunutze machten, indem sie bestehende verifizierte Microsoft-Herausgeber kompromittierten, um OAuth-App-Privilegien zu erlangen. Die Angriffe dieser neuen Kampagne nutzen eine andere Methode, um sich als glaubwürdige Herausgeber auszugeben, eine Verifizierung zu erhalten und bösartige OAuth-Apps zu verbreiten. Diese Methode ermöglichte es den Cyberkriminellen, bestehende Vorgaben zu erfüllen und die Glaubwürdigkeit der bösartigen OAuth-Apps zu erhöhen.

Anbieter zum Thema

zu Matchmaker+

  1. Cyberkriminelle als „verifizierte Herausgeber“ von Microsoft
  2. Verschiedene böswillige Herausgeber

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Proofpoint

Weitere Artikel zu Cybercrime

Weitere Artikel zu Deutsche Telekom GB MWD OD14

Weitere Artikel zu Online Backup Company

Weitere Artikel zu ioSafe

Weitere Artikel zu ZAGG

Matchmaker+