März 29, 2024
Artikel Internet-Sicherheit Technologie

Hacker missbrauchten OAuth-Apps von Microsoft, um E-Mail-Konten von Unternehmen zu knacken

Am Dienstag gab Microsoft bekannt, dass es Maßnahmen ergriffen hat, um gefälschte Microsoft Partner Network (MPN)-Konten zu deaktivieren, die zum Erstellen schädlicher OAuth-Anwendungen im Rahmen einer Phishing-Kampagne verwendet wurden, die darauf abzielte, Cloud-Umgebungen von Unternehmen zu infiltrieren und E-Mails zu stehlen.

Das IT-Unternehmen behauptete, dass die betrügerischen Akteure „Anwendungen erstellten, die anschließend in einer Consent-Phishing-Kampagne eingesetzt wurden, die Benutzer dazu verleitete, den Zugriff auf die gefälschten Apps zu autorisieren“. „Diese Phishing-Kampagne richtete sich hauptsächlich an Kunden im Vereinigten Königreich und in Irland.“

Zustimmungs-Phishing ist eine Art von Social-Engineering-Angriff, bei dem Benutzer dazu überredet werden, schädlichen Cloud-Anwendungen eine Erlaubnis zu erteilen, die anschließend als Waffe für den Zugriff auf sichere Benutzerdaten und legitime Clouds verwendet werden können
.A

Darüber hinaus gab Microsoft an, weitere Sicherheitsmaßnahmen hinzugefügt zu haben, um den Verifizierungsprozess im Zusammenhang mit dem Microsoft Cloud Partner Program (ehemals MPN) zu stärken und die Wahrscheinlichkeit betrügerischer Aktivitäten in der Zukunft zu verringern.

Die Veröffentlichung fällt zeitlich mit einem Proofpoint-Papier zusammen, in dem dargelegt wird, wie Bedrohungsakteure Cloud-Infrastrukturen von Unternehmen erfolgreich kompromittieren konnten, indem sie sich den Status von Microsoft als „zertifizierter Herausgeber“ zunutze machten.

Die Kampagne ist bemerkenswert, weil sie Microsoft effektiv täuschen konnte, um das blaue validierte Abzeichen zu erhalten, indem sie bekannte Unternehmen imitierte.
Die betrügerischen OAuth-Apps verfügten laut Proofpoint über „weitreichende delegierte Berechtigungen“, darunter das Lesen von E-Mails, das Ändern von Postfacheinstellungen und der Zugriff auf Dateien und andere Daten, die mit dem Konto des Benutzers verknüpft sind.

Es stellte auch fest, dass im Gegensatz zu einer früheren Kampagne, bei der bereits verifizierte Microsoft-Herausgeber kompromittiert wurden, um OAuth-App-Funktionen auszunutzen, die jüngsten Angriffe darauf abzielen, sich als vertrauenswürdige Herausgeber auszugeben, um verifizierte und bösartige Anwendungen zu verbreiten.

Drei der oben genannten Apps hießen „Single Sign-on (SSO)“, wobei das dritte Programm versuchte, als Videokonferenzsoftware durchzugehen, indem es den Begriff „Meeting“ verwendete.

Dieselben Unternehmen wurden von allen drei Apps angegriffen, die von drei verschiedenen Herausgebern erstellt wurden und dieselbe Infrastruktur unter der Kontrolle des Angreifers nutzten.
Unternehmen können nach Angaben des Unternehmenssicherheitsanbieters von gehackten Benutzerkonten, Datenexfiltration, Markenverletzungen durch betrügerische Unternehmen, BEC-Betrug (Business Email Compromise) und Mailbox-Missbrauch betroffen sein.

Am 27. Dezember 2022, eine Woche nachdem Proofpoint Microsoft über den Angriff vom 20. Dezember informiert und die Apps blockiert wurden, soll die Kampagne beendet sein.

Die Ergebnisse zeigen, wie ausgeklügelt der Angriff durchgeführt wurde, wie die Sicherheitsmaßnahmen von Microsoft umgangen und wie das Vertrauen der Benutzer in Unternehmensanbieter und Dienstanbieter missbraucht wurde.

Falsche OAuth-Apps wurden bereits verwendet, um Microsofts Cloud-Dienste anzugreifen. Proofpoint beschrieb im Januar 2022 eine zusätzliche Bedrohungsaktivität namens OiVaVoii, die sich an Führungskräfte richtete, um Macht zu erlangen.
Dann, im September 2022, gab Microsoft bekannt, dass es einen Angriff gestoppt hatte, bei dem betrügerische OAuth-Anwendungen verwendet wurden, die auf infizierten Cloud-Mandanten installiert waren, um schließlich Exchange-Server zu übernehmen und Spam zu versenden.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

de_DE_formalDeutsch (Sie)