Wachsende Gefahr durch OAuth-Attacken

Mit den bereits vor einigen Jahren eingeführten Applikationen auf Basis von Open Authorization (OAuth) konnten die großen Cloud-Plattformen wie Microsoft 365 und Google Workspace ihren Funktionsumfang vergrößern und gleichzeitig ihre Benutzeroberflächen verbessern. Allerdings begründen diese Apps auch einen neuen Bedrohungsvektor, da Cyberkriminelle verstärkt gefährliche OAuth 2.0-Anwendungen (bzw. Cloud-Malware) einsetzen, um Daten zu stehlen und auf sensible Informationen zuzugreifen.

Allein im Jahr 2020 entdeckte der US-amerikanische Cybersicherheits-Experte Proofpoint mehr als 180 dieser gefährlichen Anwendungen. Über 55 Prozent der Kunden des Unternehmens waren davon betroffen und die Erfolgsquote der Angriffe lag bei 22 Prozent – ein äußerst bedenklicher Wert in Zeiten wachsender Cyberrisiken.

Im Zuge seiner Untersuchungen konnte Proofpoint eine Vielzahl von Attacken mittels OAuth-Token-Phishing bzw. dem Missbrauch von OAuth-Apps beobachten. Diese Form von Cyberattacke ist für Angreifer geradezu ideal, um sich Zugang zu einem Unternehmen zu verschaffen, Angriffe auf Mitarbeiter zu initiieren und Dateien sowie E-Mails von Cloud-Plattformen zu stehlen.

App-Angriffe mittels OAuth zielen oft auf die Konten des höheren Managements, von Account Managern, Personalverantwortlichen und auf die Finanzabteilung ab – also auf genau die Art von Benutzern, die Zugriff auf hochsensible Daten haben. Ist ein Angriff erst einmal erfolgreich, haben die Cyberkriminellen dauerhaften Zugriff auf E-Mails, Dateien, Kontakte, Notizen, Microsoft Teams-Chats und vieles mehr. In einigen Fällen leiten sie die Benutzer auch auf eine Phishing-Seite um, nachdem diese der Nutzung der Anwendung zugestimmt haben.

Im vergangenen Jahr nutzten Cyberkriminelle eine Vielzahl von Techniken für ihre OAuth-Attacken wie die Imitierung von Anwendungen (durch Homoglyphen und gefälschte Logos bzw. Domains). Es kamen zudem unterschiedliche Köder zum Einsatz, so z.B. COVID-19, eine vorgebliche Mail-Quarantäne und Office-Reviews von Kollegen. Die ausgeklügelten Angriffe stützten sich dabei zuweilen sogar auf Microsofts eigene Plattform, um Einladungen zur Zustimmungsseite für gefährliche Anwendungen zu generieren.

Microsoft erkannte Ende 2020, dass die Authentifizierung von App-Herausgebern eine wichtige Rolle bei der Eindämmung der Bedrohung durch bösartige OAuth-Apps spielen kann. Daher wurde der Verifizierungsmechanismus für Herausgeber geschaffen, um Endbenutzern einen Glaubwürdigkeitsfaktor für den Herausgeber der Anwendung zu bieten. Dieser Prozess bindet den Publisher an einen Verifizierungsprozess, bei dem:

Der Publisher muss ein gültiges Microsoft Partner Network-Mitglied sein.

Das Konto des Publishers muss Teil eines verifizierten Tenants sein (einschließlich der aufgeführten Publisher-Domäne).

Der Publisher muss den Nutzungsbedingungen der „Microsoft Identity Platform für Entwickler“ zustimmen.

Microsoft prüft auch die Rechnungen und Aktivitäten des Mandanten. Der gesamte Verifizierungsprozess ist aus Sicht des Angreifers eine komplizierte und undankbare Prozedur.

Neben der Platzierung eines Verifizierungsabzeichens auf dem Zustimmungsbildschirm für eine Anwendung von einem verifizierten Herausgeber fügte Microsoft auch eine Richtlinie hinzu, die es Administratoren ermöglicht, Benutzer von der Zustimmung zu einer Anwendung von einem nicht verifizierten Herausgeber auszuschließen. Darüber hinaus werden Anwendungen, die nach dem 8. November 2020 veröffentlicht werden, mit einer Warnung auf dem Zustimmungsbildschirm gekoppelt, falls der Herausgeber nicht verifiziert ist.