OAuth hat sich zu einem wichtigen Standard für die Zugriffsdelegation in Anwendungen entwickelt. Die zunehmenden Vorfälle mit bösartigen OAuth-Apps, insbesondere auf Plattformen wie Office 365, zeigen jedoch eine erhebliche Schwachstelle auf. Diese Schwachstelle besteht selbst bei vorhandenen Maßnahmen zur Multi-Faktor-Authentifizierung (MFA).
Die Grenzen von MFA in OAuth Cyber Security
Die Multi-Faktor-Authentifizierung (MFA) ist zwar ein wichtiger Schritt zur Sicherung von Online-Konten, aber sie ist nicht unfehlbar. Cyber-Angreifer entwickeln ständig Methoden, um diese Sicherheitsmaßnahmen zu umgehen, und eine dieser Methoden beinhaltet die Verwendung bösartiger Azure/O365 OAuth-Apps. Die jüngsten ausgeklügelten Angriffe auf Regierungs- und Unternehmenseinrichtungen, über die der australische Premierminister berichtete, machen diese sich entwickelnde Bedrohungslandschaft deutlich.
Fallstudie: Bösartige Office 365 OAuth App
Die Multi-Faktor-Authentifizierung (MFA) ist ein großartiger Schritt, aber es gibt immer Wege, um präventive Kontrollen zu umgehen. Eine der bekannten MFA-Umgehungstechniken ist die Installation bösartiger Azure/O365 OAuth-Apps. Die jüngsten Angriffe auf Regierungen und Unternehmen, über die der australische Premierminister berichtete, sind eine eindringliche Mahnung, falls es noch Zweifel gab. Die staatlich unterstützten Akteure, die für die Angriffe verantwortlich waren, nutzten OAuth, eine Standardtechnik, die für die Zugriffsdelegation in Apps verwendet wird, um unbefugten Zugriff auf cloud -Konten wie Microsoft Office 365 zu erhalten.
Den Berichten zufolge haben die Angreifer eine bösartige Office-365-Anwendung erstellt, die als Teil eines Spear-Phishing-Links an die Zielnutzer gesendet wurde. In diesem Fall wurde die Anwendung ähnlich benannt wie eine bekannte E-Mail-Filterlösung, die in der australischen Regierung weit verbreitet ist. Nach Erhalt der bösartigen App wird das Opfer dazu gebracht, den Zugriff auf die Daten im Benutzerkonto zu gestatten. Dazu gehören insbesondere der Offline-Zugriff, Benutzerprofilinformationen und die Möglichkeit, E-Mails zu lesen, zu verschieben und zu löschen.
Bei Erfolg hätte der Angreifer direkten Zugriff auf ein internes Office 365-Konto. Eine perfekte Plattform, um andere interne Ziele zu phishen oder bösartige Aktionen innerhalb von Office 365 in Bezug auf SharePoint, OneDrive, Exchange und Teams durchzuführen.
Die Heimlichkeit bösartiger OAuth-Apps
Diese Arten von Angriffen sind besonders heimtückisch, da sie keinen bösartigen Code auf endpoint ausführen und somit der Erkennung durch herkömmliche endpoint Sicherheitssoftware entgehen. Darüber hinaus kann eine rechtmäßig erstellte Office 365 OAuth-Anwendung Angreifern dauerhaften Zugriff auf Benutzerkonten bieten, der von Passwortänderungen oder MFA-Protokollen unberührt bleibt.
Zukunftsaussichten und Präventivmaßnahmen
Es wird erwartet, dass die Zahl der böswilligen OAuth-App-Angriffe zunehmen wird, insbesondere da Office 365 Endnutzern erlaubt, Apps ohne administrative Genehmigung zu installieren. Eine robuste Cybersicherheitsstrategie muss auf Erkennung basierende Lösungen umfassen, die in der Lage sind, verdächtige Aktivitäten wie ungewöhnliche Anmeldeversuche, nicht autorisierte App-Installationen und den Missbrauch nativer Office 365-Funktionen zu identifizieren und darauf zu reagieren.
Vectra CDR für Office 365 - eine Lösung
Um diese hochentwickelten Bedrohungen zu bekämpfen, bietet Vectra Cloud Detection and Response for Office 365 eine spezielle Lösung. Sie konzentriert sich auf die Analyse und Korrelation von Ereignissen, die auf potenzielle Sicherheitsverletzungen hindeuten, und ermöglicht es Sicherheitsteams, proaktiv zu reagieren. Ausführlichere Informationen finden Sie in unserem Datenblatt oder Sie können die Lösung in einer Testversion selbst ausprobieren.