Angreifer nutzen reguläre OAuth-Mechanismen fürs Phishing
Kriminelle missbrauchen derzeit den eigentlich legitimen OAuth-Weiterleitungsmechanismus, um Phishing-Schutzmechanismen in E-Mail-Programmen und Browsern zu umgehen. Sicherheitsexperten sind alarmiert.
OAuth-Anwendungen werden bei einem Identitätsanbieter wie Microsoft Entra ID registriert und verwenden das OAuth-2.0-Protokoll, um Zugriff auf Nutzerdaten zu erhalten. Die Angreifer legen dabei in einer von ihnen kontrollierten Umgebung eigene Anwendungen an und hinterlegen als Weiterleitungsziel eine von ihnen betriebene Infrastruktur.
Obwohl die verwendeten Entra-ID-Links auf den ersten Blick wie legitime Autorisierungsanfragen erscheinen, enthalten sie manipulierte Parameter. So wird etwa eine stille Authentifizierung ohne interaktive Anmeldung angestoßen oder ein ungültiger Scope-Wert übermittelt, der gezielt einen Authentifizierungsfehler provoziert. In der Folge leitet der Identitätsdienst die Betroffenen automatisch an die hinterlegte, schädliche Zieladresse weiter.
Beim Öffnen der LNK-Datei startet PowerShell, sammelt Informationen über das kompromittierte System und bereitet das Nachladen weiterer Schadkomponenten vor. Eine schädliche DLL entschlüsselt schließlich die eigentliche Nutzlast im Arbeitsspeicher, während ein legitimes Programm als Ablenkung dient.
Microsoft empfiehlt Organisationen, Berechtigungen für OAuth-Anwendungen strenger zu kontrollieren, starke Identitätsschutz- und Conditional-Access-Richtlinien durchzusetzen sowie E-Mail-, Identitäts- und Endpunktsignale domänenübergreifend auszuwerten. Die beobachteten Angriffe nutzten kein Software-Leck, sondern ein standardkonformes Verhalten des OAuth-Frameworks aus, indem gezielt Fehlerzustände für schadhafte Weiterleitungen provoziert werden.
Siehe auch:
Ziel sind vor allem Behörden
Wie Security-Forscher Microsofts berichten, zielen die Angriffe vor allem auf Behörden und Organisationen des öffentlichen Sektors ab. Im Kern nutzen die Täter manipulierte OAuth-Anwendungen, um Nutzer nach einer scheinbar regulären Anmeldung auf bösartige Webseiten umzuleiten. Die Phishing-Nachrichten tarnen sich als E-Signatur-Anfragen, Mitteilungen zur Sozialversicherung, Besprechungseinladungen, Passwort-Zurücksetzungen oder greifen politische und finanzielle Themen auf. Häufig enthalten sie OAuth-Redirect-URLs, teils versteckt in PDF-Dokumenten, um herkömmliche Erkennungsmechanismen zu umgehen.OAuth-Anwendungen werden bei einem Identitätsanbieter wie Microsoft Entra ID registriert und verwenden das OAuth-2.0-Protokoll, um Zugriff auf Nutzerdaten zu erhalten. Die Angreifer legen dabei in einer von ihnen kontrollierten Umgebung eigene Anwendungen an und hinterlegen als Weiterleitungsziel eine von ihnen betriebene Infrastruktur.
Obwohl die verwendeten Entra-ID-Links auf den ersten Blick wie legitime Autorisierungsanfragen erscheinen, enthalten sie manipulierte Parameter. So wird etwa eine stille Authentifizierung ohne interaktive Anmeldung angestoßen oder ein ungültiger Scope-Wert übermittelt, der gezielt einen Authentifizierungsfehler provoziert. In der Folge leitet der Identitätsdienst die Betroffenen automatisch an die hinterlegte, schädliche Zieladresse weiter.
Komplexe Angriffe
Teilweise landen Opfer auf Phishing-Seiten, die mit Man-in-the-middle-Frameworks wie EvilProxy betrieben werden. Diese können gültige Sitzungs-Cookies abfangen und so sogar eine Mehrfaktor-Authentifizierung aushebeln. In anderen Fällen führt die Umleitung zu einem automatischen Download einer ZIP-Datei mit manipulierten Verknüpfungen (.LNK) und HTML-Smuggling-Komponenten.Beim Öffnen der LNK-Datei startet PowerShell, sammelt Informationen über das kompromittierte System und bereitet das Nachladen weiterer Schadkomponenten vor. Eine schädliche DLL entschlüsselt schließlich die eigentliche Nutzlast im Arbeitsspeicher, während ein legitimes Programm als Ablenkung dient.
Microsoft empfiehlt Organisationen, Berechtigungen für OAuth-Anwendungen strenger zu kontrollieren, starke Identitätsschutz- und Conditional-Access-Richtlinien durchzusetzen sowie E-Mail-, Identitäts- und Endpunktsignale domänenübergreifend auszuwerten. Die beobachteten Angriffe nutzten kein Software-Leck, sondern ein standardkonformes Verhalten des OAuth-Frameworks aus, indem gezielt Fehlerzustände für schadhafte Weiterleitungen provoziert werden.
Zusammenfassung
- Kriminelle missbrauchen legitime OAuth-Mechanismen für Phishing-Angriffe
- Angriffe zielen vor allem auf Behörden und den öffentlichen Sektor ab
- Manipulierte OAuth-Apps leiten Nutzer auf bösartige Webseiten weiter
- Phishing-Mails tarnen sich als E-Signatur-Anfragen oder Einladungen
- EvilProxy-Frameworks können sogar Mehrfaktor-Authentifizierung aushebeln
- Umleitungen führen teils zum Download von ZIP-Dateien mit Schadsoftware
- Microsoft empfiehlt strengere Kontrolle von OAuth-App-Berechtigungen
Siehe auch:
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Internet Security:
Neue Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen