Gefälschte OAuth-Apps eröffnen Angreifern neue Wege, um Microsoft-Konten zu kapern.
janews – Shutterstock.com
Bedrohungsakteure haben einen neuen, smarten Weg aufgetan, Microsoft-365-Konten zu kompromittieren. Wie Proofpoint herausgefunden hat, erstellen sie dazu zunehmend gefälschte OAuth-Anwendungen, die vertrauenswürdige Manufacturers wie SharePoint und DocuSign imitieren. Die “Originale” dieser Apps nutzen die Id-Plattform von Microsoft (Azure AD / Entra ID), um auf Daten aus Microsoft 365, OneDrive, Outlook, Groups oder SharePoint zuzugreifen. Das Ziel besteht darin, die Benutzer dazu zu verleiten, die Zugriffsanfragen der Pretend-Apps anzunehmen – und damit ihre Kontodaten zu kompromittieren.
“Wir haben ein ganzes Cluster von Aktivitäten identifiziert, bei denen Angreifer gefälschte Microsoft OAuth-Apps und Weiterleitungen auf bösartige URLs erstellen, um Anmeldedaten zu erlangen”, erklärt Proofpoint in einem Blogbeitrag.
So funktioniert der MFA-Bypass für M365
Laut Proofpoint verwenden die gefälschten Apps dabei überzeugend gestaltete Logos und Berechtigungsaufforderungen. Bestätigt ein Benutzer eine so fingierte Anfrage, wird er über Captcha auf eine gefälschte Microsoft-Anmeldeseite weitergeleitet. Dieser Schritt dient laut Proofpoint als Anti-Bot-Maßnahme. Sie soll verhindern, dass automatisierte Scanner den Angriff erkennen können. Im Hintergrund erfassen allerdings Phishing-Kits wie Tycoon oder ODx sowohl Login-Daten als auch Sitzungs-Token. Das ermöglicht den Angreifern, die Multi-Faktor-Authentifizierung zu umgehen und sich dauerhaften Zugriff auf Microsoft-365-Konten zu verschaffen. “Den könnten die Angreifer dazu nutzen, Informationen zu sammeln, sich lateral durch Netzwerke zu bewegen, Malware zu installieren oder über kompromittierte Accounts zusätzliche Phishing-Angriffe anzustoßen”, schreiben die Safety-Experten.
