Sicherheitsforscher bei Microsoft führen Phishing-Kampagnen durch, reported die OAuth-Umleitungsmechanismen ausnutzen, um Malware zu liefern und Opfer auf von Angreifern kontrollierte Infrastruktur umzuleiten. Die Aktivität zeigt, wie Bedrohungsakteure legitime Authentifizierungsprozesse ausnutzen können, um gängige E-Mail- und Browsersicherheitsmaßnahmen zu umgehen.
OAuth ist ein offener Autorisierungsstandard, der von Online-Diensten weit verbreitet genutzt wird, um Nutzern die Anmeldung und den Zugriff auf ihre Konten zu gewähren, ohne Passwörter teilen zu müssen. Das Protokoll ermöglicht es Identitätsanbietern, Token auszugeben, die es Drittanbietern ermöglichen, im Namen eines Nutzers auf bestimmte Ressourcen zuzugreifen. Da der Prozess auf vertrauenswürdigen Authentifizierungsflüssen und der Weiterleitung zwischen Diensten basiert, wird er häufig in Unternehmens- und Cloud-Umgebungen verwendet.
Laut Microsofts Analyse nutzen Angreifer das Fehlerverhalten in OAuth-Autorisierungsflüssen aus. Durch den Missbrauch dieser legitimen Umleitungsmechanismen können bösartige Anwendungen Nutzer von vertrauenswürdigen Identitätsanbietern auf von Angreifern kontrollierte Seiten umleiten. Die Technik ermöglicht es, dass Phishing-Seiten oder Malware-Hosting-Infrastrukturen als Teil eines normalen Anmelde- oder Authentifizierungsprozesses erscheinen.
Forscher sagten, die Kampagnen beginnen typischerweise mit Phishing-E-Mails, die die Empfänger dazu ermutigen, auf Links zu klicken, die mit Aktivitäten am Arbeitsplatz zu tun haben. Beispiele für diese Lockmittel sind Einladungen zum Einsehen von Dokumenten, Aufzeichnungen von Meetings, Anfragen für elektronische Unterschriften oder Nachrichten, die offenbar von Kollaborationsplattformen stammen. Wenn Opfer auf den Link klicken, werden sie durch legitime Authentifizierungs-Endpunkte geleitet, bevor sie zu bösartigen Zielen weitergeleitet werden.
In manchen Fällen führt die Weiterleitungskette letztlich zur Bereitstellung von Schadsoftware. Microsoft beobachtete Angriffe, die ZIP-Archive mit Windows-Shortcut-Dateien verteilten, die PowerShell-Befehle beim Öffnen ausführen. Die Befehle führen Aufklärung auf dem infizierten System durch, sammeln Informationen über die Umgebung und setzen dann weitere schädliche Komponenten ein. Die Nutzlasten können Installer enthalten, die Täuschungsdokumente abwerfen, um den Angriff zu tarnen, während bösartige Dateien durch DLL-Seitenladetechniken geladen werden.
Andere Kampagnen nutzen dieselbe Umleitungs-Missbrauchstechnik, um Opfer zu einem Gegner mitten in Phishing-Systemen zu lenken. Diese Systeme fangen Zugangsdaten und Authentifizierungscookies ab, sodass Angreifer Zugang zu Online-Konten erhalten, selbst wenn Multi-Faktor-Authentifizierung verwendet wird.
Microsoft stellte fest, dass Angreifer auch Parameter manipulieren, die in OAuth-Authentifizierungsanfragen verwendet werden. In einigen Fällen kodieren Bedrohungsakteure die E-Mail-Adresse des Ziels in einem Anfrageparameter, der darauf ausgelegt ist, Authentifizierungsantworten zu korrelieren. Wenn Opfer auf die Phishing-Seite weitergeleitet werden, wird die E-Mail-Adresse automatisch angezeigt, was die Glaubwürdigkeit des Anmeldeprompts erhöhen kann.
Das Unternehmen erklärte, die Kampagnen zeigen, wie Angreifer ihre Taktiken ändern, während Organisationen ihre Verteidigung gegen Diebstahl von Zugangsdaten und das Umgehen der Multi-Faktor-Authentifizierung stärken. Anstatt Passwörter direkt zu stehlen, zielen Gegner zunehmend auf Vertrauensbeziehungen und Protokollverhalten innerhalb weit verbreiteter Identitätssysteme ab.
Microsoft empfiehlt, dass Organisationen die Aktivitäten von OAuth-Anwendungen überwachen, Umleitungskonfigurationen überprüfen und riskante oder unbekannte Anwendungen einschränken. Sicherheitsteams werden außerdem geraten, ungewöhnliche Authentifizierungsflüsse zu überwachen und Nutzer über verdächtige Verbindungen aufzuklären, die scheinbar von legitimen Diensten stammen.
Die Ergebnisse verdeutlichen die Herausforderungen bei der Verteidigung gegen Angriffe, die auf vertrauenswürdiger Infrastruktur und standardkonformem Verhalten angewiesen sind. Da die bösartige Aktivität innerhalb legitimer Authentifizierungsflüsse stattfindet, kann sie sich in den normalen Unternehmensverkehr einfügen und traditionelle Phishing-Erkennungstools umgehen.