Mit den bereits vor einigen Jahren eingeführten Applikationen auf Basis von Open Authorization (OAuth) konnten die großen Cloud-Plattformen wie Microsoft 365 und Google Workspace ihren Funktionsumfang vergrößern und gleichzeitig ihre Benutzeroberflächen verbessern.
Allerdings begründen diese Apps auch einen neuen Bedrohungsvektor, da Cyberkriminelle verstärkt gefährliche OAuth 2.0-Anwendungen (bzw. Cloud-Malware) einsetzen, um Daten zu stehlen und auf sensible Informationen zuzugreifen.
Allein im Jahr 2020 entdeckten wir mehr als 180 dieser gefährlichen Anwendungen. Über 55 Prozent der untersuchten Unternehmen waren davon betroffen und die Erfolgsquote der Angriffe lag bei 22 Prozent.
Im Zuge unserer Untersuchungen beobachteten wir eine Vielzahl von Attacken mittels OAuth-Token-Phishing bzw. dem Missbrauch von OAuth-Apps. Diese Form von Cyberattacke ist für Angreifer geradezu ideal, um sich Zugang zu einem Unternehmen zu verschaffen, Angriffe auf Mitarbeiter zu initiieren und Dateien sowie E-Mails von Cloud-Plattformen zu stehlen.
App-Angriffe mittels OAuth zielen oft auf die Konten des höheren Managements, von Account Managern, Personalverantwortlichen und auf die Finanzabteilung ab – also auf genau die Art von Benutzern, die Zugriff auf hochsensible Daten haben. Ist ein Angriff erst einmal erfolgreich, haben die Cyberkriminellen dauerhaften Zugriff auf E-Mails, Dateien, Kontakte, Notizen, Microsoft Teams-Chats und vieles mehr. In einigen Fällen leiten sie die Benutzer auch auf eine Phishing-Seite um, nachdem diese der Nutzung der Anwendung zugestimmt haben.
Gefährliche OAuth-Apps
Im vergangenen Jahr nutzten Cyberkriminelle eine Vielzahl von Techniken für ihre OAuth-Attacken wie die Imitierung von Anwendungen (durch Homoglyphen und gefälschte Logos bzw. Domains). Es kamen zudem unterschiedliche Köder zum Einsatz, so z.B. COVID-19, eine vorgebliche Mail-Quarantäne und Office-Reviews von Kollegen. Die ausgeklügelten Angriffe stützten sich dabei zuweilen sogar auf Microsofts eigene Plattform, um Einladungen zur Zustimmungsseite für gefährliche Anwendungen zu generieren.
Weitere Details zur wachsenden Gefahr durch OAuth-Angriffe finden Sie in der vollständigen englischen Version dieses Blogposts.