Das Redmonder Unternehmen hat auf eine besonders hinterhältige Phishing-Kampagne hingewiesen, die sich in erster Linie gegen Regierungsorganisationen richtet und der öffentliche Sektor. Angreifer wollen eine Schwachstelle nicht ausnutzen. Sie kapern eine Standardfunktion und legitimes Autorisierungsprotokoll, das Fehlermeldungen in Autobahnen zu ihren eigenen bösartigen Infrastrukturen umwandelt.
Wie genau funktioniert dieser Angriff?
Hacker erstellen zunächst eine Schadanwendung in einer von ihnen kontrollierten Umgebung. Anschließend verbreiten sie mit Sprengfallen versehene Links, die eine Authentifizierungsanfrage über OAuth auslösen (ein offener Standard für die Autorisierung, der es Drittanbietern ermöglicht, auf Ihre Informationen zuzugreifen, ohne Ihr Passwort zu kennen). Außer, dass sie absichtlich ungültige Parameter verwenden.
Diese Aktion erzwingt bewusst die Generierung eines Fehlers. Und hier schließt sich die Falle. Im Normalbetrieb leitet das Protokoll den Benutzer im Fehlerfall zu einer von der Anwendung vordefinierten URL weiter. Eine URL, die natürlich vom Angreifer kontrolliert wird. Es sind keine Codezeilen unterbrochenwird nur das Vertrauen in den Prozess gebrochen, und das alles auf völlig transparente Weise für das Opfer.
Was ist das eigentliche Ziel der Piraten hinter dieser Entführung?
Ist der fatale Klick einmal gemacht, ergeben sich zwei Szenarien. Die Umleitung kann den Benutzer zu fortschrittlichen Phishing-Plattformen wie dem berüchtigten EvilProxy führen. Diese Kits fungieren als „Man in the Middle“ (MFA), um Sitzungsanmeldeinformationen und Cookies abzufangen und so die Multi-Faktor-Authentifizierung (MFA) zu umgehen.
In anderen Fällen ist der Zweck sogar noch direkter: die Bereitstellung von Schadsoftware. Die Schadseite startet den automatischen Download eines ZIP-Archivs. Darin befindet sich eine einfache Verknüpfungsdatei (LNK), die beim Öffnen PowerShell-Skripte ausführt, eine Systemerkennung durchführt und eine seitlich ladende DLL-Technik verwendet (das Laden einer bösartigen dynamischen Linkbibliothek durch ein legitimes Programm), um den Computer zu kompromittieren und eine Verbindung mit einem Befehls- und Kontrollserver (C2) herzustellen.
Welche Schutzmaßnahmen werden empfohlen?
Angesichts dieser Bedrohung, die sich an etablierten Regeln orientiert, kann die Antwort nicht in einem einfachen Patch bestehen. Microsoft besteht auf der Notwendigkeit einer strengen Regierungsführung OAuth-Anwendungen. Dazu gehört die Einschränkung der Benutzereinwilligung, die Anforderung einer administrativen Validierung für neue Anwendungen und regelmäßige Prüfungen, um unnötige oder verdächtige Berechtigungen zu widerrufen. Auch die Analyse von Verbindungsprotokollen, um Weiterleitungen zu unbekannten Domänen zu erkennen, ist von entscheidender Bedeutung.
Es steht viel auf dem Spiel, denn dieser Ansatz zeigt, in welchem Ausmaß Phishing betrieben wird Moderne entwickelt sich. Anstatt die Stärke von Passwörtern anzugreifen, nehmen Cyberkriminelle nun vertrauenswürdige Beziehungen ins Visier den Authentifizierungsprotokollen selbst eigen sind. Der Einsatz von Richtlinien für bedingten Zugriff und erweiterten Erkennungs- und Reaktionslösungen (XDR) wird daher zu einer absoluten Notwendigkeit, um schwache Signale zwischen E-Mail, Identität und dem Gerät zu korrelieren.
Häufig gestellte Fragen (FAQ)
Handelt es sich hierbei um eine Sicherheitslücke im OAuth-Protokoll?
Nein, und das ist das ganze Problem. Der Angriff nutzt keine technischen Schwachstellen aus, sondern missbraucht Standardverhalten und dokumentiertes Protokoll, insbesondere Fehlerbehandlung durch Umleitung. Dies ist eine Manipulation der Logik, kein Fehler.
Wer sind die Hauptziele dieser Angriffe?
Berichten zufolge richten sich die beobachteten Kampagnen vor allem gegen Regierungsorganisationen und öffentliche Einrichtungen. Da die Technik jedoch generisch ist, kann sie problemlos an jede Art von Unternehmen oder Einzelperson angepasst werden.
