Quelle: Pixabay
Bösartige OAuth-Apps vergiften Exchange Online
Per Credential Stuffing dringen Angreifer in Exchange-Online-Systeme ein und installieren dann manipulierte OAuth-Apps zwecks Spam-Versand.
27. September 2022
Microsoft beschreibt in einem Blogpost detailliert, wie Angreifer sich mithilfe von manipulierten OAuth-Apps in Exchange-Online-Systeme einnisten, zum Beispiel um dann Spam zu verschicken. Für den ersten Zugriff nutzen die Cyberkriminellen sogenanntes Credential Stuffing, also bei früheren Datenlecks erlangte oder im Darknet gekaufte Passwörter. Dies, so Microsoft, sei vor allem bei hochriskanten Konten erfolgreich – also bei solchen, die nicht per Mehrfaktor-Authentifizierung zusätzlich abgesichert sind.
Danach konnten die Angreifer eine schädliche OAuth-App erstellen, die einen bösartigen Inbound Connector in den E-Mail-Server einschleust. Dieser wird sodann genutzt, um Spam-Mails zu senden, die vorgeblich von der Domain des angezielten Accounts stammen. Im konkreten Beispiel, das Microsoft analysiert hat, handelte es sich dabei um betrügerische Gewinnspiele, die eine Abofalle enthielten.
Microsoft verfolgt den Missbrauch von OAuth-Apps schon länger. Zuerst wurde die Methode primär für Consent Phishing genutzt: Angreifer bringen Mail-User dazu, den manipulierten OAuth-Apps Berechtigungen zum Zugriff auf ihre übrigen Cloud Services zu erteilen. In letzter Zeit beobachte man hingegen immer mehr Angreifer, darunter staatliche Stellen, die OAuth-Apps für unterschiedliche Zwecke missbrauchen, von Command-and-Control über Kommunikation bis zu Backdoors, Phishing, Redirections und mehr. (ubi)
Danach konnten die Angreifer eine schädliche OAuth-App erstellen, die einen bösartigen Inbound Connector in den E-Mail-Server einschleust. Dieser wird sodann genutzt, um Spam-Mails zu senden, die vorgeblich von der Domain des angezielten Accounts stammen. Im konkreten Beispiel, das Microsoft analysiert hat, handelte es sich dabei um betrügerische Gewinnspiele, die eine Abofalle enthielten.
Microsoft verfolgt den Missbrauch von OAuth-Apps schon länger. Zuerst wurde die Methode primär für Consent Phishing genutzt: Angreifer bringen Mail-User dazu, den manipulierten OAuth-Apps Berechtigungen zum Zugriff auf ihre übrigen Cloud Services zu erteilen. In letzter Zeit beobachte man hingegen immer mehr Angreifer, darunter staatliche Stellen, die OAuth-Apps für unterschiedliche Zwecke missbrauchen, von Command-and-Control über Kommunikation bis zu Backdoors, Phishing, Redirections und mehr. (ubi)
Weitere Artikel zum Thema
Microsoft-Patchday behebt Zero-Day-Lecks
14. September 2022 - Zwei Zero-Day- und zwei kritische Schwachstellen gehören mit dem September-Patchday von Microsoft der Vergangenheit an.Microsoft patcht Authentifizierungsprobleme
20. Mai 2022 - Nachdem das Einspielen der Mai-Updates auf Windows-Domain-Controllern zu Problemen beim Anmelden führte, hat Microsoft für die verschiedenen Versionen von Windows Server jetzt Updates veröffentlicht.Microsoft schaltet Basic-Auth-Verfahren bei Exchange Online im Oktober ab
5. Mai 2022 - Weil das Basic-Authentication-Verfahren zur Anmeldung bei Exchange Online als unsicher gilt, hat sich Microsoft dazu entschlossen, diese Login-Variante per 1. Otkober 2022 abzuschalten.Artikel kommentieren
