Microsoft beschreibt in einem
Blogpost detailliert, wie Angreifer sich mithilfe von manipulierten OAuth-Apps in Exchange-Online-Systeme einnisten, zum Beispiel um dann Spam zu verschicken. Für den ersten Zugriff nutzen die Cyberkriminellen sogenanntes Credential Stuffing, also bei früheren Datenlecks erlangte oder im Darknet gekaufte Passwörter. Dies, so
Microsoft, sei vor allem bei hochriskanten Konten erfolgreich – also bei solchen, die nicht per Mehrfaktor-Authentifizierung zusätzlich abgesichert sind.
Danach konnten die Angreifer eine schädliche OAuth-App erstellen, die einen bösartigen Inbound Connector in den E-Mail-Server einschleust. Dieser wird sodann genutzt, um Spam-Mails zu senden, die vorgeblich von der Domain des angezielten Accounts stammen. Im konkreten Beispiel, das Microsoft analysiert hat, handelte es sich dabei um betrügerische Gewinnspiele, die eine Abofalle enthielten.
Microsoft verfolgt den Missbrauch von OAuth-Apps schon länger. Zuerst wurde die Methode primär für Consent Phishing genutzt: Angreifer bringen Mail-User dazu, den manipulierten OAuth-Apps Berechtigungen zum Zugriff auf ihre übrigen Cloud Services zu erteilen. In letzter Zeit beobachte man hingegen immer mehr Angreifer, darunter staatliche Stellen, die OAuth-Apps für unterschiedliche Zwecke missbrauchen, von Command-and-Control über Kommunikation bis zu Backdoors, Phishing, Redirections und mehr.
(ubi)