Sicherheitsforscher haben entdeckte eine Phishing-Kampagne, die Benutzer dazu verleitete, Berechtigungen für böswillige zu autorisieren OAuth-Anwendungen. Microsoft hat mehrere betrügerische Microsoft Partner Network (MPN)-Konten deaktiviert, die in die Cloud-Umgebungen von Organisationen eingedrungen sind.
Microsoft erklärte in einem Sicherheitshinweis, dass die Sicherheitsfirma Proofpoint die Kampagne Anfang Dezember entdeckte. Die Angreifer gaben sich zunächst als legitime Organisationen aus, während sie dem Cloud Partner Program (MCPP) von Microsoft beitraten. Nach der Registrierung missbrauchte Microsoft die gefälschten Partnerkonten, um einen verifizierten Herausgeber zu den in Azure Active Directory (Azure AD) erstellten OAuth-Registrierungen hinzuzufügen.
Laut Microsoft haben diese Phishing-Angriffe Zielopfer dazu verleitet, Dritten Berechtigungen zu erteilen-Party-Schädliche Anwendungen, wie Dateizugriff und E-Mail-Leseberechtigungen. Diese Berechtigungen könnten Hackern den Zugriff auf E-Mails, Kontakte, Dateien, Postfacheinstellungen und andere vertrauliche Informationen ermöglichen.
„Die potenziellen Auswirkungen auf Organisationen umfassen kompromittierte Benutzerkonten, Datenexfiltration, Markenmissbrauch von imitierten Organisationen, Business Email Compromise (BEC)-Betrug und Mailbox Missbrauch“, erklärten die Proofpoint-Forscher. „Der Angriff wurde mit geringerer Wahrscheinlichkeit entdeckt als herkömmliche gezielte Phishing-oder Brute-Force-Angriffe. Organisationen haben in der Regel schwächere Tiefenverteidigungskontrollen gegen Bedrohungsakteure, die verifizierte OAuth-Apps verwenden.“
App-Infodetails für eine bösartige App
Microsoft räumte ein, dass die Consent-Phishing-Kampagne auf ausgewählte Unternehmenskunden in Irland und Großbritannien abzielte. Als Reaktion darauf deaktivierte das Unternehmen die schädlichen Anwendungen und benachrichtigte betroffene Organisationen.
Microsoft ergreift Maßnahmen, um Consent-Phishing-Angriffe zu blockieren
Darüber hinaus hat Microsoft mehrere Schritte unternommen, um das Risiko ähnlicher Angriffe zu verringern Zustimmung zu Phishing-Angriffen in der Zukunft. Microsoft wies außerdem darauf hin, dass seine Digital Crimes Unit daran arbeitet, zusätzliche Sicherheitsmaßnahmen zum Schutz der Kunden festzulegen.
Sicherheitsforscher von Proofpoint machten Vorschläge, um Administratoren beim Schutz ihrer Organisationen zu unterstützen. IT-Teams wird empfohlen, bösartige OAuth-Apps mit Cloud-Sicherheitslösungen automatisch zu erkennen und zu blockieren. Darüber hinaus wird dringend empfohlen, Endbenutzer daran zu hindern, Apps von bestätigten Herausgebern zuzustimmen.