Wachsende Gefahr durch persistente ATO-Angriffe auf Cloud-Konten

Security-Experten warnen vor einer zunehmenden Zahl von Cyberattacken, bei denen sich die Angreifer über manipulierte OAuth-Anwendungen Zugang zu Cloud-Benutzerkonten erschleichen und diese sowie die damit verbundenen IT-Umgebungen dauerhaft kompromittieren, ausspionieren und gefährden.

Durch die Registrierung einer internen OAuth-App bleibt der Zugang selbst bei einer Änderung des Passworts offen... (Foto: Proofpoint)

Experten des Security-Anbieters Proofpoint beobachten seit einiger Zeit einen beunruhigenden Anstieg von Account-Takeover-Angriffen (ATO) auf Cloud-Konten, bei denen sich Cyberkriminelle über manipulierte OAuth-Anwendungen Zugang zu Cloud-Benutzerkonten erschleichen. Durch diese Übernahme können die Angreifer nicht nur die Accounts und damit direkt verbundene Ressourcen wie Postfächer, Kalender, Kontakte sowie Daten und Dateien aus Sharepoint, OneDrive, Teams und anderen Microsoft-365-Ressourcen ausspähen und manipulieren, sondern sie auch dazu nutzen, interne Fremd-Anwendungen mit benutzerdefinierten Berechtigungen zu erstellen und autorisieren. Damit wiederum können die Kriminellen die üblichen Sicherheitsmaßnahmen wie die Änderung des Passworts oder die Implementierung einer Multifaktor-Authentifizierung (MFA) umgehen und sich einen dauerhaften Zugang verschaffen, über den sie verbundene IT-Umgebungen ausspionieren, angreifen, bestehlen und dauerhaft kompromittieren können.

Meist verlaufen die ATO-Attacken auf die Cloud-Konten nach folgendem Muster:

  1. Der initiale Zugriff erfolgt meist über Anmeldedaten und Session-Cookies, die per Phishing oder über Adversary-in-the-Middle-Angriffen gestohlen wurden.
  2. Um sich einen dauerhaften Zugang zu sichern (Persistenz), registrieren die Angreifer zunächst mindestens eine interne (Second-Party) OAuth-App auf dem kompromittierten Mandanten/Tenant. Über diese sichern sie sich entsprechende Berechtigungen für wichtige Funktionen wie Mail.Read und offline_access. Gleichzeitig erhalten sie darüber OAuth-Tokens, etwa für Access, Refresh und ID, sodass ihr Zugang auch bei Gegenmaßnahmen wie einer Passwortänderung offen bleibt.
  3. Damit sie von Standard-Sicherheitskontrollen nicht erkannt wird, tarnt sich die App als legitime Anwendung.

Weitere Details erklärt Proofpoint in einem Blogbeitrag und veranschaulicht sie unter anderem anhand eines eigens entwickelten Tools, das automatisch solche bösartigen internen Anwendungen innerhalb einer kompromittierten Cloud-Umgebung einbindet. Die detaillierte technische Analyse des Tools verdeutlicht, wie schnell und einfach ein entsprechender Angriff in der Praxis funktioniert und welche gravierenden Auswirkungen auf die Unternehmenssicherheit er bedeuten kann. Zudem untermauert Proofpoint die Relevanz seiner Warnung mit einem realen Vorfall. Dieser wurde durch die Telemetrie entdeckt und liefert konkrete Beweise dafür, dass und wie Angreifer solche Schwachstellen aktiv ausnutzen.

...da die bösartige App ihre Rechte und damit den Zugriff auf die Token behält (Foto: Proofpoint)

Sofortmaßnahmen gegen manipulierte OAuth-Apps

Sicherheitsverantwortlichen, die eine mutmaßliche bösartige OAuth-Anwendung oder andere Zeichen für einen derartige ATO-Angriff in der Umgebung ihres Unternehmens entdeckten, empfiehlt der Security-Anbieter folgende unmittelbare Gegenmaßnahmen:

  1. Sofortiger Widerruf aller Client-Geheimnisse. Alle "Client Secrets" müssen sofort ungültig gemacht werden und alle vorhandenen Zertifikate entfernt werden. Dadurch wird der Anwendung unmittelbar die Möglichkeit genommen, neue Token anzufordern.
  2. Sofortiger Widerruf der bestehenden Benutzertoken. Um eine erneute Kompromittierung zu verhindern, müssen direkt im Anschluss alle vorhandenen Benutzertoken widerrufen werden.
  3. Entfernen der Anwendung. Dabei muss unbedingt darauf geachtet werden, die gesamte Anwendungsregistrierung zu löschen und alle zuvor erteilten Berechtigungen zu widerrufen.

Schutz durch Technik und Aufklärung

Darüber hinaus empfehlen die Sicherheitsexperten zwei Arten von Schutzmaßnahmen, um entsprechende Angriffsversuche zu erkennen und das Risiko einer Kompromittierung deutlich zu verringern:
Auf der technischen Seite kann eine kontinuierliche Überwachung der Branchenanwendungen IT-Verantwortlichen beim Aufspüren helfen und im Bedarfsfall mit dem Einsatz automatischer Korrekturmaßnahmen für eine schnelle Abwehr sorgen. Selbst nach einem Angriff kann das helfen, das Risiko weiterer Attacken zu minimieren.
Gerade bei solchen Angriffsarten ist zudem die Belegschaft ein entscheidender Faktor, um die Resilienz zu erhöhen. Mit Schulungen und Trainings können die Mitarbeiter dabei unterstützt werden, potenziell bösartige Anwendungen und Mandanten trotz ihrer Tarnung besser zu erkennen und richtig zu reagieren, indem sie etwa unerwartete Zustimmungsanfragen als verdächtig einstufen und ungewöhnliche Anwendungsberechtigungen umgehend melden.

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden