Hackers maken misbruik van Microsofts verificatievinkje

Voorbeeld autorisatieverzoek van een besmette applicatie

Aanvallen gericht op Britse bedrijven 

Proofpoint identificeerde drie schadelijke applicaties gemaakt door drie verschillende uitgevers. Deze verschillende aanvallen waren gericht op dezelfde bedrijven en werden in verband gebracht met dezelfde methoden. Meerdere werknemers bleken de geïnfecteerde apps te autoriseren, waardoor hun bedrijfsomgevingen werden aangetast. 

Volgens het onderzoek van Proofpoint leek de cyberaanval zich voornamelijk te richten op bedrijven en werknemers in het Verenigd Koninkrijk. Onder de getroffen werknemers bevonden zich financieel en marketingpersoneel, evenals hoger management. Proofpoint nam deze aanval aanvankelijk waar vanaf 6 december 2022.  

Onderzoekers van Proofpoint blijven de aanvallen en de bijbehorende werkwijze volgen. Proofpoint heeft Microsoft op 20 december 2022 op de hoogte gesteld van deze aanval. De aanval eindigde op 27 december 2022. Microsoft heeft sindsdien de schadelijke apps uitgeschakeld terwijl het onderzoek naar deze aanval wordt voortgezet. Momenteel kunnen werknemers de besmette apps niet autoriseren en kunnen eerder geautoriseerde apps alleen toegang blijven krijgen tot data zolang de vervaltijd van het laatste toegangstoken niet is verstreken (meestal tussen 60 - 90 minuten). Onlangs heeft Microsoft zijn processen voor het goedkeuren van partners en documentatie over OAuth-applicaties "consent phishing" bijgewerkt om toekomstige aanvallen te voorkomen. 

De gevolgen van infiltratie   

Wanneer werknemers toegang verlenen aan een geïnfecteerde applicatie, wordt de machtiging overgedragen aan de cybercriminelen. Hierdoor kunnen zij mailboxen, agenda's en uitnodigingen voor vergaderingen die aan de accounts van overgenomen werknemers zijn gekoppeld, openen en wijzigen. Aangezien de machtigingen ook "offline toegang" bieden, is er geen interactie van de gebruiker nodig na de machtiging. Het verleende token (refresh token) heeft een lange geldigheidsduur, in de meeste gevallen meer dan een jaar. Dit gaf de cybercriminelen toegang tot data van de geïnfecteerde account en de mogelijkheid om de geïnfecteerde Microsoft-account te gebruiken bij latere BEC- of andere aanvallen. 

Behalve dat werknemersaccounts worden overgenomen, kunnen bedrijven ook te maken krijgen met merkmisbruik. Deze bedrijven kunnen moeilijk vaststellen dat hun merk bij deze aanvallen wordt misbruikt. Er is namelijk geen vereiste interactie tussen het bedrijf dat wordt nagebootst en de betreffende uitgever. 

Proofpoint onderzoekers leggen uit hoe bedrijven zich tegen deze aanvallen kunnen beschermen:   

"Het is belangrijk om voorzichtig te zijn met het verlenen van toegang aan externe OAuth-applicatie, zelfs als ze door Microsoft zijn geverifieerd. Vertrouw OAuth-applicaties niet alleen op basis van hun geverifieerde uitgeversstatus. Door de verfijning van dergelijke aanvallen is de kans groot dat werknemers ten prooi vallen aan social engineering-methoden. Bedrijven moeten de risico's en voordelen van het verlenen van toegang aan externe apps zorgvuldig beoordelen. Microsoft raadt beveiligingsteams aan best practices te volgen om OAuth-applicatie "consent phishing" te voorkomen. Bovendien moeten bedrijven het verlenen van toestemming aan werknemers beperken tot apps met geverifieerde uitgevers en laag-risico machtigingen."   

Conclusie 

Bedrijven moeten proactieve maatregelen nemen om hun cloud te beschermen. De eerste stap is ervoor te zorgen dat schadelijke externe OAuth-applicaties worden opgespoord waarbij methoden worden gebruikt om anderen na te bootsen; en ten tweede om het cybersecurityteam op tijd te waarschuwen om risico's te stoppen en te herstellen.  

Geautomatiseerde herstelmaatregelen, zoals het intrekken van kwaadaardige OAuth-applicaties uit een cloudomgeving, kunnen de toegang van cybercriminelen aanzienlijk verkorten en de meeste risico's na toegang voorkomen. 

Het volledige onderzoek is hier te vinden.