Missbrauch von OAuth

5. Mai 2025

Von dem Mimecast Threat Research Team

Das Mimecast Threat Research-Team beobachtet weiterhin E-Mails, die URLs enthalten, welche Microsoft OAuth-Parameter manipulieren, um Benutzer auf bösartige Seiten umzuleiten. Die Kampagne hat innerhalb eines Zeitraums von zwei Wochen etwa 4.500 beobachtete Instanzen generiert und zielte in erster Linie auf Immobilien- und Dienstleistungsunternehmen in den USA ab. Dieser methodische Ansatz scheint sich darauf zu konzentrieren, potenziell Geschäftsinformationen zu sammeln und Anmeldedaten zu sammeln. Dabei wird ein täuschend echtes Erscheinungsbild aufrechterhalten. Die Technik nutzt URL-Manipulation, um die OAuth-Implementierung von Microsoft auszunutzen. Indem sie legitime Microsoft-Domains in der gesamten Angriffskette nutzen, haben Bedrohungsakteure einen äußerst überzeugenden Social-Engineering-Ansatz entwickelt, der möglicherweise traditionelle Sicherheitskontrollen umgehen könnte.

In diesen Kampagnen werden die Zielpersonen zunächst mit Ködern in Form von URLs konfrontiert, die legitime Microsoft-Authentifizierungsdomänen nutzen. Nachdem die Benutzer auf den Link geklickt und den Standardauthentifizierungsprozess abgeschlossen haben, wird ihnen eine scheinbar harmlose Berechtigungsanfrage angezeigt, die die Sammlung von grundlegenden Daten ermöglicht. Während in Open-Source-Berichten bereits darauf hingewiesen wurde, dass einige bösartige Apps einen umfassenderen Zugriff auf Benutzerkonten verlangen, haben unsere Untersuchungen bisher ergeben, dass diese Technik hauptsächlich dazu verwendet wird, grundlegende Benutzerinformationen wie E-Mail-Adressen, Berufsbezeichnungen und Profilbilder abzufragen. Neuere Kampagnen haben den Angriff weiter verschleiert, indem sie die Umleitungs-URLs in codierte Parameter eingebettet haben, was die Erkennung sowohl für Benutzer als auch für Sicherheitslösungen erheblich erschwert.

Aus dieser Aktivität lassen sich zwei wichtige Schlussfolgerungen ziehen: Erstens könnten Bedrohungsakteure grundlegende Benutzerdaten wie vollständige Namen, Berufsbezeichnungen und Profilbilder sammeln, um E-Mail-Konten für die Verwendung bei späteren Angriffen zu validieren. Alternativ könnte das Anfordern nur grundlegender Berechtigungen eine Taktik sein, um keinen Verdacht zu erregen, mit dem ultimativen Ziel, Benutzer auf Seiten zum Auslesen von Zugangsdaten umzuleiten. Unabhängig davon, ob ein Benutzer die Berechtigungsanfrage akzeptiert oder ablehnt, wird er dennoch zur von der bösartigen Anwendung angegebenen URL umgeleitet.

Technische Analyse

In der Regel folgt die URL-Struktur, die wir in diesen Kampagnen gesehen haben, dem folgenden Muster.

https://login.microsoftonline.com/common/reprocess?ctx=rQQIARAA02I20jOwUjE3MTFJM0ky1TU0TEvSNTFONNK1SDJK1jUzMjSxMAUCC4PkIiEugcTgtV7WT-pcZpwUj7mt7ye_ilEpo6SkoNhKX78gJzEvsbQkIzknMzWvRC8lVT8lozgjJTXVZAcj4wVGxlVMbMYGBibGBreY-P0dgQqNQER-UWZV6icmjrSixPRcoL5ZzBwWRpbmRpZGhpuY2ZLzc3Pz83YxqxgYGBomJRlZ6poamBvpGlgkm-omJqda6KYam1kmG5mZmxkZmZ1iFskvSM3LTFFIzU3MzFEoKMpPy8xJvcHMeIGF8RULjwGrFQcHlwC_BLsCww8WxkWsQP8kKS969XB5t8PUG------

/common – Bezieht sich auf den gemeinsam genutzten Mandantenendpunkt (/common/) im Anmeldesystem von Microsoft. Das bedeutet, dass die Anforderung nicht an eine bestimmte Organisation gebunden ist – jeder Benutzer (persönlich oder geschäftlich) könnte betroffen sein.

/reprocess – Normalerweise würde Microsoft /reprocess verwenden, um eine fehlgeschlagene Anmeldung oder einen unterbrochenen Authentifizierungsfluss erneut zu versuchen oder fortzusetzen.

CTX – Dies ist ein Kontextobjekt, das Informationen wie Sitzung, Mandant, Umleitungs-URL und Authentifizierungsstatusinformationen enthält, die Microsoft während OAuth-Transaktionen benötigt. Diese Codierung wird in der Regel von Microsoft generiert, wenn eine Anmeldesitzung unterbrochen wird oder fehlschlägt.

URL-Generierung

• Der Bedrohungsakteur registriert eine Anwendung in Azure AD und gibt einen bösartigen Weiterleitungslink an, der in seiner Kampagne verwendet werden soll.
• Er generiert eine OAuth-URL, die den Weiterleitungslink und Parameter wie response_type enthält, um eine Zustimmungsaufforderung auszulösen, die den Zugriff auf das Benutzerkonto anfordert, wenn darauf geklickt wird. Hinweis: Es können auch andere response_type-Optionen verwendet werden, die keine Einverständniserklärungen anzeigen und den Benutzer ohne Warnung auf die bösartige Seite weiterleiten.
• Unter Verwendung dieser URL versucht er, sich selbst anzumelden und die Sitzung zu unterbrechen oder zu manipulieren, um eine ctx-Zeichenfolge zu generieren, die die codierte Umleitungs-URL und die von Microsoft erstellten Sitzungsdetails enthält.
• Anschließend erstellen er eine endgültige Phishing-URL, indem er die erfasste ctx in einen /common/reprocess-Endpunkt einfügt, der einen Anmeldevorgang für jeden Benutzer in jedem Mandanten auslöst. Wir haben beobachtet, dass der generierte Kontext häufig für viele Ziele verwendet wird.

Mimecast-Schutz

Wir haben mehrere Attribute in den letzten Kampagnen identifiziert, die zu unseren Erkennungsfunktionen hinzugefügt wurden. Wir überwachen weiterhin Änderungen bei den Techniken, die mit OAuth-Links verwendet werden.

Ziele:

Überwiegend USA, Immobilien, professionelle Dienstleistungen

Empfehlungen

• Bewertung der Anforderungen externer Anwendungen
  • Führen Sie gründliche Überprüfungen der bestehenden Zustimmungen für Drittanbieteranwendungen in dem Unternehmen durch.
  • Die erweiterte Protokollierung für OAuth-Anfragen sollte aktiviert werden, um die frühzeitige Erkennung verdächtiger Aktivitäten zu ermöglichen.
• Benutzerschulung zum Sicherheitsbewusstsein
  • Benutzer sollten Microsoft-Anmeldeanforderungen, die Berechtigungszugriffe enthalten, sorgfältig prüfen.
  • Führen Sie regelmäßige Phishing-Simulationen durch, die Szenarien mit Microsoft-Berechtigungen umfassen.
• Proaktive Bedrohungssuche
  • Durchsuchen Sie URL Protect-Protokolle mit spezifischen Filtern für den Parameter reprocess?ctx=, da dies einen wichtigen Indikator für eine Kompromittierung darstellt.