Microsoft-Sicherheitsforscher haben kürzlich über eine Technik gewarnt, die eine legitime Funktion des Identitäts-Ökosystems nutzt, um böswillige Seiten zu kollaborieren, ohne auf die klassische direkte supplanting Betrug zurückgreifen. Anstatt Domains zu verfälschen oder zu maskieren, nutzen Angreifer OAuths Umleitungsmechanismus aus, um den Browser oder den Mail-Client "zu zwingen", um den Benutzer zu einer vom Angreifer kontrollierten Ressource zu bringen. Das Ergebnis ist eine viel schwierigere Phishing-Scam, um durch automatische Filter und durch einfache visuelle Inspektion zu erkennen.
Der von Analysten beschriebene Vektor kombiniert dringende Nachrichten - elektronische Signatur-Anfragen, Sozialversicherungshinweise, Einladungen zu Sitzungen oder Passwort-Reinitials - mit Links, die als legitime Berechtigungsanfragen erscheinen. Manchmal werden diese bösartigen URLs in PDF-Dateien versteckt, um Postkontrollen zu vermeiden. Wenn das Opfer anklickt, nutzt die Kette von Ereignissen, wie Identitätsanbieter Berechtigungsfehler behandeln, um den Benutzer zu einem URI umzuleiten, dass die Angreifer in OAuth-Anwendungen unter ihrer Kontrolle registriert haben. Der technische Bericht kann in der von Microsoft veröffentlichten Notiz gelesen werden: Microsoft Security Blog.
Um zu verstehen, warum dieser Trick funktioniert, muss man sich daran erinnern, dass OAuth ein Standard ist, um Berechtigungen zwischen den Diensten zu delegieren. Ein Identitätsanbieter - wie Microsoft Enter ID - ermöglicht registrierte Anwendungen, den Zugriff im Namen von Nutzern nach sehr spezifischen Regeln ( RFC 6749) Wenn während der Verhandlungen etwas schief geht - zum Beispiel Parameter, die eine "silente" Authentifizierung (prompt = keine) oder einen ungültigen Bereich anfordern -, sieht die Spezifikation vor, dass der Identitätsdienst einen Fehler erzeugt und in vielen Fällen mit einer Umleitung auf das von der Anwendung erfasste URI reagiert. Die Angreifer haben gelernt, dieses Verhalten bewusst zu provozieren, um eine Fehlerantwort in einen Weg zu ihrer eigenen Infrastruktur zu verwandeln.
In der Praxis erstellen Missbraucher OAuth-Anwendungen in einem Mieter, die eine Umleitung steuern und aufzeichnen, die auf ihren Server zeigt. Sie bauen dann Berechtigungs-Links, die legitim erscheinen und sie in gezielten Kampagnen, vor allem gegen öffentliche Agenturen und Behörden verteilen. Wenn der Identitätsanbieter den absichtlichen "Fehler" erkennt, sendet er den Benutzer genau an die Adresse, die der Angreifer eingerichtet hat. In einigen Fällen ist diese Seite eine Phishing-Website, die die Login-Schnittstelle reproduziert; in anderen, Umleitung Punkte auf eine Ressource, die automatisch liefert ein ZIP mit Shortcuts (.LNK) und HTML Schmuggling Techniken, um Erkennungen zu entfernen und Code auf dem Team des Opfers zu führen.
Forscher beschreiben auch Varianten, in denen Kriminelle Man-Tack-Frameworks auf spezialisierte Mittel verwenden, um Anmeldeinformationen oder Session-Token abzufangen und so Barrieren wie Multifaktor-Authentifizierung zu vermeiden. Werkzeuge dieser Art - zum Beispiel bekannte Open Source-Projekte, die Proxy-Angriffe auf Web-Sessions erleichtern - ermöglichen es einem Angreifer, gültige Cookies oder Token zu erfassen und wiederzuverwenden, bevor das Opfer etwas Merkwürdiges bemerkt; ein technischer Bezug ähnlicher Projekte ist im Evilginx2-Repository verfügbar: Evilginx2 (GitHub).
Ein besonders effektives Detail in diesen Kampagnen ist der Missbrauch von OAuths "state" Parameter. Es wird in der Regel verwendet, um den Kontext zwischen der Anfrage und der Berechtigungsantwort zu erhalten; die Angreifer verwenden es, um die Postadresse des Opfers auf der Phishing-Seite einzufügen, die das Gefühl der Authentizität erhöht und Verdächtige reduziert, indem sie ihre eigene Post bereits gefüllt sehen. In anderen Varianten, Kurzschlussöffnung . LNK führt Power aus Shell, die lokale Erkennung durchführt und eine Seitenlastkette von DLL auslöst: eine legitime binäre Belastung einer schädlichen DLL, die die endgültige Nutzlast im Speicher entkoppelt und ausführt, ein Muster bekannt und dokumentiert von der Bedrohungsdetektionsgemeinschaft (siehe verwandte Techniken in MITRE: Energie, DLL Side-Loading)
Der Schlüssel zu dieser Kampagne ist keine Schwachstelle in OAuth, sondern die Verwendung eines standardbasierten Verhaltens: Identitätsanbieter reagieren genau so, wie sie auf bestimmte Fehler sollten, und Angreifer manipulieren diese Fehler in ihren Gunsten. Aus diesem Grund können die ausschließlich auf URL-Listen oder E-Mail-Huristiken basierenden Verteidigungen scheitern, wenn eine berechtigte Autorisierungsanfrage - offenbar - als Cover dient.
Was können Organisationen tun, um dieses Risiko zu reduzieren? Microsoft-Empfehlungen weisen auf mehrere komplementäre Richtungen hin: die Einschränkung, wer Anwendungen im Mieter registrieren kann, die administrative Zustimmung für sensible Berechtigungen erfordern, die Anwendung von Sound-Identity-Richtlinien und Conditional Access und die Koordinierung der Erkennung von Post-, Identitäts- und Endpunkte zur Identifizierung von Cross-Domain-Mustern. Die offizielle Dokumentation zu Genehmigungen und Einwilligungen und zu den Richtlinien des Conditional Access hilft zu verstehen, wie diese Kontrollen in Azure-Umgebungen anzuwenden: Zulassungen und Einwilligungen in Azure AD und Anleitung zum Conditional Access. Es ist auch eine gute Praxis, die Registrierung von Anträgen durch Richtlinien einzuschränken und regelmäßig Anträge mit delegierten Genehmigungen zu prüfen.
Auf der End-User-Ebene sollte Vorsicht mit unerwarteten Links erhöht werden, auch wenn sie von legitimen Dienstleistungen kommen oder wenn die Nachricht angezeigt wird: die beigefügten Dateien, die URLs, wie PDFs, enthalten, sind eine regelmäßige Vermeidungstechnik. Die Kombination aus Bildung, erweiterten Postfiltern, Endpoints Verhaltensanalyse und strenge Identitätskonfiguration ist die beste Verteidigung. Für diejenigen, die vertiefen möchten, wie OAuth-Autorisierungen funktionieren und wie man Missbrauch vermeiden kann, bietet der Antragsregistrierungsprozess auf Microsofts Identitätsplattform eine nützliche technische Basis: Registrieren Sie Apps in Microsoft Identitätsplattform.
Kurz gesagt, wir stehen vor Angriffen, die keine Kryptographie brechen oder traditionelle Versagen ausnutzen, sondern Standardverhalten und menschliche Vertrauensketten nutzen. Das Mittel besteht darin, zu erkennen, dass der Angriffsbereich jetzt die Berechtigungsinfrastruktur selbst umfasst und Identitäts-Governance-Kontrollen mit der gleichen Sorgfalt wie das Netzwerk und Endpunkt angewendet werden. Wie immer ist die Sicherheit eine Koordination zwischen Technologie, Prozessen und Bewusstsein.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Mini Shai-Hulud: der Angriff, der die Abhängigkeiten in Massenintrusionsvektoren verwandelte
Zusammenfassung des Vorfalls: GitHub untersucht unbefugten Zugriff auf interne Repositories, nachdem der als TeamPCP bekannte Schauspieler den angeblichen Quellcode und interne ...
Sicherheitsalert: CVE-2026-45829 stellt Chroma DB zur Remote-Code-Ausführung ohne Authentifizierung
Ein kritischer Fehler in der ChromaDB Python API - die beliebte Vektorbasis, die für die Wiederherstellung während der LLM-Inferenz verwendet wird - erlaubt nicht authentifizier...