Microsoft veröffentlichte diese Woche eine Warnung, die öffentliche Sektor-Administratoren und Benutzer auf Wache setzen sollte: Angreifer nutzen legitime OAuth-Flow-Umleitungsmechanismen, um Opfer in kriminal kontrollierte Infrastruktur zu bringen, so dass viele der üblichen Post- und Browser-Schutz. Es geht nicht so sehr darum, einen Dienst zu verletzen, weil er das von der Zulassungsnorm vorgesehene Verhalten ausnutzt, so dass eine scheinbar inokulierte URL in einer Falle endet.
OAuth ist das technische Stück, das Anwendungen erlaubt, die Erlaubnis zu bitten, im Auftrag eines Benutzers zu handeln, ohne Ihr Passwort zu benötigen, und ist die Basis des Logins "Login with Google" oder "Login with Microsoft". Die Spezifikation sieht vor, dass der Identitätsanbieter den Nutzer in bestimmten Szenarien (z.B. bestimmte Fehler oder Ströme) auf eine bestimmte URL umleitet. Die Angreifer haben bösartige Anwendungen und Links entwickelt, die diese Umleitung missbrauchen, um den Benutzer auf Seiten zu lenken, die von den Verbrechern selbst gehostet werden. Wenn Sie den Betrieb des Protokolls überprüfen möchten, ist die grundlegende Erklärung in oauth.net und die spezifische Dokumentation von Lieferanten wie Google und Microsoft Details, wie die Umleitung URI auf ihren Plattformen verwaltet werden ( Google OAuth, Microsoft Enter / Identität)
Die von Microsoft beschriebene Arbeitsweise kombiniert Social Engineering und Missbrauch des OAuth-Durchflusses: Angreifer erstellen eine Anwendung in einem Mieter, dass sie als URI der Umleitung einer bösartigen Domain steuern und setzen. Dann senden sie Phishing-Links in Post - mit sorgfältig entwickelten locken wie elektronische Signatur-Anfragen, Teams-Aufnahmen oder finanziellen und administrativen Fragen -, die den Benutzer bitten, mit der bösartigen Anwendung zu authentifizieren, oft mit einem absichtlich ungültigen "scope", um den gewünschten Fehler / Umleitungsweg zu zwingen. Das Ergebnis ist nicht immer der direkte Diebstahl von Token; in mehreren Kampagnen war der Zweck, Downloads zu zwingen, die das eigene Team des Benutzers infizierten.
In den analysierten Fällen ist die Datei, die bis zum Gerät kommt, in der Regel ein ZIP, der einen direkten Zugriff auf Windows (LNK) enthält. Wenn Sie diesen direkten Zugriff öffnen, wird sofort ein PowerShell-Befehl ausgeführt, der die Geräte inspiziert und einen MSI-Installer entfernt. Dieser Installer hinterlässt ein decoy-Dokument in Sicht, während, hinter der Szene, es Sideloadea eine bösartige Bibliothek (eine DLL-Name wie "crashhandler.dll") unter Ausnutzung einer legitimen binären zu laden, deaktivieren Sie eine zusätzliche Datei und veröffentlichen die endgültige Ladung in Speicher. Von dort schafft die Malware die Kommunikation mit einem Befehls- und Kontrollserver, um die Intrusion fortzusetzen, die in der Pre-ransom-Aktivität oder manuellen Aktionen durch menschliche Bediener enden kann.
Zusätzlich zu den Kampagnen, die Malware liefern, wurde die gleiche Umleitungstechnik für Seiten verwendet, die negative-in- the-middle Typ Phishing Kits (AitM) implementieren. Diese Rahmen ermöglichen es Ihnen, Anmeldeinformationen, Sitzungs-Cookies oder sogar OAuth-Codes in Echtzeit zu erfassen; bekannte Rahmen in der Sicherheitsgemeinschaft haben die Wirksamkeit dieser Ansätze gezeigt, wenn der Benutzer den Fluss vertraut und der Identitätsanbieter die Umleitung nie blockiert.
Ein weiteres relevantes Detail, das von Microsoft entdeckt wird, ist die kreative Verwendung des "state" Parameters: ursprünglich entwickelt, um Anfragen und Antworten zu korrelieren und gegen CSRF zu schützen, in diesen Ketten kodieren die Angreifer die E-Mail-Adresse des Ziels, um automatisch auf der Phishing-Seite zu erscheinen, und erhöhen ihre Glaubwürdigkeit. Es ist eine Erinnerung, dass ein für die Sicherheit entworfenes Stück perverse wiederverwendet werden kann, wenn sein Inhalt nicht überprüft wird.
Microsoft hat bereits mehrere identifizierte schädliche Anwendungen entfernt, aber der Abschluss für Sicherheitsausrüstung und IT verantwortlich ist klar: technische Kontrollen müssen mit guten administrativen Praktiken kombiniert werden. Beschränken Sie die Zustimmung, die Nutzer an Drittanmeldungen abgeben können, überprüfen Sie regelmäßig die erteilten Genehmigungen und widerrufen unnötige oder überprivilegierte Anträge Sie sind kritische Schritte. Microsoft bietet Anwendungsmanagement-Tools und Zustimmungsrichtlinien auf seiner Plattform; Überprüfung dieser Optionen kann die Angriffsfläche reduzieren ( Anwendungsmanagement in Azure AD / Entre)
Um diese Maßnahmen zu ergänzen, ist es angebracht, die Schutzmaßnahmen in Endpunkten und Post zu stärken: die automatische Öffnung gefährlicher Anhänge zu verhindern, schädliche bekannte Domänen und Dateien auf dem Link und Post-Tür zu blockieren und Erkennungslösungen zu pflegen, die in der Lage sind, Techniken wie PowerShell-Ausführung von LNK oder DLL Sideloading zu identifizieren. Es ist auch wichtig, Benutzer und Geräte zu lehren, um Links zu verdächtigen, auch wenn sie von einem legitimen Lieferanten stammen; die US-Sicherheitsagentur. Die Vereinigten Staaten und andere Organisationen geben praktische Empfehlungen gegen Phishing aus, die in Sensibilisierungsprogramme aufgenommen werden können ( CISA - Phishing Anleitung)
Darüber hinaus sollten Organisationen mit zentraler Identität strengere Politiken bewerten: die Zustimmung von Nicht-Management-Nutzern für bestimmte Anwendungen zu verhindern, administrative Überprüfungen für besonders empfindliche Genehmigungen zu verlangen und bedingte Kontrollen zu aktivieren, die eine zusätzliche Überprüfung oder Sperrung des Zugangs zu unzuverlässigen Umgebungen erfordern. Die nativen Tools von Lieferanten ermöglichen die Erstellung von zugelassenen oder verweigerten Antragslisten und die Überwachung ungewöhnlicher Einwilligungsversuche.
Diese Episode erinnert daran, dass die Sicherheit im Zeitalter der Identität als Perimeter multidimensional ist: Es ist nicht genug, um die Perimeter-Infrastruktur zu schützen, wenn das Berechtigungsmodell selbst sozial manipuliert werden kann. Vorbeugung erfordert die Koordinierung der Identitätspolitik, der Post- und Endpunktkontrolle sowie die kontinuierliche Ausbildung der Menschen Sie sind nicht die schwächste Verbindung.
Wenn Sie den technischen Bericht von Microsoft mit allen Indikatoren und Beispielen des Verteidigungsteams überprüfen möchten, ist es auf Ihrem Security-Blog verfügbar: Microsoft Security Blog - OAuth Umleitung Missbrauch. Um zu vertiefen, wie Umleitungen und URis in verschiedenen Lieferanten verwaltet werden, ist offizielle Google- und Microsoft-Dokumentation über OAuth / Identität ein guter Ausgangspunkt ( Google, Microsoft Komm rein.), und die Gestaltung des Protokolls selbst zu verstehen, die Referenz in oauth.net Es ist nützlich.
Kurz gesagt, es ist nicht nur ein technisches Thema, sondern eine Frage der Governance und Kultur. Eine Bestandsaufnahme von Anwendungen, die Einschränkung, was Benutzer aktiv autorisieren und überprüfen Genehmigungen sind Maßnahmen, die, kombiniert mit technischen Kontrollen, machen es schwierig für Angriffe wie diese zu einem guten Hafen zu erreichen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...