Schwer zu erkennen: Phishing-Kampagne nutzt Microsoft-Infrastruktur
Sicherheitsforscher haben eine Phishing-Kampagne analysiert, bei der Angreifer den Device Authorization Grant Microsofts ausnutzen, um Zugriff auf Benutzerkonten zu erlangen. Aufmerksamkeit allein hilft hierbei nicht viel.
Nach Angaben des Security-Unternehmens Kaspersky beobachteten die Forscher zwischen April und Mai eine Kampagne, die mit täuschend echt gestalteten E-Mails begann. Diese gaben sich als Mitteilungen einer Anwaltskanzlei aus und enthielten passwortgeschützte PDF-Dokumente. Innerhalb der Dateien wurden die Empfänger aufgefordert, auf angeblich bereitgestellte Unterlagen über einen Dienst namens "LawConnect" zuzugreifen.
Der weitere Angriffspfad nutzt eine Kombination aus legitimen Microsoft-URLs und Weiterleitungsmechanismen. Obwohl der angezeigte Link zunächst auf eine offizielle Microsoft-Anmeldeseite verwies, gelangen die Opfer über Redirects auf eine von den Angreifern kontrollierte Website. Nach mehreren CAPTCHA-Abfragen erhalten sie dort einen Device Code sowie die Anweisung, diesen auf einer echten Microsoft-Seite einzugeben.
Technisch betrachtet autorisieren die Betroffenen damit eine zuvor von den Angreifern registrierte Anwendung. Da der Device Code bereits dieser Anwendung zugeordnet ist, erhält sie nach erfolgreicher Bestätigung ein gültiges Zugriffstoken für das Konto des Opfers. Die Täter können anschließend, abhängig von den gewährten Berechtigungen, auf E-Mails, Profildaten oder weitere Cloud-Ressourcen zugreifen.
Unternehmen sollten prüfen, ob der Device Code Flow in ihrer Umgebung überhaupt erforderlich ist. Falls nicht, empfiehlt Kaspersky eine Deaktivierung über Conditional-Access-Richtlinien in Microsoft Entra ID. Darüber hinaus raten die Experten zu einer Überwachung von DeviceCodeSignIn-Ereignissen, einer strikten Durchsetzung von Compliance-Vorgaben für Endgeräte sowie zu Alarmierungen bei Anmeldungen aus ungewöhnlichen Regionen oder anderen auffälligen Sign-in-Mustern.
Siehe auch:
Echte Microsoft-URLs im Einsatz
Die Methode ist besonders tückisch, weil die eigentliche Code-Eingabe auf einer legitimen Microsoft-Seite erfolgt und damit klassische Hinweise auf Phishing-Angriffe teilweise umgangen werden. Betroffen ist der Device Code Flow, ein Bestandteil des OAuth-2.0-Standards. Das Verfahren wurde für Geräte mit eingeschränkten Eingabemöglichkeiten entwickelt, etwa Smart-TVs, Drucker oder IoT-Systeme. Statt Benutzernamen und Passwort direkt auf dem Endgerät einzugeben, authentifizieren sich Nutzer über ein separates Gerät und bestätigen dort einen einmalig generierten Code.Nach Angaben des Security-Unternehmens Kaspersky beobachteten die Forscher zwischen April und Mai eine Kampagne, die mit täuschend echt gestalteten E-Mails begann. Diese gaben sich als Mitteilungen einer Anwaltskanzlei aus und enthielten passwortgeschützte PDF-Dokumente. Innerhalb der Dateien wurden die Empfänger aufgefordert, auf angeblich bereitgestellte Unterlagen über einen Dienst namens "LawConnect" zuzugreifen.
Der weitere Angriffspfad nutzt eine Kombination aus legitimen Microsoft-URLs und Weiterleitungsmechanismen. Obwohl der angezeigte Link zunächst auf eine offizielle Microsoft-Anmeldeseite verwies, gelangen die Opfer über Redirects auf eine von den Angreifern kontrollierte Website. Nach mehreren CAPTCHA-Abfragen erhalten sie dort einen Device Code sowie die Anweisung, diesen auf einer echten Microsoft-Seite einzugeben.
Technisch betrachtet autorisieren die Betroffenen damit eine zuvor von den Angreifern registrierte Anwendung. Da der Device Code bereits dieser Anwendung zugeordnet ist, erhält sie nach erfolgreicher Bestätigung ein gültiges Zugriffstoken für das Konto des Opfers. Die Täter können anschließend, abhängig von den gewährten Berechtigungen, auf E-Mails, Profildaten oder weitere Cloud-Ressourcen zugreifen.
Auf Parameter achten
Kaspersky empfiehlt Anwendern, Device-Code-Anfragen grundsätzlich kritisch zu prüfen. Wird keine Anmeldung auf einem externen Gerät durchgeführt, sollte eine entsprechende Autorisierung nicht bestätigt werden. Zudem warnen die Forscher vor sogenannten Open Redirects auf vertrauenswürdigen Domains. Parameter wie "redirect_uri", "return_url" oder "next" können dazu genutzt werden, Nutzer unbemerkt auf schädliche Ziele umzuleiten.Unternehmen sollten prüfen, ob der Device Code Flow in ihrer Umgebung überhaupt erforderlich ist. Falls nicht, empfiehlt Kaspersky eine Deaktivierung über Conditional-Access-Richtlinien in Microsoft Entra ID. Darüber hinaus raten die Experten zu einer Überwachung von DeviceCodeSignIn-Ereignissen, einer strikten Durchsetzung von Compliance-Vorgaben für Endgeräte sowie zu Alarmierungen bei Anmeldungen aus ungewöhnlichen Regionen oder anderen auffälligen Sign-in-Mustern.
Zusammenfassung
- Forscher entdeckten Phishing per Missbrauch von Device Code Flow
- Täter nutzen legitime Microsoft-Seiten für ihre bösartige Kampagne
- Opfer autorisieren beim Login unwissentlich eine fremde Anwendung
- Angreifer erhalten so Zugriff auf Mails sowie private Cloud-Daten
- Sicherheitsexperten raten zur Prüfung jeder Code-Authentifizierung
- Unternehmen sollten diesen Dienst via Richtlinien besser deaktivieren
Siehe auch:
Thema:
Neue Downloads
Videos zum Thema Sicherheit
- WhatsApp: Wie man ungewollte Gruppen-Einladungen vermeidet
- Super Bowl 2024: CrowdStrike sorgt im Wilden Westen für Sicherheit
- Super Bowl 2023: CrowdStrike zeigt, wie man echte Trojaner abwehrt
- DNS über HTTPS: So aktiviert man die Verschlüsselung im Firefox
- Netflix zeigt Doku über John McAfees irre Flucht und wildes Leben
Aus dem Sicherheits-Forum
Weiterführende Links
Beliebt im Preisvergleich
- Backup & Datenrettung:
Neue Nachrichten
- Schwer zu erkennen: Phishing-Kampagne nutzt Microsoft-Infrastruktur
- Pixel 11: So viel teurer werden die neuen Google-Smartphones
- LG-Monitor an PC angeschlossen, Windows zeigt sofort Werbung
- Forscher: Entstehung des Lebens muss anders gelaufen sein als gedacht
- Valve liefert offizielles Treiberpaket für Windows auf der Steam Machine
- PlayStation 5: Sony ignoriert die Proteste gegen das Disc-Aus
- Letzte Chance: Waipu.tv mit Sky WOW Jahrespaket stark reduziert
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!