Schwer zu erkennen: Phishing-Kampagne nutzt Microsoft-Infrastruktur

Sicherheitsforscher haben eine Phishing-Kampagne analysiert, bei der Angreifer den Device Authorization Grant Microsofts ausnutzen, um Zugriff auf Benutzerkonten zu erlangen. Aufmerksamkeit allein hilft hierbei nicht viel.
Sicherheit, Hacker, Security, Daten, Cloud, Kriminalität, Trojaner, Cybersecurity, Exploit, Ransom, Dateien, Ordner, Files, Folder

Echte Microsoft-URLs im Einsatz

Die Methode ist besonders tückisch, weil die eigentliche Code-Eingabe auf einer legitimen Microsoft-Seite erfolgt und damit klassische Hinweise auf Phishing-Angriffe teilweise umgangen werden. Betroffen ist der Device Code Flow, ein Bestandteil des OAuth-2.0-Standards. Das Verfahren wurde für Geräte mit eingeschränkten Eingabemöglichkeiten entwickelt, etwa Smart-TVs, Drucker oder IoT-Systeme. Statt Benutzernamen und Passwort direkt auf dem Endgerät einzugeben, authentifizieren sich Nutzer über ein separates Gerät und bestätigen dort einen einmalig generierten Code.

Nach Angaben des Security-Unternehmens Kaspersky beobachteten die Forscher zwischen April und Mai eine Kampagne, die mit täuschend echt gestalteten E-Mails begann. Diese gaben sich als Mitteilungen einer Anwaltskanzlei aus und enthielten passwortgeschützte PDF-Dokumente. Innerhalb der Dateien wurden die Empfänger aufgefordert, auf angeblich bereitgestellte Unterlagen über einen Dienst namens "LawConnect" zuzugreifen.


Der weitere Angriffspfad nutzt eine Kombination aus legitimen Microsoft-URLs und Weiterleitungsmechanismen. Obwohl der angezeigte Link zunächst auf eine offizielle Microsoft-Anmeldeseite verwies, gelangen die Opfer über Redirects auf eine von den Angreifern kontrollierte Website. Nach mehreren CAPTCHA-Abfragen erhalten sie dort einen Device Code sowie die Anweisung, diesen auf einer echten Microsoft-Seite einzugeben.

Technisch betrachtet autorisieren die Betroffenen damit eine zuvor von den Angreifern registrierte Anwendung. Da der Device Code bereits dieser Anwendung zugeordnet ist, erhält sie nach erfolgreicher Bestätigung ein gültiges Zugriffstoken für das Konto des Opfers. Die Täter können anschließend, abhängig von den gewährten Berechtigungen, auf E-Mails, Profildaten oder weitere Cloud-Ressourcen zugreifen.

Auf Parameter achten

Kaspersky empfiehlt Anwendern, Device-Code-Anfragen grundsätzlich kritisch zu prüfen. Wird keine Anmeldung auf einem externen Gerät durchgeführt, sollte eine entsprechende Autorisierung nicht bestätigt werden. Zudem warnen die Forscher vor sogenannten Open Redirects auf vertrauenswürdigen Domains. Parameter wie "redirect_uri", "return_url" oder "next" können dazu genutzt werden, Nutzer unbemerkt auf schädliche Ziele umzuleiten.

Unternehmen sollten prüfen, ob der Device Code Flow in ihrer Umgebung überhaupt erforderlich ist. Falls nicht, empfiehlt Kaspersky eine Deaktivierung über Conditional-Access-Richtlinien in Microsoft Entra ID. Darüber hinaus raten die Experten zu einer Überwachung von DeviceCodeSignIn-Ereignissen, einer strikten Durchsetzung von Compliance-Vorgaben für Endgeräte sowie zu Alarmierungen bei Anmeldungen aus ungewöhnlichen Regionen oder anderen auffälligen Sign-in-Mustern.

Zusammenfassung
  • Forscher entdeckten Phishing per Missbrauch von Device Code Flow
  • Täter nutzen legitime Microsoft-Seiten für ihre bösartige Kampagne
  • Opfer autorisieren beim Login unwissentlich eine fremde Anwendung
  • Angreifer erhalten so Zugriff auf Mails sowie private Cloud-Daten
  • Sicherheitsexperten raten zur Prüfung jeder Code-Authentifizierung
  • Unternehmen sollten diesen Dienst via Richtlinien besser deaktivieren

Siehe auch:


Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!