Sicherheitsforscher warnen vor bösartigen Azure-Apps
Mit der weiter stark steigenden Verbreitung von Office 365 entstehen neue Risiken und Herausforderungen
Der Authentifizierungsfluss wird vollständig von Microsoft abgewickelt, so dass die Verwendung der Multi-Faktor-Authentifizierung keine praktikable Lösung darstellt
Sicherheitsforscher von Varonis Systems weisen mit einem neuen Proof of Concept auf die Gefahren bösartiger Azure-Apps hin. Durch diese Angriffsart stehen Hacker im Wesentlichen die gleichen Möglichkeiten offen wie durch das Ausführen bösartiger Exe-Dateien oder die Aktivierung von Makros in Dokumenten. So können Daten exfiltriert, E-Mail-Konten gekapert und Informationen über Gruppen-Mitglieder ausgelesen werden. Als besonders gefährlich stufen die Experten dabei die Erstellung einzigartiger Links zu genutzten Dateien ein. Diese sind für jeden von jedem beliebigen Ort aus zugänglich, auch wenn das Unternehmen keine anonymen Sharing-Links zulässt. Trotz der enormen Risiken ist dieser Angriffsvektor bislang noch recht unbekannt. Insofern sollten Sicherheitsverantwortliche ihre Mitarbeiter hierfür gezielt sensibilisieren, die eingesetzten Azure-Apps regelmäßig überprüfen und verdächtige Anwendungen gegebenenfalls entfernen.
Mit der weiter stark steigenden Verbreitung von Office 365 entstehen neue Risiken und Herausforderungen. Ein relativ neuer und deshalb auch noch recht unbekannter Angriffsvektor sind bösartige Azure-Apps. Hacker können diese recht einfach erstellen, den bösartigen Applikationen scheinbar legitime Namen geben, vertraute Icons zuordnen und über Phishing-Kampagnen verteilen. Azure-Anwendungen erfordern keine Genehmigung von Microsoft und führen keinen Code auf dem Rechner des Benutzers aus, wodurch es einfach ist, die Endpoint-Sicherheitskontrollen und AV-Software zu umgehen.
Der Link in der Phishing-Mail führt zu einer Website des Angreifers, die das Opfer nahtlos zur Anmeldeseite von Microsoft weiterleitet. Der Authentifizierungsfluss wird vollständig von Microsoft abgewickelt, so dass die Verwendung der Multi-Faktor-Authentifizierung keine praktikable Lösung darstellt. Zwar wird bei der Installation der App darauf hingewiesen, dass diese nicht von Microsoft veröffentlicht wurde, jedoch überfliegen viele Nutzer schnell und gedankenlos diese Hinweise, ganz ähnlich wie bei der Zustimmung von Nutzungsbedingungen. Gleichwohl ist dieser Schritt der einzige, der die Zustimmung des Opfers erfordert. Von diesem Zeitpunkt an hat der Angreifer die vollständige Kontrolle über das Konto und die Ressourcen des Benutzers.
Azure-App-Angriffe eignen sich aus Hackersicht somit ideal zur Aufklärung (Identifizierung von Benutzern, Gruppen und Objekten), für gezielte Spear-Phishing-Kampagnen durch scheinbar "interne" Gruppenmitglieder und zum Stehlen von Dateien und E-Mails aus Office 365. In ihrem Proof of Concept erhielten die Sicherheitsforscher über die von ihnen erstellte App Zugriff auf die Metadaten sämtlicher Nutzer inkl. E-Mail-Adressen, Mobiltelefonnummern, Job-Titel u.ä. (was nicht nur aufgrund der DSGVO problematisch ist), den Kalender und Outlook-Konto des Opfers sowie kürzlich verwendete Dateien. All dies eröffnet Angreifern diverse Möglichkeiten nicht nur zum Datendiebstahl, sondern auch für weitere Angriffe. (Varonis: ra)
eingetragen: 24.03.20
Newsletterlauf: 27.05.20
Varonis Systems: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.