180+ OAuth 2.0-Cloud-Malware-Apps entdeckt

Cyber Security News

Proofpoint-Büros in Toronto, Kanada. (Raysonho @ Open Grid Scheduler / Scalable Grid Engine, CC0, via Wikimedia Commons)

Forscher haben am Mittwoch eine Warnung an alle Unternehmen herausgegeben, die Cloud-Apps betreiben. Sie berichteten, dass sie im Jahr 2020 mehr als 180 verschiedene bösartige Anwendungen mit offener Autorisierung (OAuth) entdeckt haben, die 55 % ihrer Kunden mit einer Erfolgsquote von 22 % angriffen.

In einem Blog-Post sagten die Proofpoint-Forscher, dass OAuth-Apps zwar Geschäftsfunktionen und Verbesserungen der Benutzeroberfläche für große Cloud-Plattformen wie Microsoft 365 und Google Workspace hinzufügen, aber auch eine Bedrohung darstellen, da bösartige Akteure jetzt bösartige OAuth-2.0-Anwendungen – oder Cloud-Malware – verwenden, um Daten abzuschöpfen und auf sensible Informationen zuzugreifen.

Die Forscher sagten, dass sie viele Formen von OAuth-Token-Phishing-Angriffen und App-Missbrauch beobachtet haben – Techniken, die für Angreifer ideal sind, um Erkundungen durchzuführen, Angriffe von Mitarbeiter zu Mitarbeiter zu starten und Dateien und E-Mails von Cloud-Plattformen zu stehlen. Viele der Angriffe nutzten Imitationsmethoden wie Homoglyphen und Logo- oder Domain-Impersonation sowie Köder, die Menschen dazu brachten, auf COVID-19-bezogene Themen zu klicken.

Um das Problem der bösartigen Apps von Drittanbietern in den Griff zu bekommen, hat Microsoft einen Verifizierungsmechanismus für Apps eingeführt – aber die Forscher sagen, dass er nur begrenzten Erfolg hat.

Itir Clarke, Senior Product Marketing Manager bei Proofpoint, sagte, dass böse Akteure Microsofts Verifizierungsmechanismus für App-Publisher umgehen können, indem sie ein Cloud-Konto kompromittieren und den glaubwürdigen Tenant zum Erstellen, Hosten und Verteilen bösartiger Apps verwenden. Um Anwender, Partner und Lieferanten vor diesen Angriffen zu schützen, sollten Unternehmen nicht nur Microsofts “verified publisher”-Richtlinie nutzen, sondern auch ihre Angriffsfläche reduzieren. “Sicherheitsteams können dies erreichen, indem sie einschränken, wer eine App veröffentlichen darf, die Notwendigkeit, den Umfang und die Quelle von Anwendungen überprüfen und die Umgebung durch den regelmäßigen Entzug nicht genutzter Anwendungen bereinigen”, so Clarke.

Die beschleunigte Migration in die Cloud bedeutet, dass die Arbeitsbelastung von Sicherheitsteams so hoch ist wie nie zuvor, sagte Tim Bach, Vice President of Engineering bei AppOmni. Bach sagte, dass Sicherheitsexperten Tools für das Posture Management identifizieren sollten, die sie einsetzen können, um die manuellen Bemühungen zu ergänzen und die Berechtigungen in SaaS kontinuierlich zu überwachen.

“Priorisieren Sie Tools, die sich in bestehende Security Stacks integrieren lassen, damit Teams keine neuen Workflows und Verpflichtungen erstellen müssen, um neue kritische SaaS-Implementierungen zu unterstützen”, so Bach. “Durch die Nutzung der neu verfügbaren automatisierten Lösungen kann sich Ihr Team auf die strategische Umstellung auf die Cloud konzentrieren, anstatt jeden Benutzer und jede verbundene Anwendung manuell verfolgen zu müssen.”

Krishnan Subramanian, Security Research Engineer bei Menlo Security, fügte hinzu, dass OAuth-Applikationsmissbrauchskampagnen typischerweise mit bösartigen Drittanbieter-Apps gestartet werden. Für weitere Informationen zur Abfrage/Auditierung von Drittanbieter-Apps hat Microsoft Cloud App Security eine detaillierte Seite zur Kontrolle von Berechtigungen für OAuth-Apps von Drittanbietern, bemerkte er.

Ein weiterer Tipp für Sicherheitsprofis: Die MITRE ATT&CK-Framework-Technik T1550.001 bietet Details dazu, wie OAuth-Anwendungs-Token in der Vergangenheit von Bedrohungsgruppen missbraucht wurden, und listet Maßnahmen für Mitigations gegen diese spezifische Technik auf.

“Organisationen können auch Social-Engineering-Trainingsszenarien erstellen, um bei den Anwendern ein Bewusstsein für diese spezielle Art von Angriffen zu schaffen”, so Subramanian. “GoPhish ist ein anpassbares Open-Source-Framework, mit dem Unternehmen ihre Phishing-Anfälligkeit testen können.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com