Geverifieerd zijn op populaire platforms zoals Instagram, Twitter of de AppStore is het statussymbool van vandaag. Geverifieerde accounts worden immers meer vertrouwd door allerlei gebruikers. Hetzelfde geldt in de bedrijfswereld met externe Microsoft geverifieerde OAuth-applicaties. Helaas hebben hackers de voordelen hiervan ook in de Microsoft-omgeving opgemerkt.
Onderzoekers van Proofpoint hebben een nieuwe OAuth-applicatie cyberaanval ontdekt. Deze aanval maakt misbruik van de ”Microsofts geverifieerde” status om te voldoen aan Microsofts eisen voor OAuth-applicaties gebruik. De authenticatie vergroot de kans dat werknemers toestemming verlenen aan een externe OAuth-applicatie.
Geïnfecteerde apps
Zodra toegang wordt verleend komt data beschikbaar waar normaal gesproken alleen de eigenaar bij kan. Uit het onderzoek bleek dat de geïnfecteerde apps toegang konden krijgen tot het lezen van e-mails, het wijzigen van mailboxinstellingen en toegang tot bestanden en andere data met betrekking tot het account van de gebruiker.
De mogelijke gevolgen voor bedrijven zijn onder meer besmette werknemersaccounts, onbevoegd gebruik van data, misbruik van bedrijfsnamen, zakelijke e-mailfraude (BEC) en misbruik van mailboxen. De aanval werd minder snel ontdekt dan gebruikelijke phishing-aanvallen. Bedrijven hebben doorgaans zwakkere defence-in-depth controles tegen cybercriminelen die verifieerde OAuth-applicatiess gebruiken.
Microsoft geeft aan dat “Publisher verified” of “geverifieerde uitgever” een status is die een Microsoft-account kan krijgen wanneer de “app-uitgever zijn identiteit heeft geverifieerd met behulp van zijn Microsoft Partner Network (MPN)-account en deze MPN-account heeft gekoppeld aan zijn app-registratie”.
Voorbeeld van een autorisatieverzoek van een besmette applicatie
Drie schadelijke applicaties
Proofpoint identificeerde drie schadelijke applicaties gemaakt door drie verschillende uitgevers. Deze verschillende aanvallen waren gericht op dezelfde bedrijven en werden in verband gebracht met dezelfde methoden. Meerdere werknemers bleken de geïnfecteerde apps te autoriseren, waardoor hun bedrijfsomgevingen werden aangetast.
Bijgewerkte processen
Proofpoint heeft Microsoft op 20 december 2022 op de hoogte gesteld van deze aanval. De aanval eindigde op 27 december 2022. Microsoft heeft sindsdien de schadelijke apps uitgeschakeld terwijl het onderzoek naar deze aanval wordt voortgezet. Momenteel kunnen werknemers de besmette apps niet autoriseren en kunnen eerder geautoriseerde apps alleen toegang blijven krijgen tot data zolang de vervaltijd van het laatste toegangstoken niet is verstreken (meestal tussen 60 – 90 minuten). Onlangs heeft Microsoft zijn processen voor het goedkeuren van partners en documentatie over OAuth-applicaties “consent phishing” bijgewerkt om toekomstige aanvallen te voorkomen.
De gevolgen van infiltratie
Wanneer werknemers toegang verlenen aan een geïnfecteerde applicatie, wordt de machtiging overgedragen aan de cybercriminelen. Hierdoor kunnen zij mailboxen, agenda’s en uitnodigingen voor vergaderingen die aan de accounts van overgenomen werknemers zijn gekoppeld, openen en wijzigen. Aangezien de machtigingen ook “offline toegang” bieden, is er geen interactie van de gebruiker nodig na de machtiging. Het verleende token (refresh token) heeft een lange geldigheidsduur, in de meeste gevallen meer dan een jaar. Dit gaf de cybercriminelen toegang tot data van de geïnfecteerde account en de mogelijkheid om de geïnfecteerde Microsoft-account te gebruiken bij latere BEC- of andere aanvallen.
Behalve dat werknemersaccounts worden overgenomen, kunnen bedrijven ook te maken krijgen met merkmisbruik. Deze bedrijven kunnen moeilijk vaststellen dat hun merk bij deze aanvallen wordt misbruikt. Er is namelijk geen vereiste interactie tussen het bedrijf dat wordt nagebootst en de betreffende uitgever.