Angreifer missbrauchen normale OAuth-Fehlerumleitungen, um Benutzer von einer legitimen Microsoft- oder Google-Anmelde-URL auf Phishing- oder Malware-Seiten umzuleiten, ohne jemals eine erfolgreiche Anmeldung durchzuführen oder Tokens aus dem OAuth-Ablauf selbst zu stehlen.
Das erfordert etwas mehr Erklärung.
OAuth (Open Authorization) ist ein offenes Standardprotokoll für die delegierte Autorisierung. Es ermöglicht Benutzern, Websites oder Anwendungen Zugriff auf ihre Daten bei einem anderen Dienst (z. B. Google oder Facebook) zu gewähren, ohne ihr Passwort preiszugeben.
Die OAuth-Umleitung ist der Vorgang, bei dem ein Autorisierungsserver nach der Benutzerauthentifizierung den Browser eines Benutzers mit einem Autorisierungscode oder Token zurück zu einer Anwendung (Client) sendet.
Forscher fanden heraus, dass Phisher stille OAuth-Authentifizierungsabläufe und absichtlich ungültige Bereiche verwenden, um Opfer auf die vom Angreifer kontrollierte Infrastruktur umzuleiten, ohne Tokens zu stehlen.
Wie sieht dieser Angriff also aus der Perspektive des Opfers aus?
Aus Sicht des Benutzers sieht die Angriffskette in etwa wie folgt aus:
Die E-Mail
Sie erhalten eine E-Mail mit einem plausiblen geschäftlichen Köder. Beispielsweise erhalten Sie eine E-Mail zu einer routinemäßigen, aber dringenden Angelegenheit: Weitergabe oder Überprüfung von Dokumenten, eine Mitteilung zur Sozialversicherung oder zu Finanzen, ein Personal- oder Mitarbeiterbericht, eine Einladung Teams oder eine Aufforderung zum Zurücksetzen des Passworts.
Der E-Mail-Text enthält einen Link wie „Dokument anzeigen“ oder „Bericht überprüfen“ oder einen PDF-Anhang, der einen Link enthält.
Der Link
Sie klicken auf den Link, nachdem Sie gesehen haben, dass es sich um eine normale Microsoft- oder Google-Anmeldung zu handeln scheint. Die sichtbare URL (die Sie sehen, wenn Sie mit der Maus darüber fahren) sieht überzeugend aus und beginnt mit einer vertrauenswürdigen Domain wie https://login.microsoftonline.com/ oder https://accounts.google.com/.
Es gibt keine offensichtlichen Anzeichen dafür, dass die Parameter (prompt=none, ungerader oder leerer Bereich, codierter Status) abnormal sind.
Stilles OAuth
Die manipulierte URL versucht eine stille OAuth-Autorisierung (prompt=none) und verwendet Parameter, die garantiert fehlschlagen (z. B. einen ungültigen oder fehlenden Bereich).
Der Identitätsanbieter wertet Ihre Sitzung und den bedingten Zugriff aus, stellt fest, dass die Anfrage nicht stillschweigend erfolgreich sein kann, und gibt einen OAuth-Fehler zurück, z. B. interaction_required, access_denied oder consent_required.
Die Weiterleitung
Der OAuth-Server leitet Ihren Browser dann wie vorgesehen einschließlich der Fehlerparameter und des Status an die registrierte Umleitungs-URI der App weiter, die in diesen Fällen die Domain des Angreifers ist.
Für den Benutzer ist dies nur ein kurzer Blitz einer Microsoft- oder Google-URL, gefolgt von einer anderen Seite. Es ist unwahrscheinlich, dass jemand die Fehler in der Abfragezeichenfolge bemerkt.
Landing Page
Das Ziel wird auf eine Seite umgeleitet, die wie eine legitime Anmelde- oder Unternehmenswebsite aussieht. Dabei könnte es sich durchaus um einen Klon der Website einer vertrauenswürdigen Marke handeln.
Von hier aus gibt es zwei mögliche böswillige Szenarien:
Phishing / Attacker-in-the-Middle-Variante (AitM)
Eine normale Anmeldeseite oder eine Bestätigungsaufforderung, manchmal mit CAPTCHAs oder Interstitials, um vertrauenswürdiger zu wirken und einige Kontrollen zu umgehen.
Die E-Mail-Adresse ist möglicherweise bereits ausgefüllt, da die Angreifer sie über den Statusparameter übermittelt haben.
Wenn der Benutzer Anmeldedaten und Multi-Faktor-Authentifizierung (MFA) eingibt, fängt das Man-in-the-Middle-Toolkit diese ab, einschließlich Session-Cookies, und leitet sie weiter, sodass die Erfahrung legitim erscheint.
Variante der Malware-Verbreitung
Sofort (oder nach einer kurzen Zwischenseite) ruft der Browser einen Download-Pfad auf und lädt automatisch eine Datei herunter.
Der Kontext der Seite passt zum Köder („Sicheres Dokument herunterladen“, „Ressourcen für Besprechungen“ usw.), sodass es sinnvoll erscheint, die Datei zu öffnen.
Das Ziel könnte das Öffnen der Datei oder eine gewisse Verlangsamung des Systems bemerken, aber ansonsten ist die Kompromittierung praktisch unsichtbar.
Mögliche Auswirkungen
Durch das Sammeln von Anmeldedaten oder das Einpflanzen einer Hintertür hat sich der Angreifer nun Zugang zum System verschafft. Von dort aus kann er je nach seinen Zielen manuelle Aktivitäten ausführen, sich lateral bewegen, Daten stehlen oder Ransomware installieren.
Die gesammelten Anmeldedaten und Tokens können verwendet werden, um auf E-Mails, Cloud-Anwendungen oder andere Ressourcen zuzugreifen, ohne dass Malware auf dem Gerät verbleiben muss.
Wie man sicher bleibt
Da der Angreifer Ihr Token aus diesem Ablauf nicht benötigt (sondern nur die Weiterleitung in seine eigene Infrastruktur), wirkt die OAuth-Anfrage selbst möglicherweise weniger verdächtig. Seien Sie wachsam und befolgen Sie unseren Rat:
- Wenn Sie sich auf das Bewegen des Mauszeigers über Links verlassen, seien Sie besonders vorsichtig, wenn Sie sehr lange URLs mit oauth2, authorize und viel verschlüsseltem Text sehen, insbesondere wenn diese von außerhalb Ihrer Organisation stammen.
- Auch wenn der Anfang der URL legitim aussieht, sollten Sie sich bei einem vertrauenswürdigen Absender vergewissern, bevor Sie auf den Link klicken.
- Wenn Sie eine dringende E-Mail erhalten, die Sie sofort zu einer ungewöhnlichen Anmeldung zwingt oder einen unerwarteten Download startet, gehen Sie davon aus, dass es sich um einen bösartigen Angriff handelt, bis das Gegenteil bewiesen ist.
- Wenn Sie auf eine unbekannte Website weitergeleitet werden, brechen Sie den Vorgang ab und schließen Sie den Tab.
- Seien Sie sehr vorsichtig bei Dateien, die unmittelbar nach dem Klicken auf einen Link in einer E-Mail heruntergeladen werden, insbesondere von
/download/Pfade. - Wenn eine Website angibt, dass Sie etwas „ausführen“ oder „aktivieren“ müssen, um ein sicheres Dokument anzuzeigen, schließen Sie diese Website und überprüfen Sie, auf welcher Website Sie sich gerade befinden. Möglicherweise hat diese Website etwas im Schilde.
- Halten Sie Ihr Betriebssystem, Ihren Browser und Ihre bevorzugten Sicherheitstools auf dem neuesten Stand. Diese können viele bekannte Phishing-Kits und Malware-Downloads automatisch blockieren.
Profi-Tipp: Verwenden Sie Malwarebytes Guard, um festzustellen, ob die E-Mail, die Sie erhalten haben, ein Betrugsversuch ist oder nicht.
Wir berichten nicht nur über Betrugsfälle - wir helfen, sie aufzudecken
Cybersicherheitsrisiken sollten niemals über eine Schlagzeile hinausgehen. Wenn Ihnen etwas verdächtig erscheint, überprüfen Sie mit Malwarebytes Guard, ob es sich um einen Betrug handelt. Senden Sie einen Screenshot, fügen Sie verdächtige Inhalte ein oder teilen Sie einen Link, einen Text oder eine Telefonnummer, und wir sagen Ihnen, ob es sich um einen Betrug handelt oder nicht. Verfügbar mit Malwarebytes Premium für alle Ihre Geräte und in der Malwarebytes für iOS Android.
