Angreifer nisten sich in Exchange Online ein – mit bösartigen OAuth-Apps

Microsoft hat Angriffe auf Cloud-Exchange analysiert, bei denen Angreifer mit bösartigen OAuth-Apps nachhaltig Zugang erlangten und ihn für Spam missbrauchen.

In Pocket speichern vorlesen Druckansicht 13 Kommentare lesen
Aufmacher Bösartige OAuth-Apps zum Einnisten in Exchange Online

(Bild: vectorfusionart/Shutterstock.com)

Lesezeit: 3 Min.
Von
Inhaltsverzeichnis

Mit präparierten OAuth-Apps haben sich Angreifer nach Einbrüchen in Exchange-Online-Systeme eingenistet und persistenten Zugriff darauf erlangt, berichtet Microsoft. Die gekaperten Exchange-Systeme missbrauchten die Cyberkriminellen zum Spam-Versand.

Die Einbrüche selbst gelangen durch sogenanntes Credential Stuffing, also dem Ausprobieren bekannter Passwörter etwa aus früheren Datenlecks. Dies konnte insbesondere dann gelingen, wenn Administratoren keine Mehr-Faktor-Authentifizierung aktiviert hatten, betont Microsoft.

Mit dem gekaperten Zugang zur Cloud-Instanz konnten die Angreifer schließlich eine bösartige OAuth-Anwendung erstellen, die einen sogenannten eingehenden Connector zum E-Mail-Server hinzufügte. Durch diesen konnten sie Spam-Mails versenden, die so aussahen, als kämen sie von der Domain des Cloud-Instanz-Mieters. Die Spam-E-Mails bewarben Microsoft zufolge ein betrügerisches Gewinnspiel, das die Empfänger dazu bringen sollte, sich für wiederkehrende kostenpflichtige Abonnements anzumelden.

Details zu den Angriffen erläutert ein Blog-Beitrag von Microsoft. Demnach konzentrieren sich die Angreifer auf Zugänge mit globaler Admin-Rolle, damit sie ausreichende Berechtigungen zum Installieren der OAuth-App haben und dieser administrative Zustimmung geben können. Die Anmeldeversuche richteten sich an die Azure Active Directory PowerShell-App, die auch später zum Ausführen des Rests des Angriffs zum Einsatz kommt.

War der Einbruch erfolgreich, haben die Angreifer mutmaßlich mit einem Powershell-Skript automatisiert eine bösartige OAuth-App verankert. Dieser haben sie die Berechtigung Exchange.ManageAsApp sowie die Administrator-Zustimmung zu dieser Berechtigung gegeben. Schließlich schusterten sie der neu registrierten App globale Admin- und Exchange-Online-Admin-Rechte zu und ergänzten für sie Zugangsdaten wie Schlüssel, Zertifikat oder beides. Dadurch bleibt diese App für sie zugreifbar, selbst wenn das Passwort des vom Einbruch betroffenen Kontos geändert wird. Die Angreifer benutzten diese Hintertür nicht immer sofort, sondern ließen sich teilweise Tage oder Wochen dafür Zeit.

Mit den weitreichenden Zugriffsrechten haben die Einbrecher dann einen eingehenden Connector im Exchange angelegt. Mit einem Connector kann man den Weg anpassen, über den E-Mails zwischen der Organisation und dem Exchange-Server laufen. Ein Connector ist etwa dann nötig, wenn E-Mails aus oder mit anderen Systemen verarbeitet werden sollen. Beispielsweise lassen sich damit Mails durch eine externe Appliance filtern. Mit dem neu angelegten Connector können die Angreifer Mails von bestimmten IPs direkt in den Exchange-Online-Server leiten.

Weiter legten die Angreifer Transport-Regeln im Exchange an, die diverse Header-Informationen aus den durchgeleiteten Mails entfernen. Das soll die Erkennung der Mails durch Sicherheitsprodukte oder von E-Mail-Providern erschweren. Das ermöglichte schließlich den Spam-Versand. Nach jeder Spam-Kampagne haben die Cyberkriminellen den Connector und die Transport-Regeln gelöscht, um der Erkennung zu entgehen. Lediglich die manipulierte OAuth-App verblieb im System.

Microsoft leitet aus den beobachteten Angriffen Gegenmaßnahmen ab, die IT-Verantwortliche umsetzen sollten. Sämtliche kompromittierte Administratorzugänge, die durch Credential Stuffing zugänglich waren, hatten keine Mehr-Faktor-Authentifizierung aktiviert. Diese Option sollte aktiviert werden, damit nicht Kontoname und Passwort alleine genügen, um Zugang zu erhalten. Außerdem sollten Organisationen auf bedingte Zugangsrichtlinien (Conditional Access Policies) setzen. Diese begrenzen den Zugriff auf bestimmte IP-Bereiche und Gerätevoraussetzungen.

(dmk)