Wie OAuth-Anwendungen über Tenant-Grenzen schützen/detektieren?

Publiziert am 17. März 2024 von Günter Born

[English]Es ist eine Frage, die sich wohl jeder Sicherheitsverantwortliche stellt, wenn es um die Cloud und den Zugriff auf Dienste mittels OAuth geht. Die Fragestellung: Wie lassen sich OAuth-Anwendungen über Tenant-Grenzen schützen/detektieren? Und wie kann man das mit Microsoft-Technologie erledigen. Mir ist die Tage ein entsprechender Beitrag von Jeffry Appel unter die Augen gekommen, den ich hier zur Information verlinke.

Anzeige

Ich habe es ja im Blog angerissen: Selbst Microsoft ist mit seiner Cloud mehrfach das Opfer erfolgreicher Cyberangriffe. Stichworte sind der Hack durch Storm-0558 sowie der Angriff von Midnight Blizzard. Florian Hansemann hat die Tage in nachfolgendem Tweet auf den bereits Ende Januar 2024 erschienen Artikel Pivot via OAuth applications across tenants and how to protect/detect with Microsoft technology? (Midnight blizzard) von Jeffrey Appel verwiesen.

Wie OAuth-Anwendungen über Tenant-Grenzen schützen/detektieren?

Jeffrey Appel wurde durch den erfolgreichen Angriff der mutmaßlich staatsnahmen russischen Hackergruppe Midnight Blizzard zu seinem Artikel inspiriert. Midnight Blizzard war es durch eine Passwort-Spray-Attacke gelungen, ein Benutzerkonto auf einem nicht zu Produktionszwecken verwendeten Microsoft Test-Server in der Azure-Cloud zu übernehmen. Anschließend gelang es der Gruppe – wohl über OAuth – den Zugriff auf weitere Tenants auszuweiten und das Exchange Online-Mailsystem von Microsoft zu kapern. In seinem Blog-Beitrag zeichnet Jeffrey Appel nochmals den Angriff auf Microsoft durch die russischen Hacker nach.

  • Schritt 1: Durch Password-Spraying gelang die Kompromittierung eines nicht produktiven Legacy-Testerkontos ohne MFA.
  • Schritt 2: Verwendung diese Kontos als Identitäts-Footholds zur Identifizierung und Kompromittierung einer OAuth-Legacy-Anwendung mit erweitertem Zugriff auf die Microsoft-Unternehmensumgebung.
  • Schritt 3: Der Akteur erstellte dann zusätzliche bösartige OAuth-Anwendungen und erstellte ein neues Benutzerkonto, um den vom Akteur kontrollierten bösartigen OAuth-Anwendungen in der Microsoft-Unternehmensumgebung die Zustimmung zu erteilen oder zusätzliche API-Berechtigungen für Zustimmungen zu verwenden.
  • Schritt 4: Der Bedrohungsakteur verwendete die Test-OAuth-Anwendung, um die Rolle full_access_as_app als Teil von Office 365 Exchange online zu gewähren, die den Zugriff auf die gewünschten Postfächer ermöglicht.

So konnten die Angreifer gezielt die Mails von Microsoft Führungskräften mitlesen. Ich hatte im Blog-Beitrag Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert einige Details genannt. Inzwischen musste Microsoft eingestehen, dass die Angriffe von Midnight Blizzard weitergehen und Quellcode von Produkten eingesehen werden konnte (siehe Artikellinks am Beitragsende).

Anzeige

In seinem Artikel zeichnet Jeffrey Appel einige Details, wie die Angreifer vorgegangen sein müssen, nach und gibt einige grundlegende Härtungstipps in Bezug auf App-Registrierungen/OAuth-Anwendungen, zum Schutz vor ähnlichen Angriffen. Vielleicht ganz lesenswert für Administratoren in diesem Umfeld.

Ähnliche Artikel:
Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert
Microsoft bestätigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen
Hewlett Packard Enterprise (HPE) von Midnight Blizzard seit Mai 2023 gehackt

China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt
Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln
Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit
GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten
Microsofts Cloud-Hack: Überprüfung durch US Cyber Safety Review Board
Microsoft Cloud-Hack durch Storm-0548: US-Senatoren unter den Opfern; Prüfpflicht für europäische Verantwortliche
Nachgehakt: Storm-0558 Cloud-Hack und Microsofts Schweigen
Microsofts Storm-0558 Cloud-Hack: Schlüssel stammt aus Windows Crash Dump eines PCs
Mehr als 60.000 E-Mails des US-Außenministeriums beim Microsofts Storm-0558 Cloud-Hack abgegriffen

Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit – Teil 1
Sicherheitsrisiko Microsoft? Azure-Schwachstelle seit März 2023 ungepatcht, schwere Kritik von Tenable – Teil 2
Storm-0558 Hack: Microsoft hat Purview Audit generell für US-Behörden seit Feb. 2024 freigegeben

Anzeige
Dieser Beitrag wurde unter Cloud, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Wie OAuth-Anwendungen über Tenant-Grenzen schützen/detektieren?

  1. TBR sagt:
    17. März 2024 um 10:50 Uhr

    Wer O365 bereut solle Jeffery's Blog kennen. Dort findet Ihr ausgezeichnet Beschreibungen und wie was konfiguriert werden sollte.

    Antworten
  2. Gigabernie sagt:
    17. März 2024 um 12:46 Uhr

    Lustiger Tippfehler – hoffe ich…

    Antworten
  3. mmusterm sagt:
    17. März 2024 um 15:29 Uhr

    Hier eine mutmaßliche Erklärung mit mehr technischem Tiefgang von Andy Robbins, SpectreOps:

    https[:]//posts.specterops.io/microsoft-breach-what-happened-what-should-azure-admins-do-da2b7e674ebc

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.