Get best of the week

Verwenden von Malware in Azure, um Zugriff auf Microsoft 365-Mandanten zu erhalten



Phishing bleibt eine der erfolgreichsten Methoden, um ein Unternehmen zu infiltrieren. Wir haben eine große Anzahl von Malware-Infektionen festgestellt, die von Benutzern verursacht wurden, die infizierte Anhänge öffnen oder Links zu bösartigen Websites folgen, die versucht haben, anfällige Browser oder Plugins zu gefährden.

Jetzt, da Unternehmen so schnell auf Microsoft 365 umsteigen, sehen wir einen neuen Angriffsvektor - Azure-Anwendungen .

Wie Sie unten sehen werden, können Cyberkriminelle schädliche Azure-Anwendungen zur Verwendung in ihren Phishing-Kampagnen erstellen, maskieren und bereitstellen. Azure-Anwendungen erfordern keine Genehmigung von Microsoft und, was noch wichtiger ist, keine Codeausführung auf dem Computer des Benutzers, wodurch es einfach ist, Erkennungstools und Antivirenprogramme auf Arbeitsstationen zu umgehen.

Nachdem der Angreifer das Opfer überzeugt hat, die bösartige Azure-Anwendung zu installieren, kann er herausfinden, zu welcher Organisation das Opfer gehört, auf die Dateien des Opfers zugreifen, seine E-Mails lesen, E-Mails im Namen des Opfers senden (ideal für einen internen Phishing-Angriff) und allgemein viel mehr.

Was sind Azure-Apps?


Microsoft hat den Azure-Anwendungsdienst erstellt, damit Benutzer ihre eigenen Cloud-basierten Anwendungen erstellen können, die Azure-APIs und -Ressourcen aufrufen und verwenden können. Auf diese Weise können Sie auf einfache Weise leistungsstarke benutzerdefinierte Programme erstellen, die sich in das Microsoft 365-Ökosystem integrieren lassen.

Eine der häufigsten APIs in Azure ist die MS Graph-API . Diese API ermöglicht Anwendungen die Interaktion mit der Benutzerumgebung, nämlich Benutzern, Gruppen, OneDrive-Dokumenten, Exchange Online-Postfächern und Chats.



So wie Ihr iOS-Telefon Sie fragt, ob der Anwendung Zugriff auf Ihre Kontakte oder Ihren Standort gewährt werden kann, fordert Azure Sie auf, der Anwendung Zugriff auf die erforderlichen Ressourcen zu gewähren. Offensichtlich kann ein Angreifer diese Gelegenheit nutzen, um einer Anwendung betrügerisch Zugriff auf eine oder mehrere vertrauliche Cloud-Ressourcen zu gewähren.

Wie ist der Angriff


Um diesen Angriff auszuführen, muss der Angreifer über die Webanwendung selbst und den Azure-Mandanten verfügen, um ihn hosten zu können. Nach dem Einrichten des Stores können wir über den Link eine Phishing-Kampagne starten, um die Azure-Anwendung zu installieren: Der



Link in der E-Mail leitet den Benutzer zu einer von Angreifern kontrollierten Website (z. B. myapp.malicious.com ), die das Opfer auf die Microsoft-Anmeldeseite umleitet . Der Authentifizierungsprozess wird vollständig von Microsoft ausgeführt, sodass die Verwendung der Multi-Faktor-Authentifizierung keine Lösung darstellt.

Sobald der Benutzer seine O365-Instanz betritt, wird ein Token für die schädliche Anwendung erstellt, und der Benutzer wird aufgefordert, sich anzumelden und der Anwendung die erforderlichen Berechtigungen zu erteilen. So sieht es für den Endbenutzer aus (und es sollte sehr vertraut aussehen, wenn der Benutzer die Anwendung zuvor in SharePoint oder Teams installiert hat):



Hier sind die MS Graph-API-Berechtigungen, die vom Angreifer im Code unserer Anwendung angefordert werden:



Wie Sie sehen, steuert der Angreifer den Namen der Anwendung ("MicrosoftOffice"). ) und Verknüpfung (wir haben die OneNote-Verknüpfung verwendet). Die URL ist eine gültige Microsoft-URL, das Zertifikat ist ebenfalls gültig.

Der Name des Mandanten des Angreifers und eine Warnmeldung werden jedoch unter dem Anwendungsnamen angezeigt, und weder der eine noch der andere können ausgeblendet werden. Der Angreifer hofft, dass der Benutzer es eilig hat, eine vertraute Verknüpfung sieht und diese Informationen so schnell und gedankenlos überspringt wie Benachrichtigungen über Nutzungsbedingungen.

Durch Klicken auf "Akzeptieren" erteilt das Opfer unseren Antragsberechtigungen im Namen seines Kontos. Das heißt, der Antrag kann die E-Mails des Opfers lesen und auf alle Dateien zugreifen, auf die das Opfer Zugriff hat.

Dieser Schritt ist der einzige, der die Zustimmung des Opfers erfordert. Von nun an hat der Angreifer die volle Kontrolle über das Benutzerkonto und die Ressourcen .

Nach Zustimmung zum Antrag wird das Opfer auf die Website unserer Wahl weitergeleitet. Der Vergleich des letzten Benutzerzugriffs auf Dateien und die Umleitung zu einem der kürzlich geöffneten internen SharePoint-Dokumente kann ein guter Trick sein, um ein Minimum an Verdacht zu erregen.

Erhaltene Chancen


Dieser Angriff ist ideal für folgende Aktivitäten:

  • Intelligenz (Abrufen einer Liste von Konten, Gruppen und Objekten im Benutzermandanten);
  • Internes Phishing
  • Diebstahl von Daten aus Dateiressourcen und E-Mail.

Um die Leistungsfähigkeit unserer Azure-Anwendung zu veranschaulichen, haben wir eine lustige Konsole erstellt, in der Ressourcen angezeigt werden, auf die wir im Rahmen unseres PoC-Tests (Proof of Concept) zugegriffen haben: Im



Abschnitt „Ich“ werden die Details des Opfers angezeigt. Im Abschnitt



„Benutzer“ werden die oben genannten Metadaten angezeigt Ein einzelner Benutzer in einer Organisation, einschließlich einer E-Mail-Adresse, einer Mobiltelefonnummer, einer Berufsbezeichnung usw., abhängig von den Attributen des Active Directory der Organisation. Dieser API-Aufruf allein kann zu einem massiven Verstoß gegen die Datenschutzrichtlinien führen, insbesondere im Rahmen von GDPR und CCPA.



Kalenderabschnittzeigt uns die Ereignisse im Kalender des Opfers. Wir können auch Termine in ihrem Namen planen, vorhandene Besprechungen anzeigen und sogar zukünftige Besprechungen löschen.

Der vielleicht wichtigste Abschnitt in unserer Konsolenanwendung ist der Abschnitt "RecentFiles" , in dem wir alle Dateien anzeigen können, auf die der Benutzer in OneDrive oder SharePoint zugegriffen hat. Wir können auch Dateien hochladen oder ändern (einschließlich Dateien mit schädlichen Makros, um einen Angriff zu entwickeln).



WICHTIG: Wenn wir über diese API auf die Datei zugreifen, erstellt Azure einen eindeutigen Link. Dieser Link ist für jedermann von überall zugänglich, auch wenn die Organisation keinen anonymen Austausch von Links für normale 365 Benutzer zulässt.
API-Links sind etwas Besonderes. Ehrlich gesagt sind wir uns nicht sicher, warum sie nicht durch die Unternehmensrichtlinie für den Linkaustausch blockiert werden. Möglicherweise möchte Microsoft vorhandene Benutzeranwendungen nicht beschädigen, wenn sich die Richtlinie ändert. Die Anwendung kann einen Download-Link oder einen Link zum Ändern der Datei anfordern - in unserem PoC haben wir beide angefordert.

Im Abschnitt "Outlook" haben wir vollen Zugriff auf die E-Mail-Adresse des Opfers. Wir können die Empfänger jeder Nachricht sehen, sie nach Priorität filtern, E-Mails senden (internes Phishing) und vieles mehr.



Indem wir die E-Mails des Opfers lesen, können wir den Kreis ihrer Kommunikation und die am stärksten gefährdeten Kontakte aus diesem Kreis identifizieren, interne Phishing-E-Mails im Namen unseres Opfers senden und so einen Angriff innerhalb der Organisation entwickeln. Wir können auch die E-Mail-Adresse und die Kontakte des Opfers aus ihrem Kreis verwenden, um die Daten herauszufiltern, die wir in 365 finden.

Darüber hinaus verfügt Microsoft über eine API, die Informationen zum aktuellen Kommunikationskreis des Opfers bereitstellt:



Wie oben erwähnt, können wir Benutzerdateien ändern vorbehaltlich der einschlägigen Rechte. Aber was ist, wenn wir die API zum Ändern von Dateien verwenden?



Eine Möglichkeit besteht darin, unsere schädliche Azure-Anwendung in ein Ransomware-Programm umzuwandeln, das Dateien remote verschlüsselt, auf deren Änderung das Opfer in SharePoint und OneDrive zugreifen kann:



Trotzdem ist diese Methode der Dateiverschlüsselung nicht zuverlässig (da einige Dateien mit strengeren Sicherungseinstellungen wiederhergestellt werden können), aber Mandanten mit Standardkonfigurationen können Daten dauerhaft verlieren. Andererseits können wir jederzeit vertrauliche Daten herausbringen und mit deren Veröffentlichung drohen, es sei denn, wir erhalten ein Lösegeld.

Andere Quellen:

  • Kevin Mitnik führte eine ähnliche Cloud-basierte Verschlüsselungsmethode ein, die für Postfächer gilt.
  • Krebs On Security schrieb auch einen guten Beitrag über einen solchen Angriff in seinem Blog.

Dringlichkeit des Problems


Das Bewusstsein für diese Phishing-Technik ist heute relativ gering. Viele Experten wissen nicht, welchen potenziellen Schaden ein Angreifer verursachen kann, wenn nur ein Mitarbeiter in der Organisation Zugriff auf die schädliche Azure-Anwendung gewährt. Das Erteilen der Zustimmung zu einer Azure-Anwendung unterscheidet sich nicht wesentlich vom Ausführen einer schädlichen EXE-Datei oder dem Aktivieren von Makros in einem Dokument eines unbekannten Absenders. Da dies jedoch ein neuerer Vektor ist, für den kein Code auf dem Computer des Benutzers ausgeführt werden muss, ist es schwieriger zu erkennen und zu blockieren.

Wie wäre es mit dem Deaktivieren aller Anwendungen von Drittanbietern?


Microsoft empfiehlt nicht, ein Verbot für Benutzer festzulegen, um Anwendungen Berechtigungen zu erteilen:
„Sie können integrierte Anwendungen für Ihren Mandanten deaktivieren. Dies ist ein radikaler Schritt, der den Endbenutzern weltweit die Möglichkeit nimmt, auf Mieterebene eine Einwilligung zu erteilen. Dies verhindert, dass Ihre Benutzer versehentlich Zugriff auf eine schädliche Anwendung gewähren. Dies ist keine starke Empfehlung, da dies die Fähigkeit Ihrer Benutzer, mit Anwendungen von Drittanbietern zu arbeiten, ernsthaft beeinträchtigt. “

Wie kann ich Missbrauch von Azure-Apps erkennen?


Der einfachste Weg, illegale Berechtigungen zu erkennen, besteht darin, Zugriffsereignisse in Azure AD zu verfolgen und Ihre Unternehmensanwendungen regelmäßig im Azure-Portal zu überprüfen.

Stellen Sie sich immer Fragen:

  • Kenne ich diese App?
  • Gehört es zu einer Organisation, die ich kenne?

Für Varonis-Kunden: Das DatAlert-Modul verfügt über Bedrohungsmodelle, die böswillige Berechtigungen erkennen. Es ist auch möglich, eigene Benachrichtigungsregeln für die Freigabe von Azure-Apps zu erstellen.

Wie entferne ich schädliche Anwendungen?


Wechseln Sie im Azure-Portal zum Abschnitt "Unternehmensanwendungen" auf der Registerkarte "Azure Active Directory" und deinstallieren Sie die Anwendungen. Ein normaler Benutzer kann die zuvor erteilten Berechtigungen löschen, indem er zu myapps.microsoft.com geht, die dort aufgeführten Anwendungen überprüft und die Berechtigungen nach Bedarf widerruft.

Ausführliche Anweisungen finden Sie in den offiziellen Richtlinien von Microsoft .

More articles:


All Articles