Home » News » Cloud & Web » OAuth wird zur Angriffswaffe

Dynamit-Phishing: : OAuth wird zur Angriffswaffe

Cyber-Kriminelle missbrauchen den OAuth-Device-Code-Flow für Phishing ohne Passwortdiebstahl. Kommerzielle Angriffswerkzeuge machen aus einer legitimen Komfortfunktion eine breit angelegte Gefahr für Cloud-Identitäten.

2 Min. Lesezeit
Device Authentifikationskonzept
Foto: ©AdobeStock/ArtemisDiana

Wenn Phishing bislang vor allem mit gefälschten Anmeldeseiten, gestohlenen Passwörtern oder eingeschleuster Schadsoftware verbunden wurde, zeigt Device Code Phishing eine deutlich perfidere Entwicklung: Der Nutzer gibt seine Zugangsdaten nicht preis, sondern autorisiert selbst den Zugriff einer von Angreifern kontrollierten Anwendung. Genau darin liegt die Sprengkraft dieser Methode, die Sicherheitsforscher treffend als „Dynamit-Phishing“ bezeichnen.

Der Angriff nutzt keinen technischen Fehler im klassischen Sinn aus, sondern einen legitimen OAuth-Autorisierungsprozess. Der sogenannte OAuth 2.0 Device Code Authorization Grant wurde ursprünglich für Geräte entwickelt, auf denen die Eingabe langer Passwörter umständlich ist, etwa Smart-Fernseher, Haushaltsgeräte oder Fahrzeug-Entertainment-Systeme. Der Nutzer meldet sich dabei auf einem zweiten Gerät an, gibt einen Code ein und erlaubt der Anwendung den Zugriff.

Komfortfunktion wird zum Einfallstor

Bei einem Angriff kontrolliert der Cyber-Kriminelle die Anwendung von Beginn an. Er erzeugt einen Nutzer-Code und eine Verifizierungsadresse und bringt das Opfer dazu, diesen Code auf einer echten Anmeldeseite einzugeben. Der Vorgang wirkt vertrauenswürdig, weil keine gefälschte Login-Seite nötig ist. Sobald der Nutzer den Zugriff bestätigt, erhält der Angreifer ein Access Token und kann auf geschützte Ressourcen zugreifen.

Besonders kritisch ist, dass sich die Client-Anwendung gegenüber dem Autorisierungs-Server häufig nicht stark genug ausweisen muss. Zudem sind Client-Kennungen oft nicht geheim. Angreifer können daher bekannte Kennungen missbrauchen, die von Cloud-Diensten bereits als vertrauenswürdig behandelt werden.

Angriffe im industriellen Maßstab

Die Gefahr wächst, weil Device Code Phishing zunehmend industrialisiert wird. Plattformen wie „EvilTokens“ liefern die notwendige Infrastruktur, Köder, Umgehungstechniken und Benachrichtigungssysteme als Dienstleistung. Damit wird aus einer anspruchsvollen Angriffstechnik ein skalierbares Geschäftsmodell, das auch weniger erfahrenen Tätern offensteht.

Besonders verwundbar sind zentralisierte Cloud-Architekturen, in denen viele Mandanten über gemeinsame Autorisierungsendpunkte und allgemein bekannte Client-Kennungen erreichbar sind. Ein einziger automatisierter Angriff kann dadurch eine enorme Zahl potenzieller Opfer erfassen. Dezentrale Identitätsarchitekturen verringern dieses Risiko, weil Angreifer für jedes Ziel deutlich mehr Vorarbeit leisten müssten.

Unternehmen müssen den Flow kontrollieren

Die wichtigste Gegenmaßnahme besteht darin, den Device Code Flow standardmäßig zu blockieren und nur in begründeten Ausnahmefällen zuzulassen. In vielen Umgebungen lässt sich dies über bedingte Zugriffsrichtlinien umsetzen. Wo der Ablauf für interne Anwendungen zwingend erforderlich ist, sollten Unternehmen zusätzlich mit IP-Allowlisting arbeiten, damit Token nur aus vertrauenswürdigen Netzwerkbereichen vergeben werden.

Ebenso wichtig ist eine kontinuierliche Überwachung auffälliger Token-Anfragen und Nutzerfreigaben. Device Code Phishing zeigt, dass moderne Angriffe nicht immer Passwörter stehlen müssen. Manchmal reicht es, legitime Autorisierungsprozesse gegen ihre Nutzer zu wenden.

Newsletter Abonnieren

Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.

Andere interessante News

Bruch zwischen den USA und Europa

US-Urteil bringt Europas Fundament für transatlantischen Datentransfer ins Wanken

Ein Urteil des US Supreme Court zu Entlassungsrechten des Präsidenten trifft Europa an empfindlicher Stelle: beim EU-US Data Privacy Framework. Die Entscheidung zeigt, warum Datens...

AI Datenanalyse

Mittelstand nutzt KI – doch oft bleibt sie im Silo

Drei von vier mittelständischen Unternehmen setzen künstliche Intelligenz bereits produktiv ein. Eine Studie von CANCOM und ServiceNow zeigt aber: Integration, Sicherheit und Gover...

Nutzung von AI im SOC

Die Amnesie der Abwehr

KI-Agenten sollen Security Operations Center schneller und effizienter machen. Doch vielen Systemen fehlt, was erfahrene Analysten auszeichnet: ein belastbares Gedächtnis für Vorfä...