Home » News » Cybersecurity » OAuth-Angriffe – wenn legitime Logins zur Malware-Schleuse werden

Kommentar: : OAuth-Angriffe – wenn legitime Logins zur Malware-Schleuse werden

Microsoft warnt vor anhaltenden Kampagnen, die OAuth-Weiterleitungen missbrauchen. Angreifer nutzen legitime Anmeldeseiten als Tarnung, um Nutzer auf Schadserver umzuleiten. Ziel ist nicht der Token-Diebstahl, sondern die Infektion von Endgeräten mit Malware.

1 Min. Lesezeit
Eingedrungene Malware
Foto: ©AdobeStock/rujlaphus

Identitätsplattformen gehören heute zu den zentralen Bausteinen moderner Unternehmensinfrastrukturen. Genau deshalb geraten sie zunehmend ins Visier von Cyberkriminellen. Neue Erkenntnisse von Microsoft zeigen, dass Angreifer verstärkt OAuth-basierte Authentifizierungsabläufe manipulieren, um Nutzer über scheinbar legitime Anmeldeprozesse auf schädliche Infrastruktur umzuleiten.

Warnung vor anhaltenden OAuth-Missbrauchskampagnen

In den beobachteten Kampagnen kombinieren Angreifer Phishing-E-Mails mit gezielt manipulierten OAuth-Weiterleitungen. Nutzer werden zunächst auf eine legitime Microsoft-Anmeldeseite geführt. Erst im weiteren Ablauf wird eine Fehlerbedingung ausgelöst, die eine Weiterleitung auf eine vom Angreifer kontrollierte Website auslöst.

Dort wird Malware bereitgestellt, die nach dem Download das Endgerät kompromittieren kann. Entscheidend ist dabei: OAuth selbst gilt nicht als Schwachstelle. Ausgenutzt wird vielmehr das legitime Weiterleitungsverhalten innerhalb von Authentifizierungsprozessen.

Vom Token-Diebstahl zur Gerätekompromittierung

Auffällig ist der strategische Wandel dieser Angriffe. Während frühere OAuth-Angriffe häufig auf den Diebstahl von Zugriffstoken zielten, verfolgen aktuelle Kampagnen ein anderes Ziel: die vollständige Kontrolle über das Endgerät.

Angreifer nutzen dabei gezielt das Vertrauen, das Nutzer in etablierte Identitätsanbieter setzen. Da der erste Kontakt über eine echte Anmeldeseite erfolgt, erscheint der Ablauf zunächst legitim. Viele Nutzer folgen deshalb den weiteren Schritten, bis sie schließlich eine schädliche Datei herunterladen oder ausführen.

Der Angriff verschiebt sich damit von kryptographischen Mechanismen auf eine andere Ebene: die Schnittstelle zwischen Identitätssystemen, Weiterleitungslogik und Nutzerverhalten. Werden diese Abläufe nicht kontinuierlich überprüft, entstehen neue Angriffsflächen.

Mehr Kontrolle über OAuth-Integrationen

Multi-Faktor-Authentifizierung erhöht zwar die Sicherheit von Benutzerkonten erheblich, schützt jedoch nicht vollständig vor dieser Form des Missbrauchs. Da der Angriff nicht primär auf Kontoübernahmen abzielt, sondern auf die Infektion des Endgeräts, greifen klassische Schutzmaßnahmen nur eingeschränkt.

Organisationen sollten daher die Zustimmung von Endnutzern für Drittanbieter-Anwendungen streng einschränken und zulässige Weiterleitungsadressen klar definieren. Ebenso wichtig ist eine kontinuierliche Überprüfung von OAuth-Anwendungsregistrierungen sowie die Analyse von Identitäts-Telemetriedaten auf ungewöhnliche Autorisierungsanfragen.

Identitätsinfrastrukturen sind heute ein sicherheitskritischer Bestandteil der Unternehmens-IT. Werden Integrationen und Authentifizierungsprozesse nicht mit derselben Disziplin verwaltet wie privilegierte Zugriffe, können sie unbemerkt zum Einfallstor für Angreifer werden.

Porträt Shane Barney
Foto: Keeper Security

Shane Barney, Chief Information Security Officer (CISO) bei Keeper Security

Newsletter Abonnieren

Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.

Andere interessante News

Bruch zwischen den USA und Europa

US-Urteil bringt Europas Fundament für transatlantischen Datentransfer ins Wanken

Ein Urteil des US Supreme Court zu Entlassungsrechten des Präsidenten trifft Europa an empfindlicher Stelle: beim EU-US Data Privacy Framework. Die Entscheidung zeigt, warum Datens...

AI Datenanalyse

Mittelstand nutzt KI – doch oft bleibt sie im Silo

Drei von vier mittelständischen Unternehmen setzen künstliche Intelligenz bereits produktiv ein. Eine Studie von CANCOM und ServiceNow zeigt aber: Integration, Sicherheit und Gover...

Nutzung von AI im SOC

Die Amnesie der Abwehr

KI-Agenten sollen Security Operations Center schneller und effizienter machen. Doch vielen Systemen fehlt, was erfahrene Analysten auszeichnet: ein belastbares Gedächtnis für Vorfä...