Hoe aanvallers OAuth-applicaties gebruiken om blijvend toegang te krijgen tot de cloud

De afgelopen jaren zijn cloud account takeover (ATO)-aanvallen een significante zorg geworden. Cybercriminele en staatsgesponsorde actoren gebruiken steeds vaker kwaadaardige OAuth-applicaties om blijvend toegang te krijgen binnen gecompromitteerde omgevingen. Deze aanvallen staan kwaadwillende actoren toe om gebruikersaccounts over te nemen, verkenningswerk te verrichten, data te stelen en verdere kwaadaardige activiteiten te ondernemen. 

Voornamelijk de security-implicaties zijn verontrustend. Als een aanvaller eenmaal toegang heeft tot een cloudaccount, dan kan deze aanvaller interne (second-party) applicaties aanmaken en autoriseren met op maat gemaakte scopes en machtigingen. Deze functie maakt permanente toegang tot kritieke bronnen zoals mailboxen en bestanden mogelijk. Hierdoor worden traditionele securitymaatregelen als wachtwoordwijzigingen effectief omzeilt.  

Onderzoekers bij Proofpoint hebben een tool ontwikkeld om deze aanvalsvector beter te begrijpen en demonstreren. Deze tool automatiseert de ontwikkeling van kwaadaardige interne applicaties met een gecompromitteerde cloudomgeving. 

OAuth applicatietypes: second-party versus third-party 

Binnen de context van cloudomgevingen, en zeker Microsoft Entra ID, is het van belang om het verschil tussen second- en third-party applicaties te begrijpen. 

Second-party applicaties. Deze applicaties zijn direct geregistreerd binnen de tenant van een organisatie. Deze interne applicaties worden over het algemeen aangemaakt en beheerd door de beheerders of gebruikers van de organisatie met de juiste rechten. Second-party applicaties ervaren een zekere mate van impliciet vertrouwen binnen de omgeving, gezien ze afkomstig zijn uit de eigen directory van de organisatie.

Third-party applicaties. Deze applicaties worden geregistreerd in externe tenants en vragen toegang tot bronnen in tenants van andere organisaties. Bekende voorbeelden zijn veelgebruikte diensten als Zoom en DocuSign. Third-party applicaties worden doorgaans aan extra controles onderworpen via administratieve goedkeuringsworkflows en het securitybeleid van de organisatie voordat ze toegang krijgen. Dit onderscheid is vooral belangrijk vanuit het securityperspectief, omdat dreigingsactoren vaak de voorkeur geven aan het maken van second-party applicaties tijdens post-exploitatiefasen. Deze interne applicaties zijn moeilijker te detecteren. Ook kunnen ze beveiligingsmaatregelen omzeilen die voornamelijk zijn ontworpen voor het monitoren van externe applicaties. 

Aanvalsflow 

Cybercriminelen gebruiken vaak een combinatie van technieken om toegang te krijgen tot acounts van cloudgebruikers. Een veelgebruikte tactiek is het gebruik van reverse proxy-toolkits in combinatie met geïndividualiseerde phishing-lokmiddelen. Hiermee kunnen inloggegevens en sessiecookies worden gestolen. 

Zodra de aanvallers inloggegevens van een gebruiker hebben gestolen, kunnen ze ongeautoriseerde toegang krijgen tot beoogde accounts. Dit vormt de basis voor de volgende aanvalsfasen, waarbij dreigingsactoren zich richten op het maken en inzetten van kwaadaardige OAuth-applicaties. Dit proces verloopt vaak als volgt: 

• Het gebruikmaken van de rechten van gecompromitteerde accounts om nieuwe interne applicaties te registreren. 
• Het configureren van specifieke machtigingen en API-scopes voor maximale impact. 
• Het autoriseren van deze applicaties om toegang te krijgen tot kritieke organisatorische bronnen. 

De strategische waarde van deze aanpak ligt in de persistentie van het mechanisme: zelfs als de inloggegevens van de gecompromitteerde gebruiker worden gereset of als er multi-factorauthenticatie wordt toegepast, behouden de kwaadaardige OAuth-applicaties hun geautoriseerde toegang. Hierdoor ontstaat een veerkrachtige backdoor die onbeperkt onopgemerkt kan blijven binnen de omgeving, tenzij deze specifiek wordt geïdentificeerd en verholpen. 

Aanbevelingen voor herstelmaatregelen  bij het ontdekken van verdachte kwaadaardige applicaties in de omgeving:

Intrekking van clientgeheimen: maak alle clientgeheimen onmiddellijk ongeldig. Verwijder alle bestaande certificaten. Hierdoor kan de applicatie onmiddellijk geen nieuwe tokens meer aanvragen. 

Intrekking van gebruikerstokens: trek onmiddellijk alle bestaande gebruikerstokens in. 

Verwijderen van applicaties: verwijder de volledige applicatieregistratie en trek alle eerder verleende machtigingen in. Verwijder alle bijbehorende service identiteiten. 

Implementeer voortdurende monitoring: door bedrijfsapplicaties continu te monitoren en automatische herstelmaatregelen toe te passen, kunnen bedrijven voorkomen dat aanvallers blijvende toegang krijgen tot waardevolle bronnen. Dit helpt ook het voorkomen van het uitvoeren van verdere aanvallen 

Geef gebruikers meer mogelijkheden: gebruikers vormen een essentieel onderdeel van de verdediging. Bedrijven kunnen regelmatig trainingen organiseren om werknemers aan te leren hoe ze:  Kwaadaardige applicaties en tenants herkennen die geloofwaardig lijken.  Onverwachte toestemmingsverzoeken behandelen als verdacht.  Ongebruikelijke applicatieautorisaties onmiddellijk melden.

Klik hier voor het volledige onderzoek.