Criminelen maken misbruik van geverifieerde OAuth-applicaties van Microsoft. Hierdoor geven nietsvermoedende gebruikers sneller toestemming aan kwaadaardige externe applicaties. Hackers krijgen ermee toegang tot data, bestanden, e-mailberichten, e-mailinstellingen en accountinstellingen. Experts van Proofpoint ontdekten de aanval, die Microsoft inmiddels heeft stopgezet.
De ict-beveiligingsexperts kwamen erachter dat het verificatieproces in het Microsoft Cloud Partner Programma (MCPP) rammelt, waardoor criminelen kwaadaardige OAuth-applicaties konden gebruiken. Ze kregen de status van verified publisher, wat vertrouwen schept bij ontvangers van een phishing-bericht. In zo’n bericht wordt de lezer aangespoord de OAuth-applicatie te accepteren, waarna de hackers toegang krijgen tot allerlei gegevens en instellingen.
OAuth
OAuth is een veelgebruikt standaardprotocol voor authenticatie en autorisatie van aanbieders van externe applicaties. Die applicaties krijgen ermee toestemming om bijvoorbeeld accountinformatie in te zien. Omdat dit niet zonder risico’s is, moet de identiteit van de bouwers van dergelijke applicaties vooraf worden geverifieerd. Dit gebeurt onder meer via het partnerprogramma MCPP.
Toepassingen waarvan de ontwikkelaar een geverifieerde OAuth-status heeft, genieten veel vertrouwen. Als cybercriminelen er misbruik van maken, heeft dit dus grote impact op de ict-beveiliging.
Britse gebruikers
De experts van Proofpoint ontdekten de cyberaanval afgelopen december bij Britse gebruikers. Ze identificeerden drie schadelijke applicaties gemaakt door drie verschillende uitgevers. De aanvallen waren gericht op dezelfde bedrijven. Meerdere medewerkers bleken de geïnfecteerde apps te autoriseren, waardoor hun bedrijfsomgevingen werden gecompromitteerd.
Door snel te handelen wist Microsoft de criminelen binnen een week na de melding door Proofpoint te stoppen. De schadelijke apps zijn uitgeschakeld en worden onderzocht, aldus het securitybedrijf. Microsoft heeft inmiddels zijn processen voor de goedkeuring van partners en documentatie over OAuth-applicaties bijgewerkt om toekomstige aanvallen te voorkomen.
