Bösartige Azure-Apps

Sicherheitsforscher von Varonis, Spezialist für daten-zentrierte Cybersicherheit, weisen mit einem neuen Proof of Concept auf die Gefahren bösartiger Azure-Apps hin. Durch diese Angriffsart stehen Hacker im Wesentlichen die gleichen Möglichkeiten offen wie durch das Ausführen bösartiger Exe-Dateien oder die Aktivierung von Makros in Dokumenten. So können Daten exfiltriert, E-Mail-Konten gekapert und Informationen über Gruppen-Mitglieder ausgelesen werden. Als besonders gefährlich stufen die Experten dabei die Erstellung einzigartiger Links zu genutzten Dateien ein. Diese sind für jeden von jedem beliebigen Ort aus zugänglich, auch wenn das Unternehmen keine anonymen Sharing-Links zulässt. Trotz der enormen Risiken ist dieser Angriffsvektor bislang noch recht unbekannt. Insofern sollten Sicherheitsverantwortliche ihre Mitarbeiter hierfür gezielt sensibilisieren, die eingesetzten Azure-Apps regelmäßig überprüfen und verdächtige Anwendungen gegebenenfalls entfernen.

Mit der weiter stark steigenden Verbreitung von Office-365 entstehen neue Risiken und Herausforderungen. Ein relativ neuer und deshalb auch noch recht unbekannter Angriffsvektor sind bösartige Azure-Apps. Hacker können diese recht einfach erstellen, den bösartigen Applikationen scheinbar legitime Namen geben, vertraute Icons zuordnen und über Phishing-Kampagnen verteilen. Azure-Anwendungen erfordern keine Genehmigung von Microsoft und führen keinen Code auf dem Rechner des Benutzers aus, wodurch es einfach ist, die Endpoint-Sicherheitskontrollen und AV-Software zu umgehen. Der Link in der Phishing-Mail führt zu einer Website des Angreifers, die das Opfer nahtlos zur Anmeldeseite von Microsoft weiterleitet. Der Authentifizierungsfluss wird vollständig von Microsoft abgewickelt, so dass die Verwendung der Multi-Faktor-Authentifizierung keine praktikable Lösung darstellt. Zwar wird bei der Installation der App darauf hingewiesen, dass diese nicht von Microsoft veröffentlicht wurde, jedoch überfliegen viele Nutzer schnell und gedankenlos diese Hinweise, ganz ähnlich wie bei der Zustimmung von Nutzungsbedingungen. Gleichwohl ist dieser Schritt der einzige, der die Zustimmung des Opfers erfordert. Von diesem Zeitpunkt an hat der Angreifer die vollständige Kontrolle über das Konto und die Ressourcen des Benutzers.

Azure-App-Angriffe eignen sich aus Hackersicht somit ideal zur Aufklärung (Identifizierung von Benutzern, Gruppen und Objekten), für gezielte Spear-Phishing-Kampagnen durch scheinbar „interne“ Gruppenmitglieder und zum Stehlen von Dateien und E-Mails aus Office-365. In ihrem Proof of Concept erhielten die Sicherheitsforscher über die von ihnen erstellte App Zugriff auf die Metadaten sämtlicher Nutzer inklusive E-Mail-Adressen, Mobiltelefonnummern, Job-Titel und ähnliches (was nicht nur aufgrund der DSGVO problematisch ist), den Kalender und Outlook-Konto des Opfers sowie kürzlich verwendete Dateien. All dies eröffnet Angreifern diverse Möglichkeiten nicht nur zum Datendiebstahl, sondern auch für weitere Angriffe.

Weitere Informationen zum Proof of Concept und den Gefahren durch Azure-Apps unter https://www.varonis.com/blog/using-malicious-azure-apps-to-infiltrate-a-microsoft-365-tenant/

#Varonis