Die Varonis Threat Labs haben bei Zoom, Box und Google-Docs Schwachstellen entdeckt, die Cyberkriminellen eine einfache Fälschung von Einladungs-URLs ermöglichen. Dadurch erwecken Phishing-Links selbst bei geschulten Mitarbeitenden einen vertrauenswürdigen Anschein, was die Wahrscheinlichkeit einer erfolgreichen Attacke wesentlich erhöht: Wenn sie auf den Link ihres vermeintlichen Arbeitgebers, Kunden oder Partner klicken, werden sie auf eine authentisch wirkende Phishing-Seite geleitet, auf der sie sensitive Daten wie Passwörter und persönliche Informationen preisgeben sollen. Je nach Social-Engineering-Technik erscheinen diese Angaben den Nutzern als durchaus plausibel. So könnte etwa zu einem aktuellen internen Webinar aufgrund eines vermeintlichen Cyberangriffs eingeladen werden, in dessen Vorfeld zunächst das Passwort geändert werden müsse. Während Box diese Schwachstelle geschlossen hat, sind bei Zoom und Google solche Manipulationen noch möglich.
Was sind Vanity-URLs?
Viele SaaS-Anwendungen bieten so genannte Vanity-URLs an, also anpassbare Webadressen für Webseiten, Formulare und Links zur Dateifreigabe. Mit Vanity-URLs lässt sich ein personalisierter Link erstellen wie etwa varonis.example.com/s/1234 anstelle von app.example.com/s/1234. Die Varonis Threat Labs entdeckten jedoch, dass einige Anwendungen die Legitimität der Subdomäne der Vanity-URL (z. B. ihrunternehmen.example.com) nicht validieren, sondern nur den URI (wie /s/1234). Infolgedessen können Angreifer ihre eigenen SaaS-Konten verwenden, um Links zu bösartigen Inhalten wie Dateien, Ordnern, Landing-Pages oder Formularen zu generieren, die scheinbar von dem SaaS-Konto des eigenen Unternehmens gehostet werden. Um dies zu erreichen, muss lediglich die Subdomäne im Link geändert werden. Entsprechend können diese gefälschten URLs für Phishing-Kampagnen, Social-Engineering-Angriffe, Reputationsangriffe und die Verbreitung von Malware verwendet werden.
Zoom
Zoom ermöglicht Unternehmen eine Vanity-URL wie ihrunternehmen.zoom.us, um Webinar-Registrierungsseiten, Login-Seiten für Mitarbeiter, Meetings, Aufzeichnungen und ähnliches zu hosten. Dabei können Logos hochgeladen und das Farbschema angepasst werden. Auf diese Weise können Angreifer ihre eigenen URLs durch eine scheinbar legitime Domäne ersetzen und die Zielseiten täuschend echt gestalten. In aller Regel (wenn auch nicht immer) erscheint bei der Weiterleitung jedoch eine Pop-up-Warnung, die darüber informiert, dass die Nutzer im Begriff sind, auf externe Inhalte zuzugreifen, die nicht zur eigenen Domäne gehören. Gleichwohl werden diese Hinweise gerade bei weniger geschulten Mitarbeitenden häufig ignoriert, sodass dieser Weg durchaus eine effektive Angriffstechnik sein kann.
Bei einigen Zoom-Webinaren konnten die Varonis-Experten die Registrierungs-URL so ändern, dass sie die Subdomain eines beliebigen Unternehmens enthielt, ohne eine Warnmeldung auszulösen. Auf diese Weise können bösartige Webinar-Registrierungsformulare eingesetzt werden, um die persönlichen Daten oder Passwörter der Mitarbeitenden oder Kunden abzufangen.
Deshalb mahnt das Varonis Threat Labs zur Vorsicht bei Zoom-Links, insbesondere bei solchen, die „.zoom.us/rec/play/“ enthalten, und keine sensiblen persönlichen Daten in Formulare zur Meeting-Registrierung einzugeben, selbst wenn das Formular auf einer offiziellen Subdomain mit dem richtigen Logo und Branding gehostet zu werden scheint. Derzeit arbeitet Zoom noch an einer Lösung für diese Probleme.
Google-Docs und Google-Forms
Auch Webanwendungen, die nicht über eine dedizierte Vanity-URL-Funktion verfügen, lassen sich auf ähnliche Weise missbrauchen. So können Google-Formulare, in denen vertrauliche Daten abgefragt werden, mit dem Logo des jeweiligen Unternehmens versehen und an Kunden oder Mitarbeitende als ihrunternehmen.docs.google.com/forms/d/e/:form_id/viewform verteilt werden, um einen legitimen Anschein zu erwecken. Ebenso kann jedes Google-Dokument, das über die Option „Im Web veröffentlichen“ freigegeben wird, gefälscht werden. Momentan arbeitet Google an einer Behebung dieser Problematik.
Fazit
SaaS-Vanity-URLs sind eine nützliche Funktion, die den Benutzern eine individuelle Gestaltung ermöglicht und, wenn sie sicher implementiert ist, zum Schutz der Benutzer vor Phishing-Versuchen beitragen kann. Wie die Varonis Threat Labs jedoch gezeigt haben, können diese URLs gefälscht werden und sollten wie jede andere URL mit Misstrauen behandelt werden. Mitarbeitende müssen über das Risiko aufgeklärt werden, das mit dem Anklicken solcher Links und insbesondere mit der Übermittlung von persönlichen Daten und anderen sensiblen Informationen über Formulare verbunden ist, selbst wenn diese scheinbar von den genehmigten SaaS-Konten Ihres Unternehmens gehostet werden.
„Unternehmen schulen ihre Mitarbeiter darin, beim Öffnen von E-Mails wachsam und vorsichtig zu sein, aber URL-Spoofing kann dies wirkungsvoll aushebeln“, sagt Michael Scheffler, Country Manager DACH von Varonis. „Vanity-URL-Spoofing ist eine perfekte Möglichkeit für Angreifer, persönliche Informationen wie Passwörter und sensitive Daten zu ergaunern oder Benutzer zum Herunterladen bösartiger Dateien zu verleiten. Deshalb müssen Sicherheitsverantwortliche wachsam sein und insbesondere auf verdächtige Aktivitäten in Ihren SaaS-Anwendungen achten.“
Info: Weitere Beispiele und Hintergründe finden sich im entsprechenden Blog-Beitrag von Varonis, in diesem Video wird der Angriffsvektor anschaulich erklärt.
#Varonis
