52 procent van de organisaties kampt met inbreuk op cloud-accounts
Zorgen over misbruik van OAuth-applicaties
29 maart 2021 -
Enterprise app stores zoals Microsoft AppSource en Google Workspace Marketplace bieden miljoenen nuttige OAuth-apps en -add-ons. Denk aan analytics, security, CRM, document management, prouct management en meer. Een OAuth-app is een applicatie die samenwerkt met een cloud-dienst, maar ook kan worden geleverd door een andere partij dan de cloud-dienstverlener.
De meeste OAuth-apps vragen gebruikers toestemming om toegang te krijgen tot informatie en gegevens en deze te beheren. Maar ook om de gebruiker aan te melden bij andere cloud-apps. Zij kunnen bijvoorbeeld toegang krijgen tot bestanden van gebruikers, hun agenda's lezen, namens hen e-mails versturen en nog veel meer.
Omdat OAuth-apps in grote mate toegang hebben tot cloud-applicaties, zijn ze een steeds interessanter doelwit en aanvalsmiddel voor cybercriminelen geworden. Aanvallers gebruiken verschillende methoden om OAuth-apps te misbruiken, waaronder het kraken van app-certificaten, wat ook gebeurde in de SolarWinds/Solorigate-campagne.
Volgens een nieuwe analyse van Proofpoint misbruiken aanvallers steeds vaker legitieme OAuth-apps om gegevens weg te sluizen en toegang te houden tot specifieke cloud-diensten nadat ze een account hebben overgenomen. In het afgelopen jaar hebben cybercriminelen bij 95 procent van de organisaties geprobeerd cloud-accounts over te nemen en in meer dan 50 procent van de gevallen was ten minste één aanval succesvol. Bij meer dan 30 procent van de gecompromitteerden was er sprake van criminele activiteiten na het verkrijgen van toegang. Voorbeelden hiervan zijn bestandsmanipulatie, het doorsturen van e-mails en OAuth-activiteiten. Bij tien procent van de organisaties werden geautoriseerde schadelijke OAuth-apps aangetroffen. Hierdoor hadden aanvallers toegang tot gebruikersinformatie en -gegevens en konden ze deze beheren, terwijl ze zich namens de gebruiker konden aanmelden bij andere cloud-apps.
Risico van cloud-integraties met OAuth
Deze add-on-apps gebruiken OAuth-verificatie om beperkte toegang tot clouddiensten te verkrijgen. Met OAuth kunnen accountinformatie of -gegevens van een gebruiker door apps worden gebruikt zonder dat het wachtwoord van de gebruiker wordt ingevoerd. OAuth werkt via HTTPS en gebruikt access tokens (in plaats van aanmeldingsgegevens) om apparaten, API's, servers en toepassingen te autoriseren.
Schadelijke apps phishen gebruikers om toestemming te krijgen voor toegang tot cloud-diensten
Een schadelijke applicatie is een vorm van cloud-malware die verschillende trucs gebruikt, zoals phishing van OAuth-tokens en app-imitatie, om gebruikers te verleiden toestemming te geven. Voor deze apps zijn meestal gevoelige gebruikersrechten nodig, zodat ze niet worden ontdekt door een IT-beheerder en toch toegang bieden tot de gevoelige informatie. Alleen al in 2020 ontdekte Proofpoint meer dan 180 malafide applicaties, waarvan de meeste meerdere gebruikers aanvielen.
Misbruik van OAuth is alomtegenwoordig
Proofpoint monitort duizenden afnemers van cloud-diensten en meer dan twintig miljoen actieve cloudgebruikers. In een onderzoek naar de gegevens over 2020 constateerde Proofpoint het volgende:
95 procent van de organisaties was een doelwit
52 procent van de organisaties had ten minste één gecompromitteerd account
32 procent van de gedupeerde organisaties ondervond activiteiten na het verkrijgen van toegang, zoals bestandsmanipulatie, het doorsturen van e-mails en OAuth-activiteiten
tien procent van de organisaties had schadelijke OAuth-apps geautoriseerd
OAuth-misbruik gaat vaak hand in hand met accountovernames
Applicaties die worden misbruikt zijn meestal legitieme applicaties die door een aanvaller worden geautoriseerd en/of gebruikt om een niet-legitieme activiteit uit te voeren. Voorbeelden hiervan zijn het wegsluizen van data of de toegang tot specifieke middelen behouden wanneer een account wordt overgenomen. De belangrijkste reden om voor deze methode te kiezen is de beperkte zichtbaarheid en de duurzaamheid:
Met misbruikte applicaties kan de aanvaller ofwel een legitieme applicatie toevoegen aan het pakket met cloud-diensten of een bestaande applicatie gebruiken die eerder is geautoriseerd door de accounteigenaar. De toestemming voor een nieuwe app zou geen vragen oproepen en de logs zouden legitiem zijn. Voor schadelijke applicaties daarentegen is meestal buitengewone toestemming van de accounteigenaar nodig.
Dergelijke aanvallen zijn bestand tegen wachtwoordwijzigingen en multifactor-authenticatie (MFA), de twee belangrijkste instrumenten die worden gebruikt tegen het compromitteren van accounts. Dit geldt ook voor kwaadaardige OAuth-apps.
Hoe aanvallers OAuth-applicaties misbruiken:
Inloggen op applicaties: Aanvallers kunnen een applicatie misbruiken door er direct toegang toe te krijgen. Dit kan op verschillende manieren gebeuren. Bijvoorbeeld door in te loggen in de bestaande applicatie van het slachtoffer vanaf het apparaat van de aanvaller. Of door een nieuwe applicatie te autoriseren wanneer een account is overgenomen en deze in te stellen voor extern gebruik.
Certificaatupdate: Bij de recente aanval van SolarWinds speelden X.509-certificaten een cruciale rol. Deze certificaten worden in veel internetprotocollen gebruikt om gegevens privé en veilig over te dragen tussen een server en een client. Wanneer dit digitale certificaat is ondertekend door een vertrouwde certificeringsinstantie, bevestigt het dat iemand is wie hij zegt dat hij is - het domein, de organisatie of de persoon die in het certificaat is vermeld. Aanvallers kunnen certificaten stelen of aanmaken door systemen voor ondertekening te kraken.
Client secret-misbruik: Een client secret is een wachtwoord voor een applicatie. Het wordt gebruikt op een manier die vergelijkbaar is met die van applicatiecertificaten. Een client secret wordt aangemaakt in hetzelfde Azure AD-dashboard als certificaten. Geheimen kunnen worden gebruikt met andere OAuth2.0-flows dan de "Authorization Code Flow" (d.w.z. mobiele apps). De secrets zijn meestal 34 bytes lang en niet te wijzigen. De secret kan worden opgeslagen en verzonden als platte tekst. De code kan worden gekopieerd bij het maken ervan, nog voordat hij wordt versleuteld. Vaak wordt de client secret door de accounteiegenaar ergens opgeslagen als platte tekst in een bestand, mail of notitie.
Configuratiewijzigingen: Zodra een account is overgenomen, kan de aanvaller de lijst met applicaties van de accounteigenaar inzien. Elke applicatie heeft zijn eigen instellingen. Veel applicaties staan verschillende soorten koppelingen of interfaces met andere accounts of applicaties toe. De aanvaller kan een applicatie naar keuze configureren voor interactie met een account of een applicatie die is ingesteld op het apparaat van de aanvaller.
Misbruik van antwoord-URL’s: Wanneer een applicatie wordt geauthenticeerd, wordt het token gedeeld met een antwoord-URL, die kan aantonen waar de applicatiehost of de gebruikersclient zich bevindt. Nadat een aanvaller toegang heeft verkregen tot iemands account, kan hij een antwoord-URL (web-URL) toevoegen aan een bestaande applicatie in de app-instellingen om deze vervolgens te misbruiken.
Applicatiebeheer is cruciaal om misbruik van OAuth tegen te gaan
Applicatiemisbruik - een aanvaller die een legitieme applicatie gebruikt - betekent niet dat de applicatie kwetsbaar is
Organisaties moeten OAuth-applicaties actief beheren, de toegekende rechten aan applicaties minimaliseren en de gebruikerslijst beheren om risico's te verminderen
Applicaties met beheerdersrollen en app-gedelegeerde rechten vormen een groter risico omdat ze, wanneer ze worden misbruikt, een aanvaller bredere toegang verschaffen
Inlogcodes of client secrets mogen nooit worden opgeslagen als platte tekst
Een applicatie moet eigenaars hebben die het mechanisme van de applicatie begrijpen en wijzigingen bijhouden. Niet iedere gebruiker zou certificaten moeten kunnen ondertekenen.
Er moet op afwijkingen worden gelet, zoals vreemde toestemming voor een ongebruikelijke applicatie of de toevoeging van secrets, certificaten en antwoord-URL's van onbekende domeinen.