„`html
Was ist passiert?
Die Phishing-as-a-Service-Plattform EvilTokens kompromittierte innerhalb von fünf Wochen über 340 Microsoft 365-Organisationen in fünf Ländern. Die Angreifer nutzten einen raffinierten OAuth-Consent-Bypass, bei dem Opfer aufgefordert wurden, einen Code auf microsoft.com/devicelogin einzugeben und ihre MFA zu durchlaufen – ohne zu bemerken, dass sie damit böswilligen Anwendungen Zugriff gewährten.
Hintergrund & Bedeutung
Diese Attacke zeigt eine kritische Sicherheitslücke im OAuth 2.0-Protokoll. Während Multi-Faktor-Authentifizierung als Schutzmaßnahme gilt, kann sie durch Social Engineering umgangen werden. Die Angreifer missbrauchten das legitime Device-Login-Verfahren von Microsoft und täuschten Nutzer vor, dass sie sich „normal“ authentifizieren würden.
Das Risiko liegt in der Kombination aus phishing-as-a-service-Infrastruktur und OAuth-Token-Harvesting. Kompromittierte Accounts ermöglichen Angreifern persistenten Zugriff auf E-Mails, Dateien und weitere SaaS-Anwendungen – oft unbemerkt von konventionellen Sicherheitslösungen.
Empfehlungen für IT-Teams
- Conditional Access Policy: Implementieren Sie strikte Policies für OAuth-Consent-Genehmigungen
- App-Whitelisting: Nur vorab genehmigte Anwendungen dürfen Zugriff auf Unternehmensressourcen erhalten
- Sicherheitstraining: Schulen Sie Mitarbeiter zu OAuth-Phishing und Verification-Tricks
- Token-Monitoring: Überwachen Sie verdächtige Token-Aktivitäten und Refresh-Token-Missbrauch
- Passwordless Authentication: Migrieren Sie zu Windows Hello oder Hardware-Keys
Fazit
OAuth-Consent-Phishing ist eine der gefährlichsten modernen Angriffsvektoren, da traditionelle MFA-Schutzmaßnahmen umgangen werden. Nur ein Zero-Trust-Ansatz mit striktem Application Governance bietet angemessenen Schutz.
Quelle: Original Artikel
„`