Sikkerhedsforskere har identificeret en OAuth-angrebsteknik med vedvarende adgang, som gør det muligt for hackere at bevare langsigtet adgang til kompromitterede konti.
Opdagelsen afslører et alvorligt svagt punkt i virksomheders identitetssikkerhed.
Analytikere fra Proofpoint har afsløret, at angribere udnytter OAuth til at registrere ondsindede interne apps i virksomheders miljøer.
Disse apps får betroede tilladelser og kan overleve standardforanstaltninger som nulstilling af adgangskoder.
Selv når brugere nulstiller adgangskoder eller aktiverer multifaktorgodkendelse (MFA), kan angribere fortsat få adgang til e-mails og filer.
Sådan fungerer OAuth-angrebet
Angriberne får først adgang gennem phishing eller tyveri af tokens.
Derefter opretter eller kompromitterer de en intern OAuth-applikation i organisationens Microsoft 365– eller Google Workspace-katalog.
Appen får avancerede tilladelser som Mail.Read eller offline_access, som genererer langtidsholdbare adgangstokens.
Disse tokens forbliver gyldige, selv efter at adgangskoder er blevet ændret.
Fordi appen eksisterer inden for organisationens miljø, betragtes den ofte som sikker.
Denne falske tillid gør det muligt for angribere at overvåge indbakker, kalendere og delte dokumenter i ugevis eller månedsvis uden at blive opdaget.
OAuth-angrebspersistens forvandler i praksis legitim infrastruktur til en skjult bagdør.
Hvorfor det er så farligt
I modsætning til almindelige legitimationsoplysninger udløber OAuth-tokens sjældent hurtigt.
Nogle kan forblive gyldige i flere år, medmindre de tilbagekaldes manuelt.
Dette gør OAuth-angrebspersistens ideel til langsigtet spionage eller datatyveri.
Angribere kan ubemærket udtrække følsomme dokumenter, videresende e-mails eller nulstille MFA-konfigurationer uden at udløse advarsler.
Traditionelle tiltag som nulstilling af adgangskoder eller deaktivering af konti vil ikke stoppe dem.
Sådan kan organisationer beskytte sig
Sikkerhedseksperter anbefaler proaktiv overvågning og streng kontrol af applikationer:
- Gennemfør ugentlige revisioner af interne og tredjeparts OAuth-apps.
- Tilbagekald og slet ukendte eller mistænkelige appregistreringer.
- Håndhæv korte tokenlevetider og obligatorisk tilbagekaldelse.
- Begræns, hvem der kan registrere OAuth-apps i organisationen.
- Uddan administratorer i OAuth-persistens og identitetsbaserede trusler.
Konklusion
Teknikken for OAuth-angrebspersistens ændrer den måde, forsvarere skal tænke kontosikkerhed på.
Adgangskoder og MFA er ikke længere nok til at stoppe et brud.
Organisationer skal overvåge alle appforbindelser, gennemgå tokenrettigheder og håndhæve øjeblikkelig tilbagekaldelse.
Kun ved at kontrollere OAuth-adgang kan virksomheder forhindre angribere i at opretholde skjulte fodfæster i deres netværk.
0 svar til “OAuth-angrebspersistens – hackere beholder adgang efter nulstilling af adgangskoder”