Sikkerhetsforskere har identifisert en OAuth-angrepsmetode for vedvarende tilgang som lar hackere beholde langvarig tilgang til kompromitterte kontoer.
Oppdagelsen avslører et alvorlig svakt punkt i bedrifters identitetssikkerhet.
Analytikere fra Proofpoint har avdekket at angripere utnytter OAuth til å registrere ondsinnede interne apper i bedriftsmiljøer.
Disse appene får betrodde tillatelser og kan overleve standard sikkerhetstiltak.
Selv når brukere tilbakestiller passord eller aktiverer flerfaktorautentisering (MFA), kan angripere fortsette å få tilgang til e-post og filer.
Slik fungerer OAuth-angrepet
Angriperne får først tilgang gjennom phishing eller tokentyveri.
Deretter oppretter eller kompromitterer de en intern OAuth-applikasjon i organisasjonens Microsoft 365– eller Google Workspace-katalog.
Appen får høynivåtillatelser som Mail.Read eller offline_access, som genererer langvarige tilgangstoken.
Disse tokenene forblir gyldige selv etter at passord er endret.
Fordi appen finnes inne i organisasjonens miljø, oppfattes den ofte som trygg.
Denne falske tilliten lar angripere stille overvåke innbokser, kalendere og delte dokumenter i uker eller måneder.
Modellen for OAuth-angrepspersistens gjør i praksis legitim infrastruktur til en skjult bakdør.
Hvorfor det er så farlig
I motsetning til vanlige legitimasjoner utløper OAuth-token sjelden raskt.
Noen kan forbli gyldige i flere år med mindre de tilbakekalles manuelt.
Dette gjør OAuth-angrepspersistens til et ideelt verktøy for langsiktig spionasje eller datatyveri.
Angripere kan i stillhet hente ut sensitive dokumenter, videresende e-post eller tilbakestille MFA-konfigurasjoner uten å utløse varsler.
Tradisjonelle tiltak som passordtilbakestilling eller deaktivering av kontoer vil ikke stoppe dem.
Hvordan organisasjoner kan beskytte seg
Sikkerhetseksperter anbefaler proaktiv overvåking og streng applikasjonskontroll:
- Gjennomfør ukentlige revisjoner av interne og tredjeparts OAuth-apper.
- Tilbakekall og slett ukjente eller mistenkelige appregistreringer.
- Håndhev korte tokenlevetider og obligatorisk tilbakekalling.
- Begrens hvem som kan registrere OAuth-apper i organisasjonen.
- Tren administratorer i OAuth-persistens og identitetsbaserte trusler.
Konklusjon
Teknikken for OAuth-angrepspersistens endrer hvordan forsvarere må forstå kontosikkerhet.
Passord og MFA er ikke lenger nok til å stoppe et brudd.
Organisasjoner må overvåke hver appforbindelse, gjennomgå tokenrettigheter og håndheve umiddelbar tilbakekalling.
Bare ved å kontrollere OAuth-tilgang kan virksomheter hindre angripere i å opprettholde skjulte fotfester i nettverkene sine.
0 svar til “OAuth-angrepspersistens – hackere opprettholder tilgang etter tilbakestilling av passord”