Vor Kurzem leitete uns ein Kunde eine ungewöhnliche E-Mail zur weiteren Prüfung weiter. Die E-Mail enthielt den Hinweis auf eine geschützte Nachricht, die es erforderte einen Link anzuklicken, um sie zu lesen. Der Link verwies auf eine Adresse von Microsoft: „login.microsoftonline.com“. Die URL stammte tatsächlich von Microsoft und wies ein korrektes Zertifikat auf: „hxxps://login.microsoftonline.com/common/oauth2/authorize?client_id=00000002-0000-0ff1-ce00-000000000000“. Unter der URL wurde ein Fenster angezeigt, in dem Anmeldedaten eingegeben werden konnten. Soweit so gut. Für einen Benutzer ohne Security-Hintergrund war also erst einmal keine Bedrohung in Sicht.
Nach einer eingehenden Analyse zeigte sich jedoch, dass es sich um eine schädliche URL handelte. Doch wie ist es möglich, durch das Klicken auf eine Microsoft URL auf eine schädliche Website zu gelangen? – Der Grund ist eine von Hackern hinterlegte Umleitung. In diesem Fall erfolgte die Umleitung auf
die URL „hxxps://42781.z13.web.core.windows.net“, die eine scheinbar sichere und vertrauenswürdige HTTPS-Verbindung aufbaute. Dahinter verbarg sich jedoch ein Azure Blog Storage, der in der Vergangenheit bereits häufiger für Spam und Phishing-Kampagnen missbraucht wurde.
Die Angreifer hatten scheinbar eine „Enterprise App“ oder App Registration auf https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/RegisteredApps als Besitzer einer Azure Subscription eingerichtet. Dies ermöglichte es ihnen, die „AppID“ auszulesen und unter „Authentication“ die Option „Implicit Grant“ zu aktivieren. Dies ermöglichte die Umleitung. Unter dem Punkt „Logins“ der Rubrik „Monitoring“ konnten schließlich die entsprechenden Anmeldungen an der App eingesehen werden.
Die App kann durch Angabe eines „response_type“ schließlich so eingerichtet werden, dass die Zielseite Informationen über den Anwender oder ein OAUTH-Token empfängt. Über die Funktion „HTTP-Redirect“ kann dann von einer vertrauenswürdigen Domäne wie login.microsoftonline.com auf eine schädliche Webseite weitergeleitet werden, die anschließend z. B. eine OneDrive-Seite fälscht.
Quellen:
https://docs.microsoft.com/en-us/azure/storage/blobs/storage-custom-domain-name?tabs=azure-portal
Unsere Handlungsempfehlungen:
– Jede E-Mail, die in Ihrem Posteingang erscheint, sollte überprüft werden, egal von welchem Absender sie stammt: Überprüfen Sie nicht nur den Namen, sondern auch die E-Mail-Adresse. Bewegen Sie den Mauszeiger über alle Links (nicht klicken). So wird Ihnen das Linkziel angezeigt. Sollten diese Schritte nicht ausreichen, kontaktieren Sie den Absender telefonisch, um zu prüfen, ob er Ihnen diese Nachricht tatsächlich gesendet hat.
– Mit der Multi-Faktor-Authentifizierung (MFA) können Sie den Zugriff auf Anwendungen und die darin enthaltenen Informationen und Daten mithilfe einiger vordefinierter Komponenten sichern z. B. Einrichtung von Authenticator-Apps. Ziel ist es, nur denjenigen Zugriff zu gewähren, die ihn wirklich benötigen.
– Halten Sie Ihre Betriebssysteme und sämtliche Anwendungen immer auf dem neuesten Stand.
– Bieten Sie Ihren Mitarbeitern Awareness-Schulungen an, um sie im Umgang mit E-Mails und dubiosen Links zu sensibilisieren.