Microsoft OAuth zwakte zorgt voor MFA-phishing

Microsoft OAuth zwakte zorgt voor MFA-phishing

Persberichten
Security
Redactie WINMAG Pro

Proofpoint heeft een cluster van activiteiten geïdentificeerd die Microsoft OAuth-applicaties aanmaken en omleidingen creëren die leiden tot kwaadaardige URL's die credential phishing mogelijk maken. De activiteit werd begin 2025 voor het eerst waargenomen en is nog steeds aan de gang. 

Het doel van de campagnes is om OAuth-applicaties te gebruiken als een toegangspoort om andere activiteiten uit te voeren, voornamelijk om toegang te verkrijgen tot Microsoft 365-accounts via MFA-phishing. De phishingcampagnes maken gebruik van multifactorauthenticatie (MFA) attacker-in-the-middle (AiTM) phishingkits, voornamelijk Tycoon. Dergelijke activiteiten kunnen worden gebruikt voor informatieverzameling, het installeren van malware of het uitvoeren van aanvullende phishingcampagnes vanuit gecompromitteerde accounts. 

Proofpoint heeft deze techniek waargenomen in e-mailcampagnes met meer dan 50 geïmiteerde applicaties en meerdere verschillende phishingkits die deze aanvalsketen gebruiken, waaronder Tycoon en ODx. Het bedrijf heeft de waargenomen apps aan Microsoft gerapporteerd. 

Opmerkelijk is dat Microsoft in juni 2025 aankondigde dat het de standaardinstellingen in Microsoft 365 bijwerkt door "verouderde authenticatieprotocollen te blokkeren en beheerdersgoedkeuring te vereisen voor toegang tot apps van derden. Wijzigingen beginnen medio juli 2025 en zijn voltooid in augustus 2025." Deze update zal een positieve impact hebben op het algehele landschap en zal bedreigingsactoren die deze techniek gebruiken, belemmeren. 

Kortom, bedreigingsactoren creëren steeds innovatievere aanvalsketens om detecties te omzeilen en wereldwijd toegang te verkrijgen tot organisaties. Onderzoekers verwachten dat bedreigingsactoren steeds vaker de identiteit van gebruikers zullen aanvallen, waarbij AiTM-credential phishing de criminele industriestandaard wordt. 

Hieronder staan manieren om een organisatie te helpen zich te verdedigen tegen geavanceerde hybride (e-mail en cloud) bedreigingen: 

  • E-mailbeveiliging: Blokkeer en monitor kwaadaardige e-mailbedreigingen die gebruikers aanvallen. Effectieve BEC-preventieoplossingen kunnen de praktische aanvalsoppervlakken aanzienlijk minimaliseren. 
  • Cloudbeveiliging:  Identificeer accountovername (ATO) en ongeautoriseerde toegang tot gevoelige bronnen binnen een cloudomgeving. Deze oplossingen moeten nauwkeurige en tijdige detectie bieden van zowel de initiële accountcompromittering als activiteiten na de compromittering, inclusief inzicht in misbruikte services en applicaties. Pas automatische herstelmogelijkheden toe om de verblijftijd van aanvallers en potentiële schade te verminderen. 
  • Webbeveiliging: Isoleer potentieel kwaadaardige sessies die zijn gestart door links die zijn ingesloten in e-mailberichten. 
  • Beveiligingsbewustzijn: Train gebruikers om zich bewust te zijn van deze risico's bij het gebruik van Microsoft 365. 
  • FIDO: Overweeg het gebruik van FIDO-gebaseerde fysieke beveiligingssleutels (https://fidoalliance.org/how-fido-works). 

Klik hier voor het volledige rapport. 

Lees meer

Darktrace detecteert geavanceerde Linux-aanval via Auto-Color backdoor-malware
Darktrace detecteert geavanceerde Linux-aanval via Auto-Color backdoor-malware
GTIA lanceert nieuw wereldwijd comité om samenwerking en verbinding te versterken
GTIA lanceert nieuw wereldwijd comité om samenwerking en verbinding te versterken
Wiz for Exposure Management maakt hybride en on-premise omgevingen inzichtelijk en beheersbaar
Wiz for Exposure Management maakt hybride en on-premise omgevingen inzichtelijk en beheersbaar
SOC’s missen strategie voor dataverwerking
SOC’s missen strategie voor dataverwerking
Wiezoektwie.nl: Ontdek wat het internet over jou weet
Wiezoektwie.nl: Ontdek wat het internet over jou weet
Redactie WINMAG Pro
Door: Redactie WINMAG Pro
Redactie

Redactie WINMAG Pro

Redactie