Misbruik OAuth-applicaties: hoe blijf je veilig?

Misbruik OAuth-applicaties: hoe blijf je veilig?

Security
Redactie WINMAG Pro

De afgelopen jaren zijn cloud account takeover (ATO)-aanvallen een significante zorg geworden. Cybercriminele en staatsgesponsorde actoren gebruiken steeds vaker kwaadaardige OAuth-applicaties om blijvend toegang te krijgen binnen gecompromitteerde omgevingen. Deze aanvallen staan kwaadwillende actoren toe om gebruikersaccounts over te nemen, verkenningswerk te verrichten, data te stelen en verdere kwaadaardige activiteiten te ondernemen. 

Voornamelijk de security-implicaties zijn verontrustend. Als een aanvaller eenmaal toegang heeft tot een cloudaccount, dan kan deze aanvaller interne (second-party) applicaties aanmaken en autoriseren met op maat gemaakte scopes en machtigingen. Deze functie maakt permanente toegang tot kritieke bronnen zoals mailboxen en bestanden mogelijk. Hierdoor worden traditionele securitymaatregelen als wachtwoordwijzigingen effectief omzeilt.  

Onderzoekers bij Proofpoint hebben een tool ontwikkeld om deze aanvalsvector beter te begrijpen en demonstreren. Deze tool automatiseert de ontwikkeling van kwaadaardige interne applicaties met een gecompromitteerde cloudomgeving. 

OAuth-applicaties: second-party versus third-party 

Binnen de context van cloudomgevingen, en zeker Microsoft Entra ID, is het van belang om het verschil tussen second- en third-party applicaties te begrijpen. 

Second-party applicaties zijn direct geregistreerd binnen de tenant van een organisatie. Deze interne applicaties worden over het algemeen aangemaakt en beheerd door de beheerders of gebruikers van de organisatie met de juiste rechten. Second-party applicaties ervaren een zekere mate van impliciet vertrouwen binnen de omgeving, gezien ze afkomstig zijn uit de eigen directory van de organisatie. 

Third-party applicaties worden daarentegen geregistreerd in externe tenants en vragen toegang tot bronnen in tenants van andere organisaties. Bekende voorbeelden zijn veelgebruikte diensten als Zoom en DocuSign. Third-party applicaties worden doorgaans aan extra controles onderworpen via administratieve goedkeuringsworkflows en het securitybeleid van de organisatie voordat ze toegang krijgen.

Dit onderscheid is vooral belangrijk vanuit het securityperspectief, omdat dreigingsactoren vaak de voorkeur geven aan het maken van second-party applicaties tijdens post-exploitatiefasen. Deze interne applicaties zijn moeilijker te detecteren. Ook kunnen ze beveiligingsmaatregelen omzeilen die voornamelijk zijn ontworpen voor het monitoren van externe applicaties. 

Aanvalsflow 

Cybercriminelen gebruiken vaak een combinatie van technieken om toegang te krijgen tot acounts van cloudgebruikers. Een veelgebruikte tactiek is het gebruik van reverse proxy-toolkits in combinatie met geïndividualiseerde phishing-lokmiddelen. Hiermee kunnen inloggegevens en sessiecookies worden gestolen. 

Zodra de aanvallers inloggegevens van een gebruiker hebben gestolen, kunnen ze ongeautoriseerde toegang krijgen tot beoogde accounts. Dit vormt de basis voor de volgende aanvalsfasen, waarbij dreigingsactoren zich richten op het maken en inzetten van kwaadaardige OAuth-applicaties. Dit proces verloopt vaak als volgt: 
 

  • Het gebruikmaken van de rechten van gecompromitteerde accounts om nieuwe interne applicaties te registreren. 
  • Het configureren van specifieke machtigingen en API-scopes voor maximale impact. 
  • Het autoriseren van deze applicaties om toegang te krijgen tot kritieke organisatorische bronnen. 

De strategische waarde van deze aanpak ligt in de persistentie van het mechanisme: zelfs als de inloggegevens van de gecompromitteerde gebruiker worden gereset of als er multi-factorauthenticatie wordt toegepast, behouden de kwaadaardige OAuth-applicaties hun geautoriseerde toegang. Hierdoor ontstaat een veerkrachtige backdoor die onbeperkt onopgemerkt kan blijven binnen de omgeving, tenzij deze specifiek wordt geïdentificeerd en verholpen. 

Aanbevelingen voor herstelmaatregelen 

Bij het ontdekken van verdachte kwaadaardige applicaties in de omgeving, zijn onmiddellijke herstelmaatregelen van cruciaal belang, waaronder het intrekken van clientgeheimen; maak alle clientgeheimen onmiddellijk ongeldig en verwijder alle bestaande certificaten. Hierdoor kan de applicatie onmiddellijk geen nieuwe tokens meer aanvragen. Als je dan toch bezig bent, kan je ook alle gebruikerstokens onmiddelijk intrekken. 

Vervolgens kan je de applicaties het best verwijderen. Daarmee bedoelen we de volledige applicatieregistratie en trek daarbij ook alle eerder verleende machtigingen in. Verwijder alle bijbehorende service identiteiten. 

Dan begint de bescherming; implementeer voortdurende monitoring. Door bedrijfsapplicaties continu te monitoren en automatische herstelmaatregelen toe te passen, kunnen bedrijven voorkomen dat aanvallers blijvende toegang krijgen tot waardevolle bronnen. Dit helpt ook het voorkomen van het uitvoeren van verdere aanvallen.

Geef gebruikers als laatste meer mogelijkheden: zij vormen een essentieel onderdeel van de verdediging. Bedrijven kunnen regelmatig trainingen organiseren om werknemers aan te leren hoe ze: 

  • Kwaadaardige applicaties en tenants herkennen die geloofwaardig lijken. 
  • Onverwachte toestemmingsverzoeken behandelen als verdacht. 
  • Ongebruikelijke applicatieautorisaties onmiddellijk melden.

Klik hier voor het volledige onderzoek.

Lees meer

Shadow AI ondermijnt IT-beleid en security
Shadow AI ondermijnt IT-beleid en security
Onderzoek van Rubrik: identiteitsweerbaarheid cruciaal nu de AI-golf de werkplek overspoelt met AI-agents
Onderzoek van Rubrik: identiteitsweerbaarheid cruciaal nu de AI-golf de werkplek overspoelt met AI-agents
Aankomende Cyberbeveiligingswet vraagt veel van organisaties – begin op tijd!
Aankomende Cyberbeveiligingswet vraagt veel van organisaties – begin op tijd!
Wat de Cloudflare storing blootlegt
Wat de Cloudflare storing blootlegt
Hoe beveiligingscamera's werken zonder WiFi of stroom
Hoe beveiligingscamera's werken zonder WiFi of stroom
Redactie WINMAG Pro
Door: Redactie WINMAG Pro
Redactie

Redactie WINMAG Pro

Redactie