In einem aktuellen Blogpost hat Microsoft jetzt die Nutzer vor dem sogenannten „Credential Stuffing“und die folgenden Angriffe gewarnt. Das Microsoft 365 Defender Forschungsteam beobachtet den Missbrauch von OAuth-Apps schon über einen längeren Zeitraum hinweg. Wurde diese Methode zuerst nur für Consent Phishing genutzt, haben die Angriffe eine „neue Qualität „ erreicht.

Die Forscher konnten einen Angriff extrahieren, der mittels manipulierter OAuth-Apps erfolgte, die auf kompromittierte Cloud-Tenants implementiert wurden. Mittels dieser Aktion konnten die Exchance Online-System- Einstellungen manipuliert und nachfolgend zur Verbreitung von Spam genutzt werden.

Der erste Zugriff erfolgt dabei immer über das Credential Stuffing. Dabei werden Passwörter aus Datenlecks oder ( im Darknet) gekaufte Datensätze verwendet. Die Spam Mails sollen Nutzer dazu bringen, Berechtigungen zum Zugriff auf die Cloud Services zu erteilen. Meist handelt es sich bei den Mails um gefakte Gewinnspiele mit Abofallen, die dann einen Login erfordern.

Mehr OAuth Angriffe registriert

In den vergangenen Jahren wuchs die Zahl der OAuth-Angriffe ständig. Microsoft s Forscherteam hat unter den Angreifern auch „staatliche Stellen“ identifiziert, die die Oauth Apps zu verschiedenen Zwecken missbrauchen, wie Command-and-Control ,Kommunikation oder Backdoors, Phishing sowie Redirections.

Microsoft hat nach der Identifikation des Angriffs ein Netzwerk zerschlagen, dass mandantenfähige Anwendungen enthielt, die bereits in kompromittierten Organisationen installiert waren. Die Anwendungen wurden abgeschaltet und die Kunden informiert. Sie enthielten zudem Empfehlungen für Abwehr- und Abhilfemaßnahmen.