Aanvallers gebruiken interne OAuth-apps voor blijvende toegang

Uit onderzoek van Proofpoint blijkt dat deze aanvalsvector een significante bedreiging vormt voor organisaties die gebruikmaken van cloudplatformen zoals Microsoft Entra ID.

De onzichtbare achterdeur: second-party apps

De cruciale stap in deze aanval is het misbruik van second-party applicaties. Dit zijn apps die direct binnen de tenant (de eigen omgeving) van de organisatie zijn geregistreerd. Omdat ze als intern worden beschouwd, genieten deze apps een impliciet vertrouwen en worden ze minder streng gecontroleerd dan externe (third-party) applicaties zoals Zoom of DocuSign.

Nadat een aanvaller via phishing of gestolen cookies de inloggegevens van een gebruiker heeft verkregen, wordt de aanvalsflow als volgt:

1. Registratie: De aanvaller gebruikt de rechten van het gecompromitteerde account om een nieuwe, interne applicatie te registreren.
2. Configuratie: Er worden op maat gemaakte scopes en machtigingen ingesteld, bijvoorbeeld voor permanente toegang tot mailboxen en bestanden.
3. Autorisatie: De applicatie wordt geautoriseerd om toegang te krijgen tot kritieke bronnen.

Het strategische gevaar is de persistentie. Zelfs als het wachtwoord wordt gereset, behoudt de kwaadaardige OAuth-applicatie de geautoriseerde toegang en creëert zo een veerkrachtige en moeilijk detecteerbare 'achterdeur'.

Herstel en verdediging

Beveiligingsexperts adviseren organisaties om onmiddellijk op te treden bij de ontdekking van verdachte applicaties. Herstelmaatregelen omvatten het direct intrekken van clientgeheimen en gebruikerstokens en het volledig verwijderen van de applicatieregistratie.

Cruciaal voor preventie is voortdurende monitoring van bedrijfsapplicaties en het inzetten op gebruikersbewustzijn. Organisaties moeten werknemers trainen in het herkennen van onverwachte toestemmingsverzoeken en het onmiddellijk melden van ongebruikelijke applicatieautorisaties, om zo te voorkomen dat aanvallers blijvende, onopgemerkte toegang verkrijgen tot waardevolle data.