OAuth-Phishing

Veröffentlicht Veröffentlicht in Cloud, Incidents

Im Rahmen von COVID-19 wurden viele neue Phishing-Kampagnen verzeichnet – darunter auch sogenannte OAuth-Phishing-Angriffe gegen Office 365. Hierbei werden Phishing-Mails an Benutzer gesendet, die, wenn sie auf den in der Mail enthaltenen Link klicken, gefragt werden, ob sie Berechtigungen an eine App übergeben wollen. Mit der Bestätigung autorisiert der Benutzer dann die App für den Zugriff auf seine Daten. Der Ablauf des OAuth-Phishings ist in der untenstehenden Abbildung dargestellt.

Ablauf OAuth-Phishing

Doch die Vorgehensweise ist nicht neu. Bereits 2017 kam es zu einer großen Phishing-Welle, die Google Docs-Benutzer dazu einlud, ein geteiltes Dokument aufzurufen. Für diese Angriffe mittels OAuth-Apps werden die Funktionalitäten des OAuth-Protokolls genutzt. Mit OAuth kann ein Benutzer einer Anwendung den Zugriff auf seine Daten erlauben, die von einem anderen Dienst bereitgestellt werden. Der Zugriff der Anwendung erfolgt dabei ohne Benutzerkennung und Passwort. Somit können auch eine Passwortänderung oder die Einführung einer Multifaktorauthentifizierung die Vergabe der Berechtigungen nicht mehr rückgängig machen.

Es wird hier also keine Schwachstelle im OAuth-Protokoll ausgenutzt. Stattdessen wird der Benutzer dazu gebracht, Berechtigungen zu übergeben, ohne dass ihm dies bewusst ist. Hierzu werden Links mit zu Office 365 oder Google G Suite ähnlich klingenden Domainnamen verwendet, und auch die App-Namen werden so gewählt, dass ein unbedarfter Benutzer diese mit dem jeweiligen Cloud-Dienst assoziiert.

Ein OAuth-Phishing-Angriff ist im Nachhinein schwer erkennbar, da kein schadhafter Code ausgeführt wird. Stattdessen können Daten gelesen und je nach Berechtigung auch geändert oder gelöscht werden. So kann ein Angriff unbemerkt bleiben oder wird erst dann bemerkt, wenn in einer weiteren Angriffsphase Daten verschlüsselt wurden oder ein CEO-Fraud begangen wurde.

Damit es erst gar nicht zu einem Zugriff mittels OAuth-Phishing kommt, sind folgende Maßnahmen zu empfehlen:

  1. Schulung der Mitarbeiter, um OAuth-Phishing-Angriffe zu erkennen
  2. Drittanbieter-Apps nur mittels Whitelisting zulassen oder die Nutzung ganz untersagen
  3. In Office 365 können Drittanbieter-Apps mittels der CASB-Lösung von Microsoft (Cloud App Security) überwacht werden. Dieses Feature steht jedoch nur in der E5-Lizenz zur Verfügung.

Falls man vermutet, dass man mittels einer OAuth-App kompromittiert wurde, dann kann man dies in Office 365 über das von Microsoft für Office 365 veröffentlichte Vorgehen[1] nachvollziehen und die Berechtigungen der jeweiligen App deaktivieren. Grundsätzlich sollte die verdächtige App deaktiviert werden und es sollten die Berechtigungen entzogen werden. Anschließend sollten die Zugriffsprotokolle überprüft werden, um den Umfang der Kompromittierung zu verstehen.


[1] https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/detect-and-remediate-illicit-consent-grants

When #Shitrix hits the Fan

Veröffentlicht Veröffentlicht in Incidents

Massenhafte Hacks via NetScaler

Reihenweise Unternehmen und Behörden fallen aktuell einer Lücke zum Opfer, die den besonders „schönen“ Spitznamen #Shitrix (offiziell CVE 2019-19781) erhalten hat. Benannt ist dieser nach dem amerikanischen Netzwerk-Ausrüster Citrix, der das Debakel durch einen Schusselfehler im weitverbreiteten Enterprise-Gateway ADC (Application Delivery Controller) ausgelöst hat – vielen auch bekannt unter dem Namen NetScaler. Bereits seit der ersten Januarhälfte erreichen die HiSolutions-Hotline immer neue Fälle, da teilweise Administratoren noch nichts von der Lücke gehört haben.

Ein erfolgreicher Angriff hat neben der Übernahme des Gateways selbst weiterhin zur Folge, dass nicht nur die klassischen Zugangsdaten wie SSH-Keys oder Klartext-Passwörter in Konfigurationsdateien als kompromittiert gelten müssen, sondern auch verschlüsselte LDAP-Passwörter in der NetScaler-Konfiguration, wodurch weitere Angriffe ins Netzwerk hinein möglich werden.

Zunächst war kein offizieller Patch erschienen, lediglich Workarounds, die nicht ganz trivial sind, nicht immer voll effektiv und nicht für alle Versionen funktionieren.

Das größte Problem bei #Shitrix ist – wenn nicht offensichtlich Folgeschäden wie Ransomware entstehen –, dass zunächst nicht klar ist, wie weit der Angriff gegangen ist. Allein die Analysen nehmen Zeit und Ressourcen in Anspruch. Nicht selten fahren Betroffene in der Zeit Teile ihrer Infrastruktur herunter, wie zuletzt mehrere Kommunen in Brandenburg.

Derweil scheinen sogenannte „NOTROBIN“-Robin-Hood-Hacker die Lücke auszunutzen, um sie zu schließen – leider nicht ohne vorher noch eine Backdoor zu installieren.

Hier ist eine Liste mit bekannten IOCs zu finden.

Um Systeme lediglich auf die Schwachstelle zu scannen, existiert ein Nmap-Skript.

MEDIEN:

Unser Kollege Manuel Atug hat sich dazu auch im Beitrag mit dem SWR zum Vorfall geäußert.

Was kann der Gesetzgeber aus dem Citrix-Vorfall lernen und für KRITIS Betreiber verbessern? Manual Atug bei AG KRITIS.

UPDATE:

Ein paar erste Patches (nur für bestimmte Versionen) sind bereits erschienen.

UPDATE 2 (2020-01-27):

Nun sind die „finalen“ Patches erschienen.