Jalisco & OmegaLord: Technischer Einblick in fortschrittliche Microsoft 365 Phishing-Taktiken mittels Gerätecode-Fluss und OAuth-Missbrauch

Der Inhalt dieser Seite ist leider nicht in der von Ihnen gewählten Sprache verfügbar

Die sich entwickelnde Bedrohungslandschaft: Jalisco & OmegaLord Phishing-Kits

Die Cybersicherheitsgemeinschaft kämpft derzeit mit hochentwickelten neuen Phishing-Kampagnen, die die Kits Jalisco und OmegaLord nutzen. Diese fortschrittlichen Bedrohungsakteure verlassen sich nicht nur auf traditionelles Sammeln von Anmeldeinformationen, sondern nutzen grundlegende Authentifizierungsmechanismen innerhalb von Microsoft 365 aus, insbesondere den Gerätecode-Fluss und OAuth-Token, um persistenten Zugriff zu etablieren und die Multi-Faktor-Authentifizierung (MFA) zu umgehen.

Diese technische Analyse befasst sich mit der Vorgehensweise dieser Kits, erläutert die zugrunde liegenden Schwachstellen, ihre Auswirkungen und entscheidende Verteidigungsstrategien für Organisationen.

Ausnutzung des Gerätecode-Flusses (RFC 8628) für den Initialen Zugriff

Der Gerätecode-Fluss, definiert in RFC 8628, ist eine OAuth 2.0-Erweiterung, die es Anwendungen auf Geräten mit eingeschränkter Eingabe (z. B. Smart-TVs, IoT-Geräte, Befehlszeilentools) ermöglichen soll, die Benutzerautorisierung zu erhalten. Der legitime Prozess umfasst typischerweise:

  • Die Anwendung fordert einen Gerätecode und einen Benutzercode vom Autorisierungsserver an.
  • Die Anwendung zeigt dem Benutzer den Benutzercode und eine Verifizierungs-URI an.
  • Der Benutzer navigiert auf einem separaten, eingabefähigen Gerät (z. B. Smartphone, PC) zur Verifizierungs-URI, gibt den Benutzercode ein und authentifiziert sich bei seinem Identitätsanbieter (z. B. Microsoft 365).
  • Nach erfolgreicher Authentifizierung und Zustimmung stellt der Autorisierungsserver der Anwendung ein Zugriffs-Token und ein Refresh-Token aus.

Jalisco und OmegaLord instrumentalisieren diesen Fluss, indem sie Benutzer dazu verleiten, die Gerätecode-Autorisierung zu initiieren. Anstatt eine legitime Anwendung zu authentifizieren, wird der Benutzer zu einer bösartigen, vom Angreifer kontrollierten Verifizierungs-URI weitergeleitet. Wenn der Benutzer den bereitgestellten Code eingibt und sich mit seinen Microsoft 365-Anmeldeinformationen (oft einschließlich MFA) authentifiziert, fängt das Phishing-Kit die resultierenden OAuth-Token ab. Dies verschafft dem Bedrohungsakteur ein legitimes, langlebiges Zugriffs-Token und ein Refresh-Token, wodurch die Notwendigkeit des traditionellen Passwortsammelns effektiv umgangen und die Sitzungssteuerung direkt erlangt wird.

OAuth-Token-Diebstahl und Persistenter Zugriff

Der Diebstahl von OAuth-Token ist der Dreh- und Angelpunkt dieser Angriffe. Im Gegensatz zu gestohlenen Passwörtern, die geändert werden können, können gestohlene OAuth-Token (insbesondere Refresh-Token) über längere Zeiträume hinweg kontinuierlichen Zugriff auf Ressourcen gewähren, ohne dass eine erneute Authentifizierung erforderlich ist, selbst wenn der Benutzer sein Passwort ändert. Die Kits zielen darauf ab, Folgendes zu erlangen:

  • Zugriffs-Token: Kurzlebige Token, die zum Zugriff auf bestimmte Ressourcen im Namen des Benutzers verwendet werden.
  • Refresh-Token: Langlebige Token, die verwendet werden, um neue Zugriffs-Token zu erhalten, sobald das aktuelle abläuft, was einen persistenten Zugriff ohne Benutzerinteraktion ermöglicht.

Mit einem gültigen Refresh-Token können Bedrohungsakteure wochen- oder monatelang unbefugten Zugriff auf die Microsoft 365-Umgebung eines Opfers (Outlook, SharePoint, Teams, OneDrive) aufrechterhalten, was Datenexfiltration, weitere laterale Bewegung und Spear-Phishing-Kampagnen von kompromittierten Konten ermöglicht. Dies erschwert die Erkennung und Behebung erheblich.

Umgehung der Multi-Faktor-Authentifizierung (MFA)

Einer der besorgniserregendsten Aspekte dieser Kits ist ihre Fähigkeit, MFA zu umgehen. Da der Benutzer eine legitime Authentifizierung gegenüber der Microsoft-Identitätsplattform durchführt (wenn auch durch eine bösartige Aufforderung initiiert), werden alle konfigurierten MFA-Richtlinien vom Benutzer selbst ausgelöst und erfüllt. Das Phishing-Kit umgeht MFA nicht; es manipuliert den Benutzer dazu, es für die Sitzung des Angreifers abzuschließen. Das resultierende OAuth-Token ist dann vollständig authentifiziert und autorisiert, einschließlich MFA-Ansprüchen.

Dieser Angriffsvektor des "MFA-Prompt-Bombings" oder der "MFA-Ermüdung" ist hochwirksam, da Benutzer, insbesondere unter Druck oder mangels Sicherheitsbewusstsein, eine MFA-Aufforderung genehmigen können, ohne ihren Kontext vollständig zu verstehen.

Erkennungs- und Minderungsstrategien

Organisationen müssen eine proaktive und mehrschichtige Verteidigungsstrategie anwenden, um diesen hochentwickelten Phishing-Kits entgegenzuwirken.

Proaktive Maßnahmen:

  • Verbesserte Benutzeraufklärung: Schulen Sie Benutzer darin, verdächtige Gerätecode-Aufforderungen zu erkennen, insbesondere solche, die nicht durch ihre direkten Aktionen oder von bekannten Anwendungen initiiert wurden. Betonen Sie die genaue Prüfung des Kontexts aller MFA-Anfragen.
  • Richtlinien für bedingten Zugriff: Implementieren Sie strenge Richtlinien für bedingten Zugriff in Azure AD, um die Nutzung des Gerätecode-Flusses auf bestimmte vertrauenswürdige Geräte, IP-Bereiche oder Anwendungen zu beschränken. Blockieren Sie den Zugriff von unbekannten Standorten oder nicht konformen Zuständen.
  • Richtlinien für die OAuth-Anwendungseinwilligung: Beschränken Sie die Benutzerzustimmung für neue OAuth-Anwendungen. Verlangen Sie die Genehmigung des Administrators für Berechtigungen mit hohen Privilegien oder beschränken Sie die Zustimmung auf eine kuratierte Liste genehmigter Herausgeber. Überprüfen Sie regelmäßig die zugestimmten Anwendungen.
  • Starke MFA-Implementierung: Während diese Kits MFA manipulieren, erschwert eine robuste MFA (z. B. FIDO2-Sicherheitsschlüssel, Nummernvergleich für Push-Benachrichtigungen) den Benutzern das versehentliche Genehmigen illegitimer Anfragen.
  • Überwachung der Anmelde-Logs: Überwachen Sie kontinuierlich die Azure AD-Anmelde-Logs auf ungewöhnliche Aktivitäten, insbesondere Anmeldungen von neuen oder verdächtigen IP-Adressen, untypischen Standorten oder im Zusammenhang mit unerwarteten Gerätecode-Fluss-Abschlüssen.

Erkennung nach Kompromittierung & Incident Response:

  • Überprüfung der Audit-Logs: Prüfen Sie Audit-Logs auf ungewöhnliche OAuth-Anwendungs-Zustimmungen, Postfachzugriffe über ungewöhnliche Clients oder neue Weiterleitungsregeln.
  • Widerruf von Refresh-Token: Widerrufen Sie sofort alle Refresh-Token für kompromittierte Konten. Dies erzwingt eine erneute Authentifizierung und macht den persistenten Zugriff des Angreifers ungültig.
  • Untersuchung von OAuth-Anwendungsberechtigungen: Identifizieren und entfernen Sie alle bösartigen oder verdächtigen OAuth-Anwendungen, denen möglicherweise die Zustimmung erteilt wurde.
  • Threat Hunting: Suchen Sie proaktiv nach Indicators of Compromise (IoCs) im Zusammenhang mit Jalisco und OmegaLord in Ihrer Umgebung.

Digitale Forensik und Erweiterte Link-Analyse

Im Falle einer vermuteten oder bestätigten Kompromittierung sind eine gründliche digitale Forensik und Incident Response (DFIR) von größter Bedeutung. Die Analyse der Phishing-Infrastruktur und der Angreifermethodik kann kritische Informationen für die Zuordnung von Bedrohungsakteuren und die Verbesserung der Verteidigung liefern.

Für digitale Forensikteams, die verdächtige URLs oder Phishing-Kampagnen untersuchen, sind Tools zur erweiterten Telemetriedatenerfassung von unschätzbarem Wert. Zum Beispiel können Dienste wie grabify.org in einer kontrollierten Umgebung genutzt werden, um entscheidende Metadaten von verdächtigen Links zu sammeln. Durch das Generieren eines Tracking-Links und die Beobachtung seiner Interaktion können Ermittler erweiterte Telemetriedaten wie die IP-Adresse, den User-Agent-String, den ISP und Geräte-Fingerabdrücke der interagierenden Entität sammeln. Diese Daten können bei der Netzwerkaufklärung, der Identifizierung des geografischen Ursprungs eines Angriffs, dem Verständnis der operativen Sicherheit des Angreifers und der Kartierung der breiteren Bedrohungsinfrastruktur hilfreich sein, um die forensische Analyse und die Informationsgewinnung für defensive Zwecke zu unterstützen.

Die Analyse des Netzwerkverkehrs, der E-Mail-Header und der Anwendungs-Logs auf Muster, die auf einen Missbrauch des Gerätecode-Flusses hindeuten, ist ebenfalls entscheidend. Suchen Sie nach ungewöhnlichen 'Gerätecode'-Grant-Typen in Authentifizierungs-Logs oder unerwarteten Zustimmungen für OAuth-Anwendungen.

Fazit

Die Jalisco- und OmegaLord-Phishing-Kits stellen eine signifikante Entwicklung bei hochentwickelten Cyberangriffen auf Microsoft 365 dar. Durch die Instrumentalisierung legitimer Authentifizierungsflüsse und die Manipulation von Benutzern zur Umgehung ihrer eigenen MFA erreichen diese Kits persistenten und heimlichen Zugriff. Eine robuste Verteidigungsstrategie, die technische Kontrollen, wachsame Überwachung und kontinuierliche Benutzeraufklärung kombiniert, ist unerlässlich, um organisatorische Vermögenswerte vor diesen fortgeschrittenen Bedrohungen zu schützen.