image

Microsofts verificatieproces misbruikt voor OAuth-phishingaanval

woensdag 1 februari 2023, 10:03 door Redactie, 9 reacties

Aanvallers hebben Microsofts proces voor het verifiëren van uitgevers van OAuth-apps misbruikt voor een phishingaanval, waardoor het leek alsof malafide apps van een betrouwbare uitgever afkomstig waren, zo laten het techbedrijf zelf en securitybedrijf Proofpoint weten. OAuth is een mechanisme waardoor applicaties van derden toegang tot het account van gebruikers kunnen krijgen, zonder dat die hiervoor hun wachtwoord hoeven af te staan.

Gebruikers moeten dergelijke applicaties zelf toegang tot hun account geven, maar zodra dat is gedaan kan de app vervolgens allerlei acties binnen het account uitvoeren, zoals het lezen van e-mail of toegang krijgen tot bestanden. Microsoft heeft een proces waarbij het de uitgevers van OAuth-apps verifieert. Wanneer een app toestemming vraagt voor toegang tot het account krijgt de gebruiker te zien dat de uitgever door Microsoft is gecontroleerd.

Afgelopen december ontdekte Microsoft een phishingaanval waarbij aanvallers zich voordeden als legitieme bedrijven en door het techbedrijf als uitgever van OAuth-apps waren geverifieerd. Vervolgens gebruikten de aanvallers hun verificatiestatus voor malafide OAuth-apps die werden ingezet bij phishingaanvallen op organisaties in het Verenigd Koninkrijk en Ierland. Wanneer gebruikers toestemming aan deze apps gaven werd hun e-mail gestolen.

Na ontdekking van de aanval heeft Microsoft de door de aanvallers gebruikte accounts en apps uitgeschakeld en klanten gewaarschuwd. Verder stelt het techbedrijf dat het aanvullende maatregelen neemt om het verificatieproces te verbeteren om zo herhaling in de toekomst te voorkomen. Hieronder twee van de malafide apps en de permissies die ze aan gebruikers vroegen.

Image

Reacties (9)
01-02-2023, 10:10 door Erik van Straten
Weten we het nog? Inloggen met e-mailadres en wachtwoord is hartstikke stom, we hebben iets veel veiligers! https://learn.microsoft.com/en-us/azure/active-directory/conditional-access/block-legacy-authentication

Zie ook https://security.nl/posting/783785.
01-02-2023, 10:33 door _R0N_
Door Erik van Straten: Weten we het nog? Inloggen met e-mailadres en wachtwoord is hartstikke stom, we hebben iets veel veiligers! https://learn.microsoft.com/en-us/azure/active-directory/conditional-access/block-legacy-authentication

Zie ook https://security.nl/posting/783785.

Email en wachtwoord is ook dom. Er zullen altijd figuren zijn die, op wat voor manier dan ook, misbruik proberen te maken van enige vorm van authenticatie.
01-02-2023, 11:16 door Erik van Straten
Door _R0N_:
Door Erik van Straten: Weten we het nog? Inloggen met e-mailadres en wachtwoord is hartstikke stom, we hebben iets veel veiligers! https://learn.microsoft.com/en-us/azure/active-directory/conditional-access/block-legacy-authentication

Zie ook https://security.nl/posting/783785.

Email en wachtwoord is ook dom. Er zullen altijd figuren zijn die, op wat voor manier dan ook, misbruik proberen te maken van enige vorm van authenticatie.
Heb je https://security.nl/posting/783785 wel gelezen?
01-02-2023, 11:54 door Anoniem
Als ik het goed lees staat er in het nieuwsbericht dat "door de aanvallers gebruikte accounts en apps uitgeschakeld" kunnen worden. Dus Microsoft kan eigenhandig de e-mail van "third parties" op slot zetten. Wat kan daar nu fout mee gaan?

Bij Windows 11 kan Microsoft ook je computer hardware onbruikbaar maken met behulp van de TPM. Games als Valorant gebruiken dit al om te kunnen permabannen. https://en.wikipedia.org/wiki/Valorant#cite_note-60.
01-02-2023, 12:38 door Erik van Straten
Door Anoniem: Dus Microsoft kan eigenhandig de e-mail van "third parties" op slot zetten.
Niet de e-mail van "third parties", maar de toegang die clouddiensten en/of "apps" van third parties (zoals Mozilla Thunderbird) hebben tot jouw e-mails, ontvangen door en opgeslagen bij Microsoft.
01-02-2023, 15:11 door _R0N_
Door Erik van Straten:
Door _R0N_:
Door Erik van Straten: Weten we het nog? Inloggen met e-mailadres en wachtwoord is hartstikke stom, we hebben iets veel veiligers! https://learn.microsoft.com/en-us/azure/active-directory/conditional-access/block-legacy-authentication

Zie ook https://security.nl/posting/783785.

Email en wachtwoord is ook dom. Er zullen altijd figuren zijn die, op wat voor manier dan ook, misbruik proberen te maken van enige vorm van authenticatie.
Heb je https://security.nl/posting/783785 wel gelezen?

Ja en dus?
Email adres en wachtwoord is een domme manier van inloggen, het is makkelijk maar niet slim.

Dat het niet aansluit bij wat jij graag wil wil niet zeggen dat het niet beter is.
01-02-2023, 15:33 door Erik van Straten
Door _R0N_:
Door Erik van Straten: Heb je https://security.nl/posting/783785 wel gelezen?
Ja en dus? Email adres en wachtwoord is een domme manier van inloggen, het is makkelijk maar niet slim.
Je hebt https://security.nl/posting/783785 dus niet gelezen. Want dan had je gezien dat je bij online Microsoft accounts het inloggen met een wachtwoord niet kunt uitzetten, en dat zelfs MFA niet voorkomt dat gebruikeraccounts gepwned worden.

Makkelijk he, vanalles roepen zonder te beargumenteren waarom wat jij roept juist is?

P.S. dat de meeste vormen van MFA eenvoudig te bypassen zijn, weet Microsoft al sinds 2019: https://techcommunity.microsoft.com/t5/microsoft-entra-azure-ad-blog/all-your-creds-are-belong-to-us/ba-p/855124.
08-02-2023, 08:47 door Anoniem
Door Anoniem:Bij Windows 11 kan Microsoft ook je computer hardware onbruikbaar maken met behulp van de TPM. Games als Valorant gebruiken dit al om te kunnen permabannen. https://en.wikipedia.org/wiki/Valorant#cite_note-60.

Sorry maar dat is niet wat ik lees. Windows 11 maakt je computer hardware niet onbruikbaar. Windows 11 heeft een TPM eis, als je dus geen TPM chip hebt dan geen Windows 11. Het doet dus verder niets met je computer hardware en maakt dus ook niets 'onbruikbaar'. En Windows 10 kun je gewoon blijven gebruiken met ondersteuning, op die 'onbruikbare' computer hardware. Dus wat je zegt is gewoon niet waar.

Dat Valorant dat gebruikt om mensen te permabannen is hun goed recht en heeft verder niets met Windows te maken maar met Valorant's manier om hackers te weren.
08-02-2023, 16:22 door Anoniem
Door Anoniem:
Door Anoniem:Bij Windows 11 kan Microsoft ook je computer hardware onbruikbaar maken met behulp van de TPM. Games als Valorant gebruiken dit al om te kunnen permabannen. https://en.wikipedia.org/wiki/Valorant#cite_note-60.

Sorry maar dat is niet wat ik lees. Windows 11 maakt je computer hardware niet onbruikbaar. Windows 11 heeft een TPM eis, als je dus geen TPM chip hebt dan geen Windows 11. Het doet dus verder niets met je computer hardware en maakt dus ook niets 'onbruikbaar'. En Windows 10 kun je gewoon blijven gebruiken met ondersteuning, op die 'onbruikbare' computer hardware. Dus wat je zegt is gewoon niet waar.

Dat Valorant dat gebruikt om mensen te permabannen is hun goed recht en heeft verder niets met Windows te maken maar met Valorant's manier om hackers te weren.

Als Riot Games hun spel kunnen permabannen, dan kan Microsoft ook Windows permabannen van je hardware. En dan is het onmogelijk, zoals bij Windows 10 nog wel kan, om een nieuwe licentie te kopen voor je hardware.

Nu kan je nog je TPM resetten of Linux installeren, maar voor hoe lang nog?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.