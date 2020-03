Bösartige Azure-Apps vermeiden

Sicherheitsforscher von Varonis Systems weisen mit einem neuen Proof of Concept auf die Gefahren bösartiger Azure-Apps hin. Durch diese Angriffsart stünden Hackern im Wesentlichen die gleichen Möglichkeiten offen wie bei Exe-Dateien oder Makros in Dokumenten.

Der Hinweis, dass die App nicht von Microsoft veröffentlicht wurde, wird oftmals übersehen.

Mit der steigenden Verbreitung von Office 365 entstehen neue Risiken und Herausforderungen. Ein relativ neuer und deshalb auch recht unbekannter Angriffsvektor sind bösartige Azure-Apps – das zeigt Varonis mit seinem kürzlich veröffentlichen Proof of Concept [1]. Hacker können die Anwendungen recht einfach erstellen, den bösartigen Applikationen scheinbar legitime Namen geben, vertraute Icons zuordnen und über Phishing-Kampagnen verteilen.



Azure-Apps erfordern keine Genehmigung von Microsoft und führen keinen Code auf dem Rechner des Benutzers aus, wodurch es einfach ist, die Endpoint-Sicherheitskontrollen und AV-Software zu umgehen. Der Link in der Phishing-Mail führt zu einer Website des Angreifers, die das Opfer nahtlos zur Anmeldeseite von Microsoft weiterleitet. Der Authentifizierungsfluss wird vollständig von Microsoft abgewickelt, sodass die Verwendung der Multi-Faktor-Authentifizierung keine praktikable Lösung darstellt.



Zwar wird bei der Installation der App darauf hingewiesen, dass diese nicht von Microsoft veröffentlicht wurde, jedoch überfliegen viele Nutzer schnell und gedankenlos diese Hinweise, ganz ähnlich wie bei der Zustimmung von Nutzungsbedingungen. Gleichwohl ist dieser Schritt der einzige, der die Zustimmung des Opfers erfordert. Von diesem Zeitpunkt an hat der Angreifer die vollständige Kontrolle über das Konto und die Ressourcen des Benutzers.



So können Daten exfiltriert, E-Mail-Konten gekapert und Informationen über Gruppenmitglieder ausgelesen werden. Als besonders gefährlich stufen die Experten dabei die Erstellung einzigartiger Links zu genutzten Dateien ein. Diese sind für jeden von jedem beliebigen Ort aus zugänglich, auch wenn das Unternehmen keine anonymen Sharing-Links zulässt. Trotz der enormen Risiken ist dieser Angriffsvektor bislang noch recht unbekannt. Varonis empfiehlt, dass Sicherheitsverantwortliche ihre Mitarbeiter hierfür gezielt sensibilisieren, die eingesetzten Azure-Apps regelmäßig überprüfen und verdächtige Anwendungen gegebenenfalls entfernen.