Was sind Illicit Consent Attacks?

Bei Illicit Consent Attacks handelt es sich um Angriffe, die darauf ausgelegt sind, dass ein Benutzer im Zuge einer Phishing Attacke der Einrichtung einer schädlichen Azure AD App im Tenant zustimmt. Diese Anwendung hat dann im Namen des Users Zugriff auf seine Daten – ohne, dass der User sein Passwort preisgegeben hat.

Der Angriffsvektor ist denkbar einfach. Ein Benutzer erhält eine legitim aussehende E-Mail mit einem Link. Klickt der Benutzer auf den Link, wird er aufgefordert der vermeintlich notwendigen Anwendung in seinem Namen zuzustimmen. Nach der Zustimmung wird er auf die ursprünglich angeforderte Seite weitergeleitet.

Was passiert im Hintergrund? Nachdem der Benutzer die App genehmigt hat, wird in seinem Namen ein OAUTH Token generiert, welchen die Angreifer über die schädliche Azure AD App abfangen. In den nächsten 3600 Sekunden, bis der Token abläuft, können sich die Angreifer mit dem Token an den verschiedenen Diensten authentisieren und alle Daten, auf die der Benutzer Zugriff hat, lesen, bearbeiten oder gar löschen/verschlüsseln. Es hilft dann auch nicht mehr, das Passwort des Benutzers zu ändern.

Oauth Flow

Achtung: Noch gefährlicher wird es, wenn für die Zustimmung ein Administrativer Account (z.B. ein Globaler Administrator) verwendet wird! Vor dem Genehmigen der App sollte diese immer genau geprüft werden.

Absichern des Azure Active Directory

Im Standard können Benutzer selbstständig Apps im Azure AD genehmigen. Um das zu unterbinden, sollte im Azure Active Directory Portal unter Enterprise Applications -> User Settings der Regler bei „User can consent to apps accessing company data on their behalf” und bei “Users can consent to apps accessing company data for the groups they own” auf “No” gesetzt werden.

Azure App User Consens

Um nun trotzdem Apps hinzufügen zu können, kann der User eine Zustimmunsanfrage beim Administrator erstellen. Dazu stellen Sie den Schieberegler bei „Admin Consent requests“ auf „Yes“ um. Im nächsten Schritt müssen berechtigte Accounts angegeben werden, welche die eingestellten App Anfragen genehmigen oder blockieren können. Diese Accounts können per Email über eine neu eingegangene Anfrage informiert werden.

Azure App Admin Consens

Mehr Sicherheit mit Microsoft Cloud App Security

Mit Microsofts Cloud App Security können Sie eine Policy einrichten, mit der schädliche Apps erkannt und blockiert werden können. Sprechen Sie uns an, wir beraten sie gerne dazu.

Cloud App Security Portal OAuth Policy

Weitere interessante Beiträge aus unserem Blog:

IT Support von Cloud Design