Illicit Consent Attacks – Wie Sie sich gegen schädliche Apps im Azure Active Directory schützen können

8. April 2021/inBlog, Microsoft Azure

Was sind Illicit Consent Attacks?

Bei Illicit Consent Attacks handelt es sich um Angriffe, die darauf ausgelegt sind, dass ein Benutzer im Zuge einer Phishing Attacke der Einrichtung einer schädlichen Azure AD App im Tenant zustimmt. Diese Anwendung hat dann im Namen des Users Zugriff auf seine Daten – ohne, dass der User sein Passwort preisgegeben hat.

Der Angriffsvektor ist denkbar einfach: Ein Benutzer erhält eine legitim aussehende E-Mail mit einem Link. Klickt der Benutzer auf den Link, wird er aufgefordert der vermeintlich notwendigen Anwendung in seinem Namen zuzustimmen. Nach der Zustimmung wird er auf die ursprünglich angeforderte Seite weitergeleitet.

Was passiert im Hintergrund? Nachdem der Benutzer die App genehmigt hat, wird in seinem Namen ein OAUTH Token generiert, welchen die Angreifer über die schädliche Azure AD App abfangen. In den nächsten 3600 Sekunden, bis der Token abläuft, können sich die Angreifer mit dem Token an den verschiedenen Diensten authentisieren und alle Daten, auf die der Benutzer Zugriff hat, lesen, bearbeiten oder gar löschen/verschlüsseln. Es hilft dann auch nicht mehr, das Passwort des Benutzers zu ändern.

Achtung: Noch gefährlicher wird es, wenn für die Zustimmung ein Administrativer Account (z.B. ein Globaler Administrator) verwendet wird! Vor dem Genehmigen der App sollte diese immer genau geprüft werden.

Absichern des Azure Active Directory

Die Absicherung gegen solche Attacken ist denkbar einfach. Im Standard können Benutzer in einem Tenant selbstständig neue Apps im Azure AD genehmigen. Jede App die dabei genehmigt wird hat dann im Namen des Users Zugriff auf die Unternehmensdaten – auch wenn sie vielleicht nur mal zum Testen eingerichtet wurde.
Um das genehmigen von Apps durch Benutzer zu unterbinden, sollte im Azure Active Directory Portal unter Enterprise Applications -> User Settings der Regler bei „User can consent to apps accessing company data on their behalf” und bei “Users can consent to apps accessing company data for the groups they own” auf “No” gesetzt werden.

Um nun trotzdem sicherstellen zu können, dass Benutzer Apps die für die Zusammenarbeit wichtig sind hinzufügen können, kann der Benutzer eine Zustimmunsanfrage beim Administrator erstellen. Dazu stellen Sie den Schieberegler bei „Admin Consent requests“ auf „Yes“ um. Im nächsten Schritt müssen berechtigte Accounts angegeben werden, welche die App Anfragen genehmigen oder blockieren können. Diese Accounts können per Email über eine neu eingegangene Anfrage informiert werden.

Mit diesen wenigen Schritten haben sie Ihren Unternehmenstenant ein Stück sicherer gemacht!

Noch mehr Sicherheit mit Microsoft Cloud App Security

Um den Tenant noch sicherer zu machen, empfehlen wir die Nutzung von Microsofts Cloud App Security. Für die Erkennung von schädlichen OAuth Aktivitäten können sie in der Cloud App Security eine Policy einrichten, die solche Apps automatisch erkennt und blockiert.