www.whizpr.nlwww.marcommit.nlProgressCommunications.eu
INFLUX PRwww.deepr.nlwww.whizpr.nl

Volg ook via:
Datum: (5 jaar en 114 dagen geleden)
Bedrijf:
PR: AxiCom

52% van de organisaties kampt met inbreuk op cloud-accounts, zorgen over misbruik van OAuth-applicaties

Afbeelding 1: Stroomdiagram van het verloop van een aanval op OAth-appliactie

Risico van cloud-integraties met OAuth
Deze add-on-apps gebruiken OAuth-verificatie om beperkte toegang tot clouddiensten te verkrijgen. Met OAuth kunnen accountinformatie of -gegevens van een gebruiker door apps worden gebruikt zonder dat het wachtwoord van de gebruiker wordt ingevoerd. OAuth werkt via HTTPS en gebruikt access tokens (in plaats van aanmeldingsgegevens) om apparaten, API's, servers en toepassingen te autoriseren.

Schadelijke apps phishen gebruikers om toestemming te krijgen voor toegang tot cloud-diensten
Een schadelijke applicatie is een vorm van cloud-malware die verschillende trucs gebruikt, zoals phishing van OAuth-tokens en app-imitatie, om gebruikers te verleiden toestemming te geven. Voor deze apps zijn meestal gevoelige gebruikersrechten nodig, zodat ze niet worden ontdekt door een IT-beheerder en toch toegang bieden tot de gevoelige informatie. Alleen al in 2020 ontdekte Proofpoint meer dan 180 malafide applicaties, waarvan de meeste meerdere gebruikers aanvielen.

Misbruik van OAuth is alomtegenwoordig
Proofpoint monitort duizenden afnemers van cloud-diensten en meer dan twintig miljoen actieve cloudgebruikers. In een onderzoek naar de gegevens over 2020 constateerde Proofpoint het volgende:
  • 95% van de organisaties was een doelwit
  • 52% van de organisaties had ten minste één gecompromitteerd account
  • 32% van de gedupeerde organisaties ondervond activiteiten na het verkrijgen van toegang, zoals bestandsmanipulatie, het doorsturen van e-mails en OAuth-activiteiten
  • 10% van de organisaties had schadelijke OAuth-apps geautoriseerd
OAuth-misbruik gaat vaak hand in hand met accountovernames
Applicaties die worden misbruikt zijn meestal legitieme applicaties die door een aanvaller worden geautoriseerd en/of gebruikt om een niet-legitieme activiteit uit te voeren. Voorbeelden hiervan zijn het wegsluizen van data of de toegang tot specifieke middelen behouden wanneer een account wordt overgenomen. De belangrijkste reden om voor deze methode te kiezen is de beperkte zichtbaarheid en de duurzaamheid:
  • Met misbruikte applicaties kan de aanvaller ofwel een legitieme applicatie toevoegen aan het pakket met cloud-diensten of een bestaande applicatie gebruiken die eerder is geautoriseerd door de accounteigenaar. De toestemming voor een nieuwe app zou geen vragen oproepen en de logs zouden legitiem zijn. Voor schadelijke applicaties daarentegen is meestal buitengewone toestemming van de accounteigenaar nodig.
  • Dergelijke aanvallen zijn bestand tegen wachtwoordwijzigingen en multifactor-authenticatie (MFA), de twee belangrijkste instrumenten die worden gebruikt tegen het compromitteren van accounts. Dit geldt ook voor kwaadaardige OAuth-apps.
Hoe aanvallers OAuth-applicaties misbruiken:
  • Inloggen op applicaties: Aanvallers kunnen een applicatie misbruiken door er direct toegang toe te krijgen. Dit kan op verschillende manieren gebeuren. Bijvoorbeeld door in te loggen in de bestaande applicatie van het slachtoffer vanaf het apparaat van de aanvaller. Of door een nieuwe applicatie te autoriseren wanneer een account is overgenomen en deze in te stellen voor extern gebruik.
  • Certificaatupdate: Bij de recente aanval van SolarWinds speelden X.509-certificaten een cruciale rol. Deze certificaten worden in veel internetprotocollen gebruikt om gegevens privé en veilig over te dragen tussen een server en een client. Wanneer dit digitale certificaat is ondertekend door een vertrouwde certificeringsinstantie, bevestigt het dat iemand is wie hij zegt dat hij is - het domein, de organisatie of de persoon die in het certificaat is vermeld. Aanvallers kunnen certificaten stelen of aanmaken door systemen voor ondertekening te kraken.
  • Client secret-misbruik: Een client secret is een wachtwoord voor een applicatie. Het wordt gebruikt op een manier die vergelijkbaar is met die van applicatiecertificaten. Een client secret wordt aangemaakt in hetzelfde Azure AD-dashboard als certificaten. Geheimen kunnen worden gebruikt met andere OAuth2.0-flows dan de "Authorization Code Flow" (d.w.z. mobiele apps). De secrets zijn meestal 34 bytes lang en niet te wijzigen. De secret kan worden opgeslagen en verzonden als platte tekst. De code kan worden gekopieerd bij het maken ervan, nog voordat hij wordt versleuteld. Vaak wordt de client secret door de accounteiegenaar ergens opgeslagen als platte tekst in een bestand, mail of notitie.
  • Configuratiewijzigingen: Zodra een account is overgenomen, kan de aanvaller de lijst met applicaties van de accounteigenaar inzien. Elke applicatie heeft zijn eigen instellingen. Veel applicaties staan verschillende soorten koppelingen of interfaces met andere accounts of applicaties toe. De aanvaller kan een applicatie naar keuze configureren voor interactie met een account of een applicatie die is ingesteld op het apparaat van de aanvaller.
  • Misbruik van antwoord-URL’s: Wanneer een applicatie wordt geauthenticeerd, wordt het token gedeeld met een antwoord-URL, die kan aantonen waar de applicatiehost of de gebruikersclient zich bevindt. Nadat een aanvaller toegang heeft verkregen tot iemands account, kan hij een antwoord-URL (web-URL) toevoegen aan een bestaande applicatie in de app-instellingen om deze vervolgens te misbruiken.
Applicatiebeheer is cruciaal om misbruik van OAuth tegen te gaan
  • Applicatiemisbruik - een aanvaller die een legitieme applicatie gebruikt - betekent niet dat de applicatie kwetsbaar is
  • Organisaties moeten OAuth-applicaties actief beheren, de toegekende rechten aan applicaties minimaliseren en de gebruikerslijst beheren om risico's te verminderen
  • Applicaties met beheerdersrollen en app-gedelegeerde rechten vormen een groter risico omdat ze, wanneer ze worden misbruikt, een aanvaller bredere toegang verschaffen
  • Inlogcodes of client secrets mogen nooit worden opgeslagen als platte tekst
  • Een applicatie moet eigenaars hebben die het mechanisme van de applicatie begrijpen en wijzigingen bijhouden. Niet iedere gebruiker zou certificaten moeten kunnen ondertekenen.
  • Er moet op afwijkingen worden gelet, zoals vreemde toestemming voor een ongebruikelijke applicatie of de toevoeging van secrets, certificaten en antwoord-URL's van onbekende domeinen.
Recent van Proofpoint  
Vervalsing van OAuth client-ID’s

Chinese dreigingsgroep richt zich op faculteiten van grote Noord-Amerikaanse universiteiten

TA4922: de vermoedelijke Chinese criminele organisatie breidt zich wereldwijd uit

Verstreken tijd: 5 jaar en 114 dagen
PR contact  

Logo AxiCom
Proofpoint contact  


Marcommit is hét full service B2B marketing bureau van Nederland! Wij helpen jouw bedrijf met offline en online marketing campagnes die écht werken.
 Spotlight  
Logo Productowner.nl
Logo ZAMKO
Logo Innvolve
Logo ClickPatrol
Logo NetRom Software
Logo RAVI RYAN MOHANLAL
Logo BTG
Logo NHA Opleidingen
Logo Polly.Help
Logo MI Consultancy
Logo Incentro
Logo Stromma Nederland
Logo Fairbanks
Logo Valid
Logo Westpoort
Logo DNA Services B.V.
Logo PQR
Logo Web Wings
Logo Spryng
Logo We talk SEO B.V.
Logo Victoria ID
Logo DNA Services B.V.
Logo Twenty Four Webvertising
Logo Web Wings
Logo Web Wings
Logo BusinessCom
Logo Msafe
Logo SCOS ViaCloud BV
Logo Keuze.nl BV
Logo Spryng
Logo Red Hat
Logo HCC
Logo Xebia
Logo Unit4
Logo reichelt elektronik
Logo Conclusion
Logo Schneider Electric
Logo Proofpoint
Logo PQR
Logo KnowBe4
Logo Web Wings
Logo Schneider Electric
Logo Learned
Logo Red Hat
Logo Veeam Software
TARIEVEN
Publicatie eenmalig €49

PUBLICATIEBUNDELS
6 voor €199
12 voor €349
Onbeperkt €499

EENMALIG PLAATSEN
Persbericht aanleveren

REGELMATIG PLAATSEN
Bedrijfsabonnement
CONTACT
Persberichten.com
JMInternet
Kuyperstraat 48
7942 BR Meppel
Nederland
info@persberichten.com
KvK 54178096

VOLGEN
@ICTBERICHTEN

ZOEKEN
IT bedrijf
IT PR-bureau
OVER ONS
Persberichten.com, hét platform voor IT/Tech persberichten

DATABASE
103946 persberichten
7050 bedrijfsprofielen
60 PR-bureauprofielen
17598 tags

KENMERKEN
• Behouden tekstopmaak
• Foto/illustratie/logo
• Downloadbare bijlages
• Profiel met socials
 
www.whizpr.nlwww.marcommit.nlProgressCommunications.eu
www.deepr.nlwww.deepr.nlProgressCommunications.eu