Phishing via Azure AD B2B Collaboration

29. november 2019 | Erlend Andreas Gjære

E-posten har invites@microsoft.com som avsender, og alle tekniske undersøkelser (både SPF, DKIM og DMARC) viser at selve meldingen faktisk er sendt fra nettopp Microsoft.

Også alle linkene i e-posten går til legitime adresser hos Microsoft. Likevel er det noe som skurrer, fordi OneDrive-logoen er ikke helt oppdatert:

Når du klikker på lenken "Kom i gang", havner du på en helt legitim landingsside for Office 365-brukere. Hvis du allerede er innlogget her, vil du først bli spurt om å godkjenne at "OneDrive for Business" får tilgang til å logge deg på, og lese navnet ditt, epost-adressen din, og bildet ditt.

Og deretter kan du ende opp på en hvilken som helst URL, under angriperens kontroll.

Fordi hver invitasjon er personlig, er det imidlertid ikke mulig å undersøke hva som skjuler seg bak en annen bruker sin invitasjon. Derfor har vi prøvd å lage en tilsvarende kampanje for å finne ut hvilke muligheter en angriper kan ha med denne teknikken.

Azure Active Directory B2B Collaboration

Tjenesten som kan misbrukes er en på mange måter svært nyttig tjeneste fra Microsoft, som lar virksomheter invitere eksterne brukere fra andre virksomheter inn til sine interne områder, men hvor den eksterne brukeren får logge inn med sin ordinære brukerkonto fra Office 365.

En angriper kan imidlertid opprette en gratis prøveperiode på Azure AD Premium, og få tilgang til de samme funksjonene. Dersom man gir Azure AD-organisasjonen sin navn etter f.eks. en kjent merkevare (som OneDrive for Business i tilfellet over), kan man også legge inn logo som preger e-post-invitasjonen som sendes ut til nye brukere.

Deretter kan man opprette en såkalt "Enterprise App" i denne organisasjonen, og deretter si at denne applikasjonen skal tilby single sign-on gjennom en bestemt URL, som da kan være ondsinnet:

Denne applikasjonen kan videre tilordnes nye brukere, og det er her man legger inn ønskede mottakerne av phishing-kampanjen. Her er det fritt fram for å angi eksterne e-postadresser:

Ved klikk "Invite"-knappen blir altså den nå ondsinnede invitasjonen sendt ut - fra Microsoft. Når mottakerne eventuelt godtar "invitasjonen", havner de på angriperens fiktive landingsside for applikasjoner. 

Herfra vil klikk på den aktuelle applikasjonen ta brukeren til angriperens egen påloggingsside, eller hvilken som helst annen ressurs som ellers er angitt for single sign-on:

Skjermbildet over tilhører for ordens skyld ikke den faktiske phishing-kampanjen vi oppdaget gjennom bruk av MailRisk hos våre kunder. Dette er derimot en landingsside som tilbys gjennom vår egen phishing-simulator, les gjerne vår kronikk på Digi.no om bruk av simulert phishing til bevisstgjøring og opplæring.

For å beskytte virksomheten mot dette konkrete angrepsscenariet, kan man samtidig vurdere å blokkere tilgangen sluttbrukere har til å godkjenne deling av data fra sin egen virksomhetsbruker mot eksterne (multi-tenant) applikasjoner:

Merk at denne innstillingen kan også komme i veien for legitime bruksscenarier for slik pålogging. Samtidig finnes denne konfigurasjonsmuligheten som gjør at man neppe kan kalles misbruk av tjenesten for et "sikkerhetshull" fra Microsoft sin side.

 


‒ Sparer tid på sikkerhetshjelp

Se hvordan MailRisk sørger for effektiv bevisstgjøring og oppfølging av mistenkelig e-post blant ansatte i hele virksomheten.

Les om MailRisk hos Tussa →

MailRisk på 90 sekunder

Klikk her for å se en kort video om MailRisk

Se hvordan alle ansatte kan bidra til økt sikkerhet i virksomheten!

«MailRisk gir både ansatte og virksomheter en helt ny mulighet til å oppdage og respondere på målrettede trusler i e-post.»

Outstandig Security Performance Awards

Bli kjent med MailRisk →

Oppdag nye epost-trusler med MailRisk i egen virksomhet.

Vi tilbyr en gratis og uforpliktende prøveperiode.

Gå til bloggen →