OAuth-Missbrauch

Wenn der Login zur Einfallstür wird: Neue OAuth-Missbrauchskampagnen im Fokus

, Keeper Security | Autor: Herbert Wieler

Wenn der Login zur Einfallstür wird: Neue OAuth-Missbrauchskampagnen im Fokus

Ausnutzung eines legitimen Authentifizierungsprozesses

Die jüngsten Erkenntnisse von Microsoft zeigen einmal mehr, wie kreativ und anpassungsfähig Cyberkriminelle geworden sind. Im Mittelpunkt steht dabei ein Angriffsszenario, das auf den ersten Blick überraschend wirkt: Nicht eine klassische Sicherheitslücke wird ausgenutzt, sondern ein eigentlich legitimer Authentifizierungsprozess. Konkret geht es um den Missbrauch von OAuth-Abläufen, um Nutzer auf manipulierte Infrastruktur umzuleiten und letztlich Malware auf ihren Geräten zu platzieren. Dabei ist wichtig zu verstehen: OAuth selbst ist nicht das Problem. Wie Shane Barney, CISO von Keeper Security , betont, liegt die Schwachstelle nicht im Protokoll, sondern in der Art und Weise, wie Angreifer legitime Abläufe manipulieren.

Angriff über Vertrauen

Die aktuellen Kampagnen beginnen meist mit Phishing-E-Mails. Darin enthalten sind Links, die zunächst auf scheinbar legitime Anmeldeseiten führen – etwa eine vertraute Microsoft-Loginseite. Dieser erste Schritt ist entscheidend, denn er erzeugt Vertrauen.

Im Hintergrund nutzen Angreifer jedoch ein Verhalten von OAuth-Weiterleitungen aus. Sie provozieren gezielt Fehlerzustände im Authentifizierungsprozess. Anstatt den Nutzer korrekt zurückzuführen, wird er über eine Weiterleitung auf eine Infrastruktur gelenkt, die vollständig unter Kontrolle der Angreifer steht. Dort wartet dann die eigentliche Schadsoftware. Der entscheidende Punkt: Das Ziel dieser Kampagnen ist nicht primär der Diebstahl von Zugriffstokens oder Zugangsdaten. Stattdessen geht es darum, das Endgerät selbst zu kompromittieren. Durch die vorherige Interaktion mit einer legitimen Identitätsplattform steigt die Wahrscheinlichkeit, dass Nutzer dem Ablauf vertrauen – oft lange genug, um eine schädliche Datei auszuführen.

Ein Strategiewechsel bei Cyberangriffen

Dieser Ansatz zeigt einen grundlegenden Wandel in der Angriffsstrategie. Früher lag der Fokus vieler Angriffe darauf, Verschlüsselung zu brechen, Passwörter zu stehlen oder Tokens direkt abzufangen. Heute zielen Angreifer zunehmend auf die Übergänge zwischen Systemen.

Im konkreten Fall sind das drei Bereiche:

  • Identitätsplattformen
  • Weiterleitungsmechanismen
  • menschliches Verhalten

Gerade diese Schnittstellen werden häufig als selbstverständlich und vertrauenswürdig angesehen. Wenn Authentifizierungsabläufe jedoch blind akzeptiert und nicht kontinuierlich überprüft werden, können sie selbst zur Angriffsfläche werden.

MFA hilft – aber reicht nicht allein

Multi-Faktor-Authentifizierung (MFA) bleibt eine der wichtigsten Sicherheitsmaßnahmen und erhöht die Hürde für Angreifer erheblich. Allerdings zeigt der aktuelle Angriffstyp auch, dass MFA nicht jedes Szenario von OAuth-Missbrauch verhindern kann.

Unternehmen sollten daher zusätzliche Maßnahmen ergreifen:

  • Zustimmung von Endnutzern zu Drittanbieter-Apps strikt einschränken
  • erlaubte Weiterleitungs-URLs klar definieren und begrenzen
  • OAuth-App-Registrierungen regelmäßig prüfen
  • ungewöhnliche Autorisierungsanfragen in Identitäts-Telemetriedaten überwachen
  • auffällige Weiterleitungs- oder Fehler-Patterns analysieren Gerade die kontinuierliche Überwachung von Identitätssystemen wird immer wichtiger, da Angriffe zunehmend auf subtile Manipulationen statt auf direkte Exploits setzen.

Identität als neue Sicherheitsgrenze

Identitätsinfrastrukturen sind heute ein zentraler Bestandteil der Unternehmenssicherheit. Sie steuern nicht nur den Zugriff auf Anwendungen, sondern bilden oft das Fundament für ganze IT-Ökosysteme. Wenn OAuth-Integrationen und App-Verbindungen jedoch weniger streng verwaltet werden als privilegierte Zugriffe, entsteht ein gefährliches Ungleichgewicht. Genau diese Lücke nutzen Angreifer aus. Die Konsequenz: Authentifizierungsprozesse müssen mit derselben Sorgfalt behandelt werden wie administrative Zugänge. Das bedeutet klare Berechtigungsmodelle, das Prinzip der geringsten Rechte und eine konsequente Überwachung aller Integrationen. Nur so lässt sich verhindern, dass ausgerechnet ein vertrauenswürdiger Login-Prozess zur Malware-Schleuse wird.