Bei einer “Cyber Attack Simulation” werden im Rahmen eines realistischen Hacker-Angriffes die Erkennungs- und Abwehrmechanismen eines Unternehmens geprüft. Die CSP hat sich dieser Herausforderung gestellt und durch die Compass Security angreifen lassen. Im Rahmen von drei Blog-Beiträgen möchten wir unsere Erfahrungen und Erkenntnisse teilen:
- Teil 1: Ausgangslage und Rahmenbedingungen
- Teil 2: Ergebnisse und Erkenntnisse
- Teil 3: Behind the scenes
Hinter den Kulissen
Im zweiten Blog-Beitrag dieser dreiteiligen Serie haben wir die Ergebnisse und Erkenntnisse der «Cyber Attack Simulation» grob beschrieben. In diesem dritten Teil möchten wir aus zwei Perspektiven aufzeigen was hinter den Kulissen vor sich ging: Einerseits wie die Hacker mit «device code phishing» vorgingen und andererseits die Perspektive eines betroffenen Mitarbeitenden einnehmen.
Das bei den erfolgreichen Angriffen verwendete «device code phishing» nutzt den von Microsoft offiziell unterstützten OAuth 2.0 device authorization grand flow. Der Flow ist für Szenarien gedacht, in denen ein Gerät (z.B. ein Smart-TV) nicht in der Lage ist, Benutzer direkt zu authentifizieren (beispielsweise, weil die Anmeldung bei Netflix mit der Fernbedienung zu umständlich ist). Die folgende Grafik (Quelle Netskope: New Phishing Attacks Exploiting OAuth Authorization Flows (Part 2) – Netskope) zeigt den Ablauf aus Sicht des Angreifers:
- Schritt 1: Der reguläre (z.B. bei der Nutzung von Netflix auf einem Smart-TV) Schritt 1 entfällt, keine Interaktion durch das Opfer
- Schritte 2 und 3: Der Angreifer generiert einen Gerätecode. Dazu ist keine Authentifizierung erforderlich
- Schritt 4: Der Angreifer versendet eine Phishing-Email, um sein Opfer dazu zu bringen, den Gerätecode unter der offiziellen Microsoft URL https://microsoft.com/devicelogin zur Verifizierung einzugeben
- Schritt 5: Das Opfer öffnet die legitime Website https://microsoft.com/devicelogin, gibt den Gerätecode ein und wird danach für die reguläre Anmeldung an M365 inklusive Multi-Faktor-Authentifizierung und unternehmensspezifischer M365-Login-Seite weitergeleitet. Das Opfer meldet sich «wie gewohnt» bei M365 an.
- Schritte 6 und 7: Sofern die Gültigkeitsdauer des Gerätecodes von 15 Minuten nicht überschritten wurde, erhält der Angreifer ein gültiges Zugriffstoken des Opfers
- Folgeschritte: Mit dem Zugriffstoken kann der Angreifer nun im Namen des Opfers auf Microsoft Cloud-Ressourcen zugreifen (beispielsweise über Microsoft Graph API)
Der Angriff
Aus der Sicht eines betroffenen CSP-Mitarbeitenden lief der Hacker-Angriff wie folgt ab:
- Anruf eines potentiellen Kunden auf der CSP-Hauptnummer und Weiterleitung des Anrufes an den entsprechenden Mitarbeitenden
- Kurzes Telefonat mit dem potenziellen Kunden, danach Erhalt einer E-Mail mit einer Offertanfrage «Digitalisierung Buchhaltung»
- Der CSP-Mitarbeitende informiert sich auf der Webseite des anfragenden Unternehmens zum Unternehmensprofil und den Mitarbeitenden
- Klick auf den Link in der erhaltenen E-Mail, um ein Freigabecode für den Zugriff auf die zur Offertanfrage gehörenden Dokumente zu erhalten. Reguläre Anmeldung an M365 (mit MFA und auf der üblichen CSP-Login-Seite) für Zugriff auf die Dokumente des interessierten Unternehmens.
- Herunterladen der Informationen, welche für die Erstellung der Offerte notwendig sind
Die Compass Security[1] hat diesen erfolgreichen Angriff mit sehr grossem Engagement (inkl. Nachbau einer fiktiven Webseite eines Unternehmens und Durchführung eines Fake-Telefonanrufes zwecks Offertanfrage) sowie mit viel technischem Expertenwissen möglich gemacht und uns damit begeistert (bzw. schockiert 😊).
Wenn Sie mehr zu den Themen Informationssicherheits-Managementsystem (ISMS), Security-Awareness oder einer Standortbestimmung zum Thema erfahren möchten, wenden Sie sich bitte an Peter Flütsch.
[1] Die Compass Security ist auf die Themen Red-Teaming, Penetration Tests, Managed Detection and Response und Digital Forensics and Incident Response spezialisiert. Sie werden an der Swiss Cyber Storm Schedule – Oct 24th, 2023 – Swiss Cyber Storm eine Präsentation zum Thema device code phishing halten. Bei Fragen wenden sie sich bitte an Cyrill Brunschwiler, cyrill.brunschwiler@compass-security.com