Def Con 34: Phishing as a Service – mit Microsoft

So einfach hat Keanu Nys von Spotit aus Belgien Microsofts Online-Login-Webseite umgebaut: Da Microsoft sein EntraID als universelles Login auch über verschiedene Tenants ermöglicht und das Password weiterhin als Klartext übermittelt, hat der Forscher aus dem offiziellen Login eine Phishing-Plattform gebaut, um an die Anmeldedaten von beliebigen Nutzern zu kommen.

Der Clou an der Sache: Durch die Möglichkeit, per CSS die Login-Page anzupassen und eigene Bilder einzublenden, kann man selbst MFA-Authentifizierungen problemlos erbeuten. Auch hier zeigt sich, dass Microsoft entschieden zu viele Kompromisse zuungunsten der Sicherheit und für mehr Features eingegangen ist, und dadurch das ganze MFA-System für Endanwender nicht identifizierbar beziehungsweise offen für Phishing-Angriffe gegen deren Microsoft ID gestaltet hat.

So fällt man auf micro-oft.com rein

Konkret hat Nys in seiner Def-Con-Präsentation gezeigt, dass man durch eine schlichte CSS-Anpassung, eigene Fonts und das Einblenden von Bildern in die Login-Page den User aus dem Tenant einfach täuschen kann. Aus „micro-oft.com“ wird „microsoft.com“, indem man den Bindestrich im Font durch ein „s“ ersetzt.

Durch Pass Through Authentication (PTA) können Angreifer anschließend prüfen, ob die erbeuteten Zugangsdaten gültig sind, und sie eine Session-ID erbeutet haben, mit der sie alle Dienste des Tenant (M365, Storage und mehr) nutzen können. Selbst MFA stellt dabei keine Hürde dar: Man generiert einfach alle „99“ möglichen Anfragen vor, und kann diese dann über ein Image einbinden. Dafür benötigt man aber zwei Tenants.

Alle „Phishing-Versuche“ kommen dabei von der offiziellen Microsoft-Domain. Sie lassen sich also nicht durch Firewalls, DNS-Filter und vergleichbare Security-Maßnahmen aufhalten. Es fällt schwer, sich vorzustellen, wie Microsoft diese Angriffe unterbinden will. Der einzige Ausweg bleibt, etliche Funktionen hart abzustellen und endlich zu sicheren Funktionen überzugehen.

(fo)