Hackers wisten eind 2022 hun OAuth-apps gecertificeerd te krijgen door Microsoft en voerden via dit OAuth-verificatieproces verschillende phishingaanvallen uit.Klanten van de Amerikaanse softwaregigant werden in december blootgesteld aan een niet-gekend gevaar in OAuth. Microsofts authenticatieprotocol voor het delen van gegevens met derde partijen, werd in december misbruikt door hackers. Zij wisten zich voor te doen als legitiem bedrijf en kregen daarmee toegang tot het certificatieproces voor applicaties die via OAuth kunnen communiceren en boekten succes: ze kregen hun apps geverifieerd, waardoor ze plots een ‘betrouwbare uitgever’ leken voor nietsvermoedende OAuth-gebruikers.
Phishingaanvallen via OAuth
Niets is echter minder waar. De hackers gebruikten de OAuth-authorisatie om phishingaanvallen uit te voeren bij bedrijven in het Verenigd Koninkrijk en Ierland. Nietsvermoedend gaven bedrijven hun bedrijfsgegevens aan criminelen door het OAuth-proces te doorlopen. Gezien de apps geverifieerd waren door Microsoft, was het voor bedrijven knap lastig om te herkennen dat het om phishing ging. Dit werd dan ook vaak pas ontdekt als de hacker al toegang had verkregen tot alle data op het Microsoft-account.
Microsoft bleek in dit geval de zwakste schakel en stelde hackers in staat de legitimiteit van haar OAuth-dienst te misbruiken voor criminele doeleinden. Wie verantwoordelijk is voor de acties en op welke wijze Microsoft daarmee omgaat, is niet bekend. Geweten is dat bedrijven die de apps van de hackers OAuth-toegang gaven, hun maildata gestolen zagen.
Alle veiligheidsperikelen in OAuth werden intussen door Microsoft opgelost. Kort op de ontdekking van de niet-legitieme praktijken van de hackers, werd hun OAuth-toegang afgesneden. Ook werden klanten van de softwaregigant van het beveiligingsprobleem op de hoogte gebracht. Tot slot wordt, op niet nader besproken wijze, het verificatieproces van het Cloud Partner Program aangepast. Dat partnerprogramma dient voor het verifiëren van OAuth-apps.