Microsoft waarschuwde begin maart voor een phishingtechniek waarbij aanvallers misbruik maken van OAuth, het inlogprotocol dat vrijwel elke organisatie dagelijks gebruikt. De aanvallen richten zich specifiek op overheids- en publieke sector organisaties, maar de techniek zelf is breed toepasbaar.
Wat is OAuth en waarom is dit relevant?
OAuth is een standaard die het mogelijk maakt om je via een bestaand account ergens in te loggen, zoals “Log in met Microsoft” of “Log in met Google”. De gebruiker hoeft geen nieuw wachtwoord aan te maken; de identiteitsprovider (bijvoorbeeld Entra ID of Google Workspace) bevestigt wie je bent en stuurt je door naar de applicatie.
Dat doorsturen heet een redirect, en precies daar zit het probleem.
Hoe werkt deze aanval?
De aanvaller maakt een eigen applicatie aan in een door hem beheerde omgeving. Die applicatie configureren ze zo dat de redirect verwijst naar een kwaadaardige website in plaats van een legitieme dienst.
Vervolgens sturen ze phishingmails met een OAuth-link. Die link ziet er betrouwbaar uit, want hij loopt via een echte domeinnaam van Microsoft of Google. De ontvanger klikt, ziet een vertrouwde inlogpagina, en wordt daarna automatisch doorgestuurd naar een pagina die malware aflevert.
Het gaat hier niet om een softwarekwetsbaarheid. OAuth werkt precies zoals het bedoeld is. Aanvallers misbruiken een legitieme functie van het protocol.
Wat er daarna gebeurt
Als de gebruiker op de kwaadaardige pagina terechtkomt, wordt een ZIP-bestand gownload met een snelkoppeling erin. Opent de gebruiker het bijgevoegde LNK-bestand (een Windows-snelkoppeling), dan wordt er direct een PowerShell-commando uitgevoerd. Dat commando start een keten van acties: het systeem wordt in kaart gebracht, een DLL-bestand wordt geladen via een legitiem uitvoerbaar bestand, en uiteindelijk wordt er een verbinding opgezet met een externe server die verdere opdrachten kan sturen, oftewel een command-and-control (C2) server.
In sommige gevallen gebruiken aanvallers de techniek niet voor malware maar voor het onderscheppen van sessiecookies, waarmee ze zonder wachtwoord toegang krijgen tot accounts.
Waarom traditionele detectie hier tekortschiet
De link in de phishingmail verwijst naar een domein van Microsoft of Google. Dat haalt veel e-mailfilters en browserbeveiliging. De gebruiker ziet een vertrouwde URL en een herkenbare inlogpagina. Er is geen verdacht domein zichtbaar, geen spelfouten in het adres, geen reden om te twijfelen.
Dat maakt deze aanvalsmethode lastiger te herkennen dan klassieke phishing.
Wat organisaties kunnen doen
Microsoft heeft inmiddels een aantal kwaadaardige OAuth-applicaties verwijderd die bij dit onderzoek zijn gevonden. Maar de techniek zelf blijft beschikbaar voor aanvallers.
Praktische stappen om het risico te beperken:
- Beperk wie binnen de organisatie OAuth-applicaties mag autoriseren. Laat dit niet standaard open staan voor alle medewerkers.
- Controleer periodiek welke applicaties toegang hebben tot accounts in Entra ID of Google Workspace. Verwijder apps die niet meer gebruikt worden of ruimere rechten hebben dan nodig.
- Zorg dat medewerkers weten dat ook links via microsoft.com of accounts.google.com onderdeel kunnen zijn van een aanval. Vertrouwen op het domein alleen is niet genoeg.
- Zet detectie in op afwijkend inloggedrag, zoals logins vanuit ongebruikelijke locaties of op ongebruikelijke tijden.
Onze Cloud Security baselines en detectie van afwijkend gedrag kan hierbij helpen om het te voorkomen maar ook om te signaleren áls het wel gebeurt.
Conclusie
Deze aanvalsmethode laat zien dat aanvallers steeds vaker legitieme infrastructuur gebruiken om detectie te omzeilen. Geen nep-domeinen, geen malafide certificaten, gewoon het inlogsysteem dat al aanwezig is en vertrouwd wordt.
Dat vraagt om een bredere blik op identity security: niet alleen wie toegang heeft, maar ook welke applicaties die toegang hebben en hoe inlogstromen verlopen.
Bij RiskGuard helpen wij organisaties met het in kaart brengen van identity-risico’s, het beoordelen van applicatierechten en het detecteren van afwijkend gedrag. Neem contact op als u wilt weten hoe uw organisatie ervoor staat.
