Azure App-Mirage: Umgehung der Schutzmaßnahmen gegen Anwendungsidentitätsdiebstahl

Varonis Threat Labs hat eine Sicherheitslücke entdeckt, die es Angreifern ermöglicht, sich als Microsoft-Anwendungen auszugeben, indem sie bösartige Apps mit irreführenden Namen erstellen.

Die Sicherheitsforscher fanden heraus, dass durch die Umgehung bestehender Schutzmechanismen, die die Nutzung reservierter Namen verhindern sollen, bösartige Anwendungen mit Bezeichnungen wie „Azure Portal“ erstellt werden konnten. Angreifer waren dadurch in der Lage, die Identität legitimer Microsoft-Anwendungen anzunehmen.

Unzureichend verwaltete Azure-Anwendungen können erhebliche Sicherheitsrisiken bergen. Sie ermöglichen unter anderem den ersten Zugriff, die Aufrechterhaltung der Präsenz sowie Privilegienerweiterungen innerhalb eines Microsoft-365-Mandanten, was zu Datenverlusten und Reputationsschäden führen kann.

Im Rahmen ihrer Untersuchung konzentrierten sich die Forscher auf Angriffstaktiken für den Erstzugriff, darunter illegale Einwilligungserklärungen und das Phishing von Gerätecodes. Dabei werden Benutzer dazu verleitet, Berechtigungen zu gewähren, wodurch Angreifer Zugriffstoken erhalten können, ohne Passwörter zu stehlen.

Diese Methode sorgt für erhebliche Verwirrung bei den Nutzern, die die gefälschten Anwendungen häufig für legitime Microsoft-Dienste halten. Warnungen vor nicht von Microsoft stammenden Apps werden oftmals ignoriert – teilweise, weil viele Microsoft-Anwendungen selbst keine digitalen Signaturen tragen.

Zur Erstellung täuschend echter Azure-Anwendungen fügten die Forscher zwischen jedem Zeichen des Namens „Azure Portal“ versteckte Unicode-Zeichen ein. Zunächst wurde ein einzelnes Zeichen identifiziert, das diese Täuschung ermöglichte. Nach der Meldung an Microsoft entdeckten die Forscher weitere 261 solcher Zeichen.

Microsoft behob die erste Schwachstelle im April 2025 und die zweite im Oktober 2025. Durch die Korrekturen sollen zukünftige Ausnutzungen verhindert und die Bedeutung fortlaufender Wachsamkeit im Bereich der Cybersicherheit betont werden. Laut Microsoft sind Kunden durch die vorgenommenen Fixes geschützt und müssen keine weiteren Maßnahmen ergreifen.

Was sind Azure-Anwendungen?

Azure-Anwendungen sind Software-Identitäten, die mit Azure-Diensten und -Ressourcen interagieren. Nutzer können diesen Anwendungen Delegationsberechtigungen erteilen: entweder im Namen des Nutzers zu handeln (delegierte Berechtigungen) oder der Anwendung eigene Berechtigungen über ein Dienstprinzipal zu geben.

Delegierte Berechtigungen übertragen dem Programm die gleichen Zugriffsrechte wie dem Nutzer — etwa auf E-Mails, Nachrichten und Dateien — und ermöglichen so Aktionen im Namen des Nutzers. Deshalb stellen schlecht verwaltete Azure-Apps ein erhebliches Sicherheitsrisiko dar.

Varonis identifiziert drei Missbrauchsarten von Azure-Apps: Erstzugriff (Angreifer erhält durch Zustimmung eines Nutzers Zugriff auf dessen Ressourcen), Persistenz (App wird installiert und mit hohen Rechten versehen) und Privilegieneskalation (Nutzerkonten werden ausgenutzt, um höhere Rechte zu erlangen). Die Untersuchung konzentriert sich auf den Erstzugriff.

Für den Erstzugriff nutzen Angreifer vor allem zwei Methoden: unrechtmäßige Zustimmung und Phishing von Gerätecodes. In beiden Fällen senden sie dem Opfer üblicherweise eine URL per Phishing, schaffen eine bösartige Azure-App mit konkreten Berechtigungsanforderungen und locken das Opfer zur Zustimmung. Nach der Zustimmung erhält der Angreifer ein Zugriffstoken und kann das Konto entsprechend der erteilten Rechte übernehmen.

Beim Szenario der unrechtmäßigen Zustimmung führt ein Link oft zu einer Datei-Ansicht oder einer Einwilligungsseite; das Token geht an den Angreifer, ohne dass Passwörter entwendet werden. Beim Gerätecode-Phishing erzeugt der Angreifer eine Verifizierungs-URI plus Benutzer- und Gerätecode; nach Eingabe durch das Opfer nutzt der Angreifer den Gerätecode, um das Zugriffstoken zu erhalten. Für den Gerätecode-Flow ist keine spezielle App erforderlich — zur Demonstration verwenden Forscher aber häufig eine App, um den Anwendungsnamen zu kontrollieren.

Die Schwachstelle – Identitätsdiebstahl bei Microsoft-Anwendungen

Im Zuge ihrer Untersuchungen stellten die Forscher fest, dass Microsoft eine Sicherheitsvorkehrung eingeführt hat, um zu verhindern, dass mandantenübergreifende Anwendungen bestimmte, reservierte Namen erhalten. Die Liste dieser verbotenen Bezeichnungen war ursprünglich auf folgenden Seiten einsehbar:

• Überprüfen von Microsoft-Anwendungen aus erster Hand in Anmeldungsberichten | Microsoft Learn (inzwischen ohne diese Angaben)

• Azure Portal-App-Registrierungsseite (Anmeldung erforderlich)

Nach Angaben der Forscher handelt es sich bei den folgenden Bezeichnungen um die vollständige Liste der getesteten und gesperrten Namen:

• ADIbizaUX
• Azure Advanced Threat Protection
• Azure Data Lake
• Azure Portal
• Azure SQL Database
• AzureSupportCenter
• Bing
• CPIM Service
• Enterprise Roaming and Backup
• FindTime
• Microsoft 365 Security and Compliance Center
• Microsoft 365 Support Service
• Microsoft App Access Panel
• Microsoft Approval Management
• Microsoft Authentication Broker
• Microsoft Azure CLI
• Microsoft Azure PowerShell
• MicrosoftAzureActiveAuthn
• Microsoft Bing Search
• Microsoft Bing Search for Microsoft Edge
• Microsoft Bing Default Search Engine
• Microsoft Defender for Cloud Apps
• Microsoft Defender for Identity (formerly Radius Aad Syncer)
• Microsoft Docs
• Microsoft Dynamics ERP
• Microsoft Edge Insider Addons Prod
• Microsoft Exchange ForwardSync
• Microsoft Exchange Online Protection
• Microsoft Exchange ProtectedServiceHost
• Microsoft Exchange REST API Based PowerShell
• Microsoft Exchange Web Services
• Microsoft Exchange Message Tracking Service
• Microsoft Forms
• Microsoft Graph
• Microsoft Intune Web Company Portal
• Microsoft Intune Windows Agent
• Microsoft Office
• Microsoft Office 365 Portal
• Microsoft Office Web Apps Service
• Microsoft Online Syndication Partner Portal
• Microsoft Outlook
• Microsoft password reset service
• Microsoft Power BI
• Microsoft Storefronts
• Microsoft Stream Portal
• Microsoft Substrate Management
• Microsoft Support
• Microsoft Teams
• Microsoft Teams Services
• Microsoft Teams Web Client
• Microsoft Whiteboard Services
• O365 SkypeSpaces Ingestion Service
• O365 Suite UX
• Office 365 Exchange Online
• Office 365 Management
• Office 365 Search Service
• Office 365 SharePoint Online
• Office Delve
• Office Online Client Microsoft Entra ID- Augmentation Loop
• Office Online Client Microsoft Entra ID- Loki
• Office Online Client Microsoft Entra ID- Maker
• com
• Office 365 Shell WCSS-Client
• OfficeClientService
• OfficeShredderWacClient
• OneDrive SyncEngine
• OneNote
• Outlook Mobile
• Power BI Service
• SharePoint Online Web Client Extensibility
• Skype for Business Online
• Sway
• WeveEngine
• Windows Azure Active Directory
• Windows Azure Security Resource Provider
• Windows Azure Service Management API
• Windows Defender ATP Portal
• Windows Spotlight
• Windows Store for Business

Bei der Registrierung einer Anwendung mit dem Namen „Azure Portal“ wurde die Fehlermeldung „Der Name Ihrer Anwendung ist ungültig“ angezeigt.

Grafik Quelle: Varonis

Bei der Verwendung von MSGraph erhalten wir die Fehlermeldung „Der Anzeigename Ihrer Anwendung ist ungültig“.

Grafik Quelle: Varonis

Um diese Einschränkung zu umgehen, wurden unsichtbare Unicode-Zeichen verwendet. Nach einigen Versuchen haben wurde festgestellt, dass mit dem Zeichen „Combining Grapheme Joiner“ (0x34f) den Anwendungsnamen „Azure Portal“ erstellt werden konnte, indem es zwischen jedes Zeichen des Namens einfügt wurde.

Grafik Quelle: Varonis

Dies funktionierte für insgesamt 262 gefundene Zeichen, darunter alle folgenden:

• 0x34f (wie im Beispiel zu sehen)
• 0x17b4
• 0x17b5
• 0x180b
• 0x180c
• 0x180d
• Bereich(0xfe00, 0xfe10) # Ohne Ende
• Bereich(0xe0100, 0xe01f0) # Ohne Ende

Grafik Quelle: Varonis

Der Name „Azure Portal“ ist sichtbar, wenn die Anwendung an das Opfer gesendet wird.

Grafik Quelle: Varonis

Einen Schritt weiter gehen und ein Bild festlegen macht es zuverlässiger:

Grafik Quelle: Varonis

Es gibt zwar Sicherheitsvorkehrungen, um die Nutzer zu schützen und sie darauf hinzuweisen, dass die Anwendung, der sie zustimmen, nicht wirklich von Microsoft stammt, aber viele Microsoft-Anwendungen werden zwar von Microsoft erstellt, aber nicht von ihnen überprüft.

Das kann zu Verwirrung führen, und manchmal ignorieren die Leute die Warnung einfach:

Grafik Quelle: Varonis

Grafik Quelle: Varonis

Fazit und Empfehlungen

Obwohl die Sicherheitslücken behoben wurden, sollten Unternehmen Maßnahmen ergreifen, um sich vor ähnlichen Angriffen mit Azure-Anwendungen zu schützen:

• Benutzereinwilligung einschränken: Im Entra-Admin-Center kann geregelt werden, welche Apps Nutzer eigenständig genehmigen dürfen. Entweder ist für alle Apps eine Administratorzustimmung erforderlich, oder nur Apps von verifizierten Herausgebern mit Berechtigungen geringer Auswirkung werden zugelassen.

• Prinzipien der geringsten Berechtigungen umsetzen: Benutzer und Anwendungen sollten nur die minimal notwendigen Rechte erhalten. Berechtigungen regelmäßig prüfen und anpassen, um unnötige Zugriffe zu vermeiden.

• Azure-Anwendungen überwachen: Zugriffsmuster und Verhalten von Apps kontinuierlich kontrollieren. Auf Anomalien wie ungewöhnliche Zugriffe, Änderungen an App-Konfigurationen oder Nicht-ASCII-Zeichen in Anwendungsnamen achten.

• Benutzer schulen: Mitarbeitende darin trainieren, Phishing zu erkennen und Anwendungsberechtigungen vor der Zustimmung sorgfältig zu prüfen.

 

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon