Security

OAuth-omdirigering i Entra ID misbruges til phishing

3 min læsning

Resumé

Microsoft advarer om, at angribere misbruger en legitim OAuth-omdirigeringsadfærd i Entra ID til at sende brugere fra troværdige login-domæner videre til phishing-sider eller malware-downloads. Det er vigtigt, fordi angrebet udnytter velkendte sign-in-flows og kan omgå brugerens mistanke og nogle sikkerhedskontroller, især i angreb rettet mod myndigheder og offentlige organisationer.

Brug for hjælp med Security?Tal med en ekspert

Introduktion: hvorfor dette er vigtigt

OAuth-links til velkendte identity providers (IdPs) som Microsoft Entra ID bliver ofte betroet af brugere og behandles i nogle tilfælde mere lempeligt af sikkerhedskontroller. Microsofts seneste forskning fremhæver en OAuth-omdirigeringsadfærd, der fungerer “by design”, og som misbruges til at sende brugere fra legitime login-domæner til angriberes infrastruktur—hvilket muliggør phishing og levering af malware, mens det ligner et normalt sign-in-flow.

Dette er især relevant for IT-administratorer i myndigheder og offentlige organisationer, som specifikt var mål i den observerede aktivitet.

Hvad er nyt / vigtigste fund

Microsoft Defender Security Research Team observerede phishing-drevet udnyttelse af OAuth-omdirigeringsmekanismer på tværs af signaler fra email, identity og endpoint:

  • Misbrug af silent OAuth-flows: Angribere opretter OAuth-autoriserings-URL’er ved hjælp af parametre som prompt=none for at forsøge et silent autentificeringstjek (ingen brugergrænseflade).
  • Bevidst ugyldige scopes for at tvinge en fejlsti: Forespørgsler inkluderer scope=<invalid_scope> (eller andre fejlsudløsere) for pålideligt at generere en OAuth-fejl.
  • Fejldrevet omdirigering til angriberkontrolleret URI: Når IdP’en returnerer en fejl (for eksempel interaction_required), omdirigeres browseren til appens registrerede redirect URI, som angriberen konfigurerer til at pege på phishing-sider eller websteder til download af malware.
  • Ingen token-tyveri kræves for omdirigeringen: Angriberen forsøger ikke nødvendigvis at gennemføre OAuth med succes; omdirigeringen er hovedmålet.
  • Misbrug af state-parameteren til personalisering: Parameteren state—der er beregnet til korrelation mellem forespørgsel og svar—blev genbrugt til at videregive offerets emailadresse (klartekst, hex, Base64 eller brugerdefineret kodning), så phishing-sider automatisk kan udfylde identifikatorer.
  • Mønstre for kampagnelevering: Phishing-lokkemidler omfattede e-signaturanmodninger, temaer om økonomi/social sikring, dokumentdeling, Teams-/mødeindhold og prompts til nulstilling af adgangskode. Nogle brugte PDF-vedhæftninger med indlejrede links og endda .ics-kalenderinvitationer.
  • Efterfølgende værktøjer: Sider efter omdirigeringen brugte ofte phishing-frameworks som EvilProxy (attacker-in-the-middle), der er designet til at indfange legitimationsoplysninger og sessionscookies, nogle gange med ekstra CAPTCHA-/mellemtrin.

Påvirkning på IT-administratorer og slutbrugere

  • Højere risiko for klik: Links starter på betroede IdP-domæner (for eksempel login.microsoftonline.com), hvilket øger brugernes tillid.
  • Pres på omgåelse af forsvar: Traditionelle kontroller af URL-omdømme kan fokusere på det oprindelige domæne og overse den endelige destination.
  • Behov for synlighed på tværs af lag: Microsoft bemærker, at Defender korrelerede signaler på tværs af email, identity og endpoint, hvilket understreger, at detektion med én enkelt kontrol kan være utilstrækkelig.
  • Vedvarende trussel: Microsoft Entra deaktiverede observerede ondsindede OAuth-applikationer, men relateret aktivitet fortsætter—overvågning er stadig nødvendig.

Handlinger / næste skridt

  1. Jagt på mistænkelige OAuth-authorize-mønstre i logs og proxytelemetri, især:
    • prompt=none kombineret med usædvanlige/ugyldige scope-værdier
    • Hyppige OAuth-fejl efterfulgt af omdirigeringer til ikke-virksomhedsdomæner
    • Brug af /common/ i uventede phishing-kontekster med høj volumen
  2. Gennemgå og begræns app consent og app-registreringer:
    • Revider nyligt oprettede apps og redirect URI’er for ikke-betroede domæner
    • Stram op på, hvem der kan registrere applikationer/ændre redirect URI’er i Entra ID
  3. Styrk phishing-beskyttelse ud over kontroller af “betroet domæne”:
    • Sørg for, at URL-detonation/safe-link-værktøjer følger omdirigeringer
    • Uddan brugere i, at “starter ved Microsoft sign-in” ikke garanterer sikkerhed
  4. Valider Conditional Access og sessionskontroller:
    • Overvåg sign-in- og OAuth-fejltelemetri for anomalier og målrettede brugergrupper
  5. Brug Defender-korrelation:
    • Udnyt Microsoft Defender for Office 365 + Defender for Identity/Endpoint til at korrelere email-lokkemidler, sign-in-adfærd og payload-aktivitet på endpoint.

Brug for hjælp med Security?

Vores eksperter kan hjælpe dig med at implementere og optimere dine Microsoft-løsninger.

Tal med en ekspert

Hold dig opdateret om Microsoft-teknologier

Læs den originale artikel af Microsoft Defender Security Research Team
OAuthMicrosoft Entra IDphishingMicrosoft Defenderidentity security

Relaterede indlæg

Security

Trivy supply chain compromise: Defender-guide

Microsoft har udgivet vejledning til detektion, undersøgelse og afhjælpning af Trivy supply chain compromise i marts 2026, som påvirkede Trivy-binæren og relaterede GitHub Actions. Hændelsen er vigtig, fordi den gjorde betroet CI/CD-sikkerhedsværktøj til et våben for at stjæle legitimationsoplysninger fra build-pipelines, cloud-miljøer og udviklersystemer, mens det så ud til at køre normalt.

Security

AI-agentstyring: Afstemning af intention for sikkerhed

Microsoft skitserer en styringsmodel for AI-agenter, der afstemmer bruger-, udvikler-, rollebaseret og organisatorisk intention. Rammeværket hjælper virksomheder med at holde agenter nyttige, sikre og compliant ved at definere adfærdsgrænser og en klar rækkefølge, når konflikter opstår.

Security

Microsoft Defender predictive shielding stopper GPO-ransomware

Microsoft beskrev en reel ransomware-sag, hvor Defenders predictive shielding opdagede ondsindet misbrug af Group Policy Object (GPO), før krypteringen begyndte. Ved at hærdne GPO-udrulning og afbryde kompromitterede konti blokerede Defender cirka 97 % af de forsøgte krypteringsaktiviteter og forhindrede, at nogen enheder blev krypteret via GPO-leveringsvejen.

Security

Microsoft sikkerhed til agentic AI på RSAC 2026

Microsoft præsenterede på RSAC 2026 en samlet sikkerhedsstrategi for agentic AI og annoncerede, at Agent 365 bliver generelt tilgængelig 1. maj som et kontrolplan til at overvåge, beskytte og styre AI-agenter i stor skala. Samtidig udvider virksomheden synligheden i AI-risici med nye og kommende værktøjer som Security Dashboard for AI, Shadow AI Detection i Entra og forbedret Intune-appinventar, hvilket er vigtigt for virksomheder, der vil bruge AI sikkert uden at miste kontrol over data, identiteter og skygge-IT.

Security

Microsoft CTI-REALM benchmark til AI detection engineering

Microsoft har lanceret CTI-REALM, en open-source benchmark, der måler om AI-agenter faktisk kan udføre detection engineering fra ende til anden ud fra threat intelligence-rapporter frem for blot at svare på sikkerhedsspørgsmål. Det er vigtigt for SOC- og sikkerhedsteams, fordi benchmarken tester realistiske workflows, værktøjer og mellemtrin på tværs af Linux, AKS og Azure, hvilket kan give et mere retvisende billede af, hvor moden AI er til operationelt sikkerhedsarbejde.

Security

Zero Trust for AI: Microsofts nye sikkerhedsmodel

Microsoft har lanceret Zero Trust for AI, som overfører de velkendte principper om eksplicit verifikation, mindst mulige privilegier og antagelse om brud til AI-miljøer med modeller, agenter og datakilder. Samtidig udvider virksomheden sin Zero Trust Workshop med en ny AI-søjle og opdaterede vurderingsværktøjer, så organisationer mere systematisk kan identificere og håndtere AI-specifikke trusler som prompt injection og data poisoning. Det er vigtigt, fordi virksomheder får en konkret ramme til at gøre AI-udrulning mere sikker og moden på tværs af IT, sikkerhed og forretning.