Security

OAuth-redirectmisbruik in Entra ID voor phishing

3 min leestijd

Samenvatting

Microsoft waarschuwt dat aanvallers een legitiem OAuth-redirectgedrag in Entra ID misbruiken om gebruikers vanaf vertrouwde Microsoft-inlogdomeinen ongemerkt door te sturen naar phishing- of malware-infrastructuur. Dit is zorgwekkend omdat de aanval gebruikmaakt van ogenschijnlijk normale sign-in flows en daardoor gebruikers én beveiligingscontroles kan omzeilen, vooral bij overheids- en publieke organisaties die expliciet als doelwit zijn gezien.

Hulp nodig met Security?Praat met een expert

Inleiding: waarom dit belangrijk is

OAuth-links naar bekende identity providers (IdPs) zoals Microsoft Entra ID worden door gebruikers vaak vertrouwd en in sommige gevallen milder behandeld door securitycontroles. Microsofts nieuwste onderzoek belicht een OAuth-redirectgedrag dat “by design” is en wordt misbruikt om gebruikers vanaf legitieme inlogdomeinen naar infrastructuur van aanvallers te sturen—waardoor phishing en malwarelevering mogelijk worden terwijl het eruitziet als een normale sign-in flow.

Dit is vooral relevant voor IT-beheerders in overheids- en publieke organisaties, die specifiek het doelwit waren in de waargenomen activiteit.

Wat is nieuw / belangrijkste bevindingen

Microsoft Defender Security Research Team observeerde door phishing gedreven misbruik van OAuth-redirectmechanismen in signalen uit e-mail, identity en endpoint:

  • Misbruik van silent OAuth-flows: Aanvallers maken OAuth-authorization-URL’s met parameters zoals prompt=none om een silent authenticatiecontrole te proberen (geen UI).
  • Opzettelijk ongeldige scopes om een errorpad af te dwingen: Verzoeken bevatten scope=<invalid_scope> (of andere fouttriggers) om betrouwbaar een OAuth-error te genereren.
  • Error-gedreven redirect naar door aanvallers gecontroleerde URI: Wanneer de IdP een error retourneert (bijvoorbeeld interaction_required), wordt de browser doorgestuurd naar de geregistreerde redirect URI van de app, die de aanvaller configureert om te verwijzen naar phishingpagina’s of malware-downloadsites.
  • Geen tokendiefstal nodig voor de redirect: De aanvaller probeert OAuth niet per se succesvol af te ronden; de redirect is het hoofddoel.
  • Misbruik van de state-parameter voor personalisatie: De state-parameter—bedoeld voor correlatie tussen request en response—werd hergebruikt om het e-mailadres van het slachtoffer door te geven (plaintext, hex, Base64 of custom encoding), zodat phishingpagina’s identifiers automatisch kunnen invullen.
  • Patronen in campagnelevering: Phishing-lokmiddelen omvatten verzoeken om e-signatures, financiële/sociale-zekerheidsthema’s, documentdeling, Teams-/vergaderinhoud en prompts voor wachtwoordresets. Sommige gebruikten PDF-bijlagen met ingesloten links en zelfs .ics-kalenderuitnodigingen.
  • Vervolgtooling: Pagina’s na de redirect gebruikten vaak phishingframeworks zoals EvilProxy (attacker-in-the-middle), ontworpen om credentials en sessiecookies buit te maken, soms met extra CAPTCHA-/interstitial-stappen.

Impact op IT-beheerders en eindgebruikers

  • Hoger risico op doorklikken: Links beginnen op vertrouwde IdP-domeinen (bijvoorbeeld login.microsoftonline.com), wat het vertrouwen van gebruikers vergroot.
  • Druk op het omzeilen van verdediging: Traditionele URL-reputatiecontroles richten zich mogelijk op het initiële domein en missen de uiteindelijke bestemming.
  • Behoefte aan zichtbaarheid over meerdere lagen: Microsoft merkt op dat Defender signalen correleerde over e-mail, identity en endpoint, wat benadrukt dat detectie met één enkele controle mogelijk onvoldoende is.
  • Aanhoudende dreiging: Microsoft Entra heeft waargenomen kwaadaardige OAuth-applicaties uitgeschakeld, maar gerelateerde activiteit houdt aan—monitoring blijft vereist.

Actiepunten / vervolgstappen

  1. Zoek naar verdachte OAuth-authorize-patronen in logs en proxytelemetrie, met name:
    • prompt=none gecombineerd met ongebruikelijke/ongeldige scope-waarden
    • Frequente OAuth-failures gevolgd door redirects naar niet-corporate domeinen
    • Gebruik van /common/ in onverwachte phishingcontexten met hoog volume
  2. Controleer en beperk app consent en app registrations:
    • Audit nieuw aangemaakte apps en redirect URI’s voor niet-vertrouwde domeinen
    • Beperk wie applicaties kan registreren / redirect URI’s kan wijzigen in Entra ID
  3. Versterk phishingbescherming voorbij controles op “vertrouwde domeinen”:
    • Zorg dat URL-detonation-/safe-link-tooling redirects volgt
    • Maak gebruikers duidelijk dat “begint bij Microsoft sign-in” geen garantie voor veiligheid is
  4. Valideer Conditional Access en sessiecontroles:
    • Monitor sign-in- en OAuth-errortelemetrie op anomalieën en gerichte gebruikersgroepen
  5. Gebruik Defender-correlatie:
    • Gebruik Microsoft Defender for Office 365 + Defender for Identity/Endpoint om e-mail-lokmiddel, sign-in-gedrag en payloadactiviteit op endpoints te correleren.

Hulp nodig met Security?

Onze experts helpen u bij het implementeren en optimaliseren van uw Microsoft-oplossingen.

Praat met een expert

Blijf op de hoogte van Microsoft-technologieën

Lees het originele artikel van Microsoft Defender Security Research Team
OAuthMicrosoft Entra IDphishingMicrosoft Defenderidentity security

Gerelateerde artikelen

Security

Trivy supply chain-aanval: Defender-richtlijnen

Microsoft heeft detectie-, onderzoeks- en mitigatierichtlijnen gepubliceerd voor het Trivy supply chain-compromis van maart 2026, dat de Trivy-binary en gerelateerde GitHub Actions trof. Het incident is belangrijk omdat vertrouwde CI/CD-beveiligingstools werden misbruikt om referenties te stelen uit buildpijplijnen, cloudomgevingen en ontwikkelaarsystemen terwijl alles ogenschijnlijk normaal bleef werken.

Security

AI-agentgovernance: intent afstemmen voor security

Microsoft schetst een governancemodel voor AI-agents dat gebruikers-, ontwikkelaars-, rolgebaseerde en organisatorische intent op elkaar afstemt. Het framework helpt ondernemingen agents nuttig, veilig en compliant te houden door gedragsgrenzen en een duidelijke rangorde te definiëren wanneer conflicten ontstaan.

Security

Microsoft Defender predictive shielding stopt GPO-ransomware

Microsoft beschreef een praktijkgeval van ransomware waarbij Defender’s predictive shielding misbruik van Group Policy Objects (GPO’s) detecteerde voordat encryptie begon. Door GPO-verspreiding te verharden en gecompromitteerde accounts te verstoren, blokkeerde Defender ongeveer 97% van de poging tot encryptie en voorkwam het dat apparaten via het GPO-distributiepad werden versleuteld.

Security

Microsoft beveiliging voor agentic AI op RSAC 2026

Microsoft presenteerde op RSAC 2026 een end-to-end beveiligingsaanpak voor agentic AI, met als belangrijkste aankondiging dat Agent 365 op 1 mei algemeen beschikbaar wordt als control plane om AI-agents op schaal te beheren, beveiligen en monitoren. Daarnaast introduceert het bedrijf nieuwe zichtbaarheidstools zoals het Security Dashboard for AI en Entra Internet Access Shadow AI Detection, wat belangrijk is omdat organisaties sneller AI inzetten en daardoor meer risico lopen op datalekken, onbeheerd AI-gebruik en nieuwe dreigingen.

Security

CTI-REALM open-source benchmark voor AI-detectie

Microsoft heeft CTI-REALM uitgebracht, een open-source benchmark die meet of AI-agents daadwerkelijk bruikbare detectieregels kunnen bouwen en valideren op basis van threat intelligence, in plaats van alleen cybervragen te beantwoorden. Dat is relevant voor security- en SOC-teams, omdat het een realistischer beeld geeft van de praktische inzetbaarheid van AI in detectie-engineering over Linux, AKS en Azure-omgevingen.

Security

Microsoft Zero Trust for AI: workshop en architectuur

Microsoft heeft zijn Zero Trust-aanpak uitgebreid naar AI met nieuwe richtlijnen en een aparte AI-pijler in de Zero Trust Workshop, zodat organisaties risico’s rond modellen, agents, prompts en databronnen systematisch kunnen beoordelen. Dit is belangrijk omdat bedrijven AI snel invoeren en securityteams daarmee concrete handvatten krijgen om dreigingen zoals prompt injection, data poisoning en ongeautoriseerde toegang beter te beheersen.