SecBoard
Zurück zur Übersicht

Microsoft Maps Year-Long ShinyHunters-Linked Salesforce Data Theft Across Three Paths

The Hacker News·
Originalartikel lesen bei The Hacker News

Angreifer, die mit der Gruppe ShinyHunters in Verbindung gebracht werden, haben über ein Jahr lang Salesforce-Umgebungen kompromittiert, ohne Schwachstellen auszunutzen. Sie nutzten bestehende OAuth-Verbindungen zu Drittanbieter-Apps. Unternehmen sollten ihre OAuth-Verbindungen und Zugriffsrechte sorgfältig prüfen und unnötige Berechtigungen widerrufen, um sich vor solchen Angriffen zu schützen.

Kurzfassung

Angreifer, die mit ShinyHunters in Verbindung gebracht werden, haben über ein Jahr lang Salesforce-Umgebungen kompromittiert. Sie nutzten bestehende OAuth-Verbindungen zu Drittanbieter-Apps, anstatt Schwachstellen in Salesforce auszunutzen. Unternehmen sollten ihre OAuth-Verbindungen und Zugriffsrechte sorgfältig prüfen und unnötige Berechtigungen widerrufen.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Organisationen, die Salesforce nutzen und OAuth-Verbindungen zu Drittanbieter-Apps eingerichtet haben.

Warum relevant

Dieser Angriff zeigt, dass selbst gut gesicherte Plattformen wie Salesforce durch die Ausnutzung von Drittanbieter-Integrationen kompromittiert werden können. Die Angreifer nutzten legitime Zugangswege, was die Erkennung erschwert und eine Überprüfung der OAuth-Berechtigungen unerlässlich macht.

Realistisches Worst Case

Unautorisierter, langfristiger Zugriff auf sensible Daten in Salesforce-Umgebungen, was zu Datenexfiltration und potenziellen Compliance-Verstößen führen kann.

Handlungsempfehlung

Überprüfen und sichern Sie alle OAuth-Verbindungen zu Drittanbieter-Apps in Ihrer Salesforce-Umgebung. Widerrufen Sie unnötige Berechtigungen und implementieren Sie das Prinzip der geringsten Privilegien.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie alle aktiven OAuth-Verbindungen in Ihrer Salesforce-Umgebung und identifizieren Sie alle verbundenen Drittanbieter-Apps.
  • Auditieren Sie die Berechtigungen jeder Drittanbieter-App, die über OAuth mit Salesforce verbunden ist, und stellen Sie sicher, dass nur die absolut notwendigen Berechtigungen erteilt wurden.
  • Überwachen Sie Salesforce-Audit-Logs auf ungewöhnliche Zugriffe oder Datenexfiltration, insbesondere von Drittanbieter-Apps oder über OAuth-Verbindungen.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Initial AccessT1133 External Remote ServicesHighAngreifer nutzten bestehende OAuth-Verbindungen zu Drittanbieter-Apps.
PersistenceT1133 External Remote ServicesHighAngreifer nutzten bestehende OAuth-Verbindungen zu Drittanbieter-Apps.
CollectionT1005 Data from Local SystemLowDatenexfiltration (impliziert durch 'data theft campaign')
Offene Punkte
  • Spezifische Drittanbieter-Apps, die ausgenutzt wurden, sind nicht im Artikel genannt.
  • Die genauen Methoden der Datenexfiltration sind nicht spezifiziert.
  • Die spezifischen Salesforce-Daten, die gestohlen wurden, sind nicht genannt.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Ja
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Möglich
  • Detection / Logging prüfbar?Unklar
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Sind wir hiervon betroffen — und können wir es detektieren?