Simulation Træning Monitorering Priser Virksomheden Ressourcer Blog Kontakt
Prøv det gratis Log ind

Hackere misbruger OAuth 2.0 i Microsoft 365

Trusselsaktører misbruger OAuth 2.0 til at kapre Microsoft 365-konti uden adgangskoder. Lær, hvordan angrebet virker, og hvordan du beskytter dig.

25-04-2025 - 4 minutters læsning. Under kategorien: cybercrime.

Hackere misbruger OAuth 2.0 i Microsoft 365

Misbrug af OAuth 2.0: Sådan kaprer trusselsaktører Microsoft 365-konti

I et cybertrusselslandskab i konstant udvikling bliver hackernes metoder stadig mere avancerede. En metode, der i stigende grad vinder indpas, er misbrug af OAuth 2.0-godkendelsesflows til at kompromittere Microsoft 365-konti. Denne taktik omgår traditionelle phishing-beskyttelser og udnytter den tillid, brugerne har til ellers legitime tjenester.

OAuth 2.0 som adgangsport

OAuth 2.0 er en udbredt protokol til delegeret autorisation, der gør det muligt for brugere at give tredjepartsapplikationer adgang til deres data uden at dele deres adgangskode. Protokollen muliggør blandt andet single sign-on (SSO), hvor brugeren kan få adgang til flere tjenester med deres Microsoft 365-legitimationsoplysninger.

Selvom OAuth 2.0 er udviklet til at forbedre både brugeroplevelsen og sikkerheden, åbner den også op for nye angrebsflader. Cyberkriminelle er begyndt at udnytte denne betroede teknologi til at opnå langvarig adgang til brugerkonti – helt uden at skulle stjæle adgangskoder.

Angrebskæden

  • Ondsindet app-registrering: Trusselsaktører opretter falske applikationer på Microsofts cloud-platform og maskerer dem som legitime tjenester.

  • Phishing for samtykke: Hackerne sender vildledende e-mails eller falske loginvinduer, som narrer brugeren til at give tilladelser. I stedet for at stjæle adgangsoplysninger anmoder de om OAuth-tokens.

  • Misbrug af tokens: Når brugeren har givet adgang, modtager den ondsindede applikation et token, der gør det muligt at tilgå Microsoft 365-data og agere på vegne af brugeren.

  • Usynlighed og vedvarende adgang: Fordi ingen adgangskoder er blevet stjålet, og adgangen er baseret på tokens, vil traditionelle sikkerhedsforanstaltninger som multifaktorautentificering eller nulstilling af adgangskoder ofte ikke kunne stoppe angrebet. Det giver hackeren mulighed for at opretholde adgang over længere tid og eksempelvis overvåge kommunikation eller udtrække data.

Eksempel fra den virkelige verden: Ukraine og misbrug af kendte platforme

I april 2025 rapporterede flere cybersikkerhedsfirmaer om en koordineret kampagne udført af russiske, statssponsorerede aktører. Målet var Microsoft 365-konti tilhørende vestlige regeringer, medier, NGO’er og særligt organisationer med tilknytning til Ukraine.

I stedet for at anvende traditionel phishing udnyttede hackerne OAuth 2.0. De fik brugerne til at godkende adgang til applikationer, der fremstod som legitime, men som i virkeligheden var ondsindede. En særligt effektiv metode bestod i at navngive de falske apps efter kendte beskedplatforme som WhatsApp og Signal. Det gjorde samtykkeprompten genkendelig og tillidsvækkende og øgede dermed chancen for, at brugerne uforvarende gav adgang.

Når adgangen først var givet, kunne hackerne uden at vække mistanke læse e-mails, hente kalenderdata og overvåge kommunikation. Flere af de ramte organisationer havde ellers stærke sikkerhedsforanstaltninger, hvilket understreger, hvor farlige disse angreb er, når hackerne udnytter brugernes tillid.

Hvorfor denne trussel er alvorlig

Det mest bekymrende ved OAuth-baserede angreb er, hvor diskrete de er. Fordi brugeren selv giver samtykke til adgangen, bliver aktiviteten sjældent markeret som mistænkelig i traditionelle sikkerhedssystemer. Selv avancerede tiltag som multifaktorautentificering (MFA) og phishing awareness-træning kan have begrænset effekt i disse tilfælde.

I dette angreb blev der ikke blot afsløret følsomme oplysninger – det havde også geopolitiske konsekvenser, da flere af målene havde tilknytning til krigen i Ukraine. Det understreger, hvordan moderne cyberangreb i stigende grad anvendes som led i spionage og politiske konflikter.

Hvis du vil vide mere om, hvorfor multifaktorautentificering er vigtig, kan du læse vores guide her. Og hvis du vil styrke din organisations menneskelige firewall, tilbyder Moxso awareness-træning.

Sådan forsvarer du dig mod OAuth-misbrug

Organisationer kan tage flere konkrete skridt for at minimere risikoen for angreb gennem OAuth 2.0:

  • Gennemgå tilladelser til tredjepartsapplikationer: Foretag regelmæssige gennemgange af alle applikationer, der har adgang til jeres Microsoft 365-miljø, og fjern dem, der ikke længere er nødvendige eller virker mistænkelige.

  • Indfør politikker for administratorsamtykke: Begræns muligheden for, at brugere selv kan godkende nye applikationer, uden at en administrator først har vurderet og godkendt dem.

  • Overvåg OAuth-aktivitet løbende: Anvend sikkerhedsværktøjer, der kan opdage usædvanlige app-registreringer, token-misbrug eller ændringer i tilladelser.

  • Styrk medarbejdernes opmærksomhed: Uddan brugerne i at genkende mistænkelige samtykkeskærme – også når de ser ud til at komme fra kendte eller populære platforme.

Afsluttende tanker

OAuth 2.0 er en grundsten i moderne autentificeringssystemer og bidrager til både brugervenlighed og sikkerhed. Men som med al teknologi kan den misbruges, hvis den ikke overvåges og administreres korrekt. Angrebskampagnen i 2025, rettet mod Microsoft 365-brugere, er en tydelig påmindelse om, at selv de mest betroede systemer kan udgøre en risiko.

Organisationer bør ikke kun fokusere på adgangskoder, men i stedet betragte hele adgangslivscyklussen – fra hvordan applikationer får tildelt tilladelser, til hvordan tokens håndteres og overvåges. I det nuværende trusselslandskab er det vigtigt at huske, at fraværet af en adgangskode ikke nødvendigvis betyder fraværet af et sikkerhedsbrud.

Forfatter Sarah Krarup

Sarah Krarup

Sarah studerer innovation og entrepreneurship og har en dyb interesse for IT og hvordan cybersikkerhed påvirker virksomheder og private. Hun har stor erfaring med copywriting og en passion for at formidle viden om cybersikkerhed på en engagerende måde.

Se alle indlæg af Sarah Krarup

Lignende indlæg

Cybertruslen ved Instagram-svindel
tips

Cybertruslen ved Instagram-svindel

Instagram er en af de mere populære sociale medier, som folk bruger. Men appen er også en grobund for scams og svindelnumre. Læs mere her.

05-12-2023 · 7 min.
ILOVEYOU: Kærlighed gør blind
case

ILOVEYOU: Kærlighed gør blind

ILOVEYOU, nogle gange omtalt som Love Bug eller Love Letter for you, er en computerorm, der inficerede over ti millioner Windows-pc'er.

09-05-2022 · 4 min.
Rootkits der giver hackeren kontrollen
hacking

Rootkits der giver hackeren kontrollen

Læs mere om kernen i rootkits og hvordan hackere bruger det som værktøj, når de laver cyberangreb - det sker oftere end som så.

31-07-2023 · 6 min.