Fluxurile de erori Oauth exploatate pentru a răspândi programe malware
Sursă: https://www.bleepingcomputer.com
Persoanele rău intenționate abuzează de mecanismul legitim de redirecționare OAuth pentru a ocoli măsurile de protecție împotriva phishingului din e-mailuri și browsere și a redirecționa utilizatorii către pagini malițioase.
Atacurile folosesc link-uri de phishing care solicită utilizatorilor să se autentifice într-o aplicație rău intenționată, semnalează specialiștii Microsoft Defender.
Cu solicitări de semnături electronice, notificări privind securitatea socială, invitații la întâlniri, resetări de parole sau diverse subiecte financiare și politice care conțin URL-uri de redirecționare OAuth. Uneori, URL-urile sunt încorporate în fișiere PDF pentru a evita detectarea.
Aplicațiile OAuth sunt înregistrate la un furnizor de identitate, cum ar fi Microsoft Entra ID, și utilizează protocolul OAuth 2.0 pentru a obține acces delegat sau la nivel de aplicație la datele și resursele utilizatorilor.
În campaniile observate de Microsoft, atacatorii creează aplicații OAuth rău intenționate într-un tenant pe care îl controlează și le configurează cu un URI de redirecționare care indică infrastructura lor.
Specialiștii afirmă faptul că, deși URL-urile pentru Entra ID par a fi cereri legitime de autorizare, endpoint-ul este apelat cu parametri pentru autentificare silențioasă (fără un proces interactiv de login) și cu un scope invalid care declanșează erori de autentificare.
În unele cazuri, utilizatorii sunt redirecționate către pagini de phishing bazate pe framework-uri de tip attacker-in-the-middle, precum EvilProxy, care pot intercepta cookie-urile de sesiune valide pentru a ocoli protecțiile de autentificare multifactorială (MFA).
Microsoft a descoperit că parametrul state a fost utilizat în mod abuziv pentru a completa automat adresa de e-mail a utilizatorului în câmpul de autentificare de pe pagina de phishing, sporind senzația de legitimitate.
În alte cazuri, utilizatorii sunt redirecționați către o cale /download care livrează automat un fișier ZIP cu fișiere shortcut (.LNK) rău intenționate și tool-uri de introducere de cod HTML malițios.
Deschiderea fișierului .LNK lansează PowerShell, care efectuează explorarea host-ului compromis și extrage componentele necesare pentru pasul următor, încărcarea de DLL.
Un DLL malițios (crashhandler.dll) decriptează și încarcă în memorie payload-ul (crashlog.dat), în timp ce un executabil legitim (stream_monitor.exe) încarcă un fișier ascuns (decoy) pentru a distrage atenția utilizatorului.
Microsoft sugerează ca instituțiile să restricționeze permisiunile pentru aplicațiile OAuth, să aplice măsuri stricte de securitate a identităților și politici de acces condiționat și să utilizeze detectarea între domenii pentru e-mailuri, identități și endpoint-uri.
Compania subliniază că atacurile observate sunt amenințări bazate pe identitate care abuzează de un comportament intenționat în framework-ul OAuth, care se comportă conform specificațiilor standardului care definește modul în care erorile de autorizare sunt gestionate prin redirecționări.
Specialiștii avertizează că atacatorii declanșează erori OAuth prin parametri invalizi, cum ar fi scope sau prompt=none, pentru a forța redirecționări silențioase ale erorilor ca parte a atacurilor.
Sursă: https://www.bleepingcomputer.com/news/security/microsoft-hackers-abuse-oauth-error-flows-to-spread-malware/
