Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Анализ фишинговых атак OAuth на Microsoft Entra ID

1
3 мин
Недавнее исследование, проведённое командой разработчиков по исследованию и обнаружению угроз (TRADE) компании Elastic, выявило тревожную тенденцию в области фишинговых атак OAuth, нацеленных на Microsoft Entra ID — сервис, ранее известный как Azure AD. Анализ основан на материалах Volexity, касающихся фишинговой кампании, организованной хакером Uta0352, который обходил стандартные меры безопасности, используя доверенные приложения Microsoft. Злоумышленники применяют легитимные OAuth-рабочие процессы в комбинации с инструментом ROADtools с открытым исходным кодом. Это позволяет им создавать поддельные URL-адреса проверки подлинности Microsoft, которые собирают токены безопасности. Полученные токены дают хакерам возможность: Для более глубокого понимания этих фишинговых схем команда TRADE воспроизвела цепочку атак в контролируемой среде. Это позволило изучить тонкости злоупотребления токенами, регистрацию устройств и методы их обогащения. Microsoft Entra ID использует протокол OAuth 2.0
Оглавление

Фишинговые атаки OAuth на Microsoft Entra ID: новые угрозы и методы борьбы

Недавнее исследование, проведённое командой разработчиков по исследованию и обнаружению угроз (TRADE) компании Elastic, выявило тревожную тенденцию в области фишинговых атак OAuth, нацеленных на Microsoft Entra ID — сервис, ранее известный как Azure AD. Анализ основан на материалах Volexity, касающихся фишинговой кампании, организованной хакером Uta0352, который обходил стандартные меры безопасности, используя доверенные приложения Microsoft.

Механизмы атаки: как злоумышленники обходят защиту

Злоумышленники применяют легитимные OAuth-рабочие процессы в комбинации с инструментом ROADtools с открытым исходным кодом. Это позволяет им создавать поддельные URL-адреса проверки подлинности Microsoft, которые собирают токены безопасности. Полученные токены дают хакерам возможность:

  • выдавать себя за пользователей;
  • повышать привилегии;
  • извлекать конфиденциальные данные из сервисов Microsoft с помощью Microsoft Graph;
  • загружать электронную почту через Outlook;
  • получать доступ к сайтам SharePoint.

Для более глубокого понимания этих фишинговых схем команда TRADE воспроизвела цепочку атак в контролируемой среде. Это позволило изучить тонкости злоупотребления токенами, регистрацию устройств и методы их обогащения.

Особенности архитектуры Microsoft Entra ID и OAuth 2.0

Microsoft Entra ID использует протокол OAuth 2.0 для делегирования доступа к таким сервисам, как Microsoft 365. Несмотря на стандартизацию OAuth 2.0 в соответствии с RFC6749, в Entra ID внедрены уникальные модели поведения, которые оказывают влияние как на законные процессы, так и на защиту от злоупотреблений.

Для идентификации фишинговых URL ключевыми считаются параметры:

  • client_id (идентификаторы клиентов);
  • response_type (типы ответов);
  • scope (области доступа);
  • redirect_uri (URI перенаправления).

Злоумышленники манипулируют этими параметрами, используя URL для доступа к ресурсу, например, к Graph API или SharePoint, с конечной целью получения токенов доступа через поток выдачи кода авторизации.

Разновидности фишинговых атак и сложности их обнаружения

В атаках применяются различные стратегии, включая:

  • использование легитимных клиентских идентификаторов приложений для доступа к Graph API;
  • объединение OAuth-потоков с регистрацией устройств, что усложняет мониторинг и выявление вредоносных действий.

Благодаря эмуляции подобных атак, команда Elastic разработала методы для разграничения безопасных операций OAuth и потенциально опасных.

Методы обнаружения и ключевые артефакты

Для выявления фишинговых попыток исследователи используют критические артефакты телеметрии в журналах Microsoft Entra ID, такие как:

  • идентификаторы клиентских приложений;
  • целевые ресурсы;
  • ключевые типы пользователей.

Методы обнаружения включают:

  • выявление необычных входов с нескольких IP-адресов;
  • мониторинг специфичных OAuth-потоков, связанных с сервисами Microsoft;
  • распознавание аномальных паттернов, например повторного использования токенов или несанкционированного доступа.

Особое внимание уделяется долговечным токенам, таким как Primary Refresh Token (PRT), которые злоумышленники могут эксплуатировать для сохранения доступа без повторной аутентификации пользователя.

Почему традиционные методы безопасности не всегда эффективны

Понимание тонкостей OAuth-фишинга важно для построения эффективной стратегии защиты. Традиционные механизмы безопасности нередко оказываются недостаточными, поскольку атаки базируются на эксплуатации доверия, присущего легитимным OAuth-рабочим процессам.

Схематично стратегия злоумышленников выглядит так:

  1. получение кода авторизации;
  2. обмен кода на токен доступа или токен обновления;
  3. использование токенов для постоянного доступа к ресурсам Microsoft без повторного взаимодействия с пользователем.

Заключение

Результаты исследования подчёркивают необходимость постоянного мониторинга и ведения журналов в системах Microsoft Entra ID для своевременного выявления и нейтрализации новых и эволюционирующих тактик фишинговых атак OAuth.

Как отмечают эксперты Elastic, «глубокая техническая аналитика и моделирование атак позволяют выявлять тонкие аномалии, обойти которые традиционные системы защиты не способны». Это требует от специалистов по кибербезопасности адаптации методов обнаружения и реагирования с учётом специфики протокола OAuth и особенностей платформы Microsoft Entra ID.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Анализ фишинговых атак OAuth на Microsoft Entra ID".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Microsoft
32,8 тыс интересуются