Обнаружена новая фишинговая кампания, использующая регистрацию устройств через OAuth для обхода многофакторной аутентификации. Злоумышленники нацелены на бизнес и профессионалов, заставляя сотрудников переходить по ссылкам и вводить коды для авторизации, тем самым предоставляя доступ к учетной записи Microsoft. — csoonline.com
Обнаружена новая фишинговая кампания, использующая регистрацию устройств через OAuth для обхода многофакторной аутентификации. Эксперты KnowBe4 отмечают, что кампания в основном нацелена на североамериканские компании и профессионалов. Злоумышленники обманом заставляют сотрудников переходить по ссылкам в электронных письмах.
Исследователи KnowBe4 сообщают, что кампания в основном нацелена на североамериканские компании и профессионалов, обманывая недогадливых сотрудников, заставляя их переходить по ссылкам в письмах от злоумышленника.
Сообщение якобы касается корпоративной электронной оплаты, документа о премиях, голосового сообщения или содержит другую приманку. Оно также включает код для «безопасной авторизации», который пользователь должен ввести после перехода по ссылке, ведущей на реальную страницу входа Microsoft Office 365.
Жертвы считают сообщение легитимным, поскольку страница входа настоящая, и вводят код. Однако, не подозревая об этом, они вводят код для устройства, контролируемого злоумышленником. Таким образом, жертва выдает OAuth-токен, предоставляющий устройству хакера доступ к ее учетной записи Microsoft. С этого момента хакер получает доступ ко всему, что позволяет сотруднику использовать учетная запись.
Стоит отметить, что это не кража учетных данных, хотя при желании злоумышленник может их украсть. Главная цель — кража токенов доступа и обновления OAuth жертвы для постоянного доступа к ее учетной записи Microsoft, включая такие приложения, как Outlook, Teams и OneDrive.
Это работает, потому что некоторые сайты, включая Microsoft 365, используют процесс OAuth 2.0 Device Authorization Grant для добавления устройств к учетной записи. Это похоже на то, как владелец дома добавляет умный телевизор к Netflix.
KnowBe4 называет это новой атакой, хотя Йоханнес Ульрих, декан по исследованиям SANS Institute, назвал это «старым новым».
По данным Trend Micro, злоумышленник под кодовым именем Pawn Storm использует OAuth в фишинговых кампаниях с 2015 года. А в 2020 году Microsoft предупреждала пользователей о том, что она назвала «фишингом согласия», когда злоумышленники ищут разрешения для приложения, контролируемого злоумышленником, на доступ к данным путем установки поставщика OAuth 2.0. Ульрих признал, что сотрудник SANS стал жертвой одного из таких фишинговых писем.
Основная защита от последней версии этой атаки — ограничение приложений, которые пользователи могут подключать к своей учетной записи, сказал он. Microsoft предоставляет администраторам предприятий возможность создавать белый список конкретных приложений, которые пользователь может авторизовать через OAuth.
Роджер Гримз, советник по ИБ в KnowBe4, писал о фишинге с использованием кодов устройств в 2020 году. В интервью в четверг он сказал, что отличительной чертой последней тактики является то, что жертва входит в действительный домен, а цель — получить токен устройства пользователя.
«Пользователь не делает ничего плохого», в том смысле, что он входит в законный портал, сказал он. «Если они посмотрят на URL, в который входят, это будет microsoft.com. Но злоумышленник предварительно зарегистрировал свое устройство, чтобы получить код для подтверждения [жертвой]».
Дэвид Шипли, глава канадского провайдера обучения осведомленности в области безопасности Beauceron Security, заявил, что атаки с использованием кодов устройств OAuth набирают обороты с 2024 года. «Это естественный эволюционный ответ на улучшения безопасности учетных записей, особенно MFA», — сказал он.
Самая простая защита — отключить возможность добавления дополнительных устройств для входа в Office 365, если это не требуется, сказал он.
Кроме того, сотрудников следует постоянно обучать рискам, связанным с необычными запросами на вход, даже если они исходят от знакомой системы.
«Ценность обучения людей новым методам социальной инженерии, таким как этот, и проведение фишинговых симуляций на основе таких атак заключается в том, что это приучает людей сообщать о них, что поможет, когда происходят реальные атаки», — добавил он.
Кори Михал, CSO в AppOmni, отметил, что атаки часто используют токены OAuth и идентификаторы сервисов/интеграций, поскольку они являются «слепой зоной» для многих организаций, которые вложили значительные средства в усиление защиты личности и многофакторную аутентификацию.
«Токены OAuth часто действуют как bearer-учетные данные», — отметил он. «Если злоумышленник их получает, их можно использовать в качестве однофакторного метода доступа для действий от имени интеграции без запуска интерактивного входа или проверки MFA, а активность может сливаться с обычными шаблонами API/интеграции. Другими словами, строгое применение MFA может сосуществовать с постоянным раскрытием, если нечеловеческие идентификаторы и гигиена токенов OAuth не управляются и не контролируются с той же строгостью».
Он сказал, что руководители ИТ-отделов должны выходить за рамки классического обзора сторонних поставщиков и фактически инвентаризировать и проверять интеграции, работающие в их SaaS-средах, определяя, какие приложения подключены, какие у них области/разрешения OAuth и нужны ли они все еще.
«У большинства команд гораздо больше интеграций, чем они думают, и многие сохраняют широкие привилегии намного дольше, чем первоначальная потребность бизнеса», — отметил он.
«Параллельно мы должны повысить уровень безопасности для любого SaaS-поставщика, на которого мы полагаемся, [с] четкими требованиями к безопасности токенов, журналированию, реагированию на инциденты и безопасным шаблонам интеграции, а также убедиться, что наши собственные конфигурации и мониторинг клиента усилены, чтобы активность интеграции соответствовала принципу наименьших привилегий, была наблюдаемой и быстро локализуемой при компрометации чего-либо вышестоящего», — добавил Михал.
Гримз сказал, что пользователей можно научить проверять, сколько устройств авторизовано для доступа к их учетным записям Microsoft, Google и другим. Их также следует постоянно предупреждать о подозрительных ссылках в электронной почте, ведущих на страницу входа.
В блоге о фишинге с использованием кодов устройств он отметил, что администраторы Microsoft Entra могут отключить «поток кодов устройств» в своих политиках условного доступа. Это отключает использование кодов устройств для Entra для всех пользователей, а не только для злоумышленников. Это означает, что пользователям придется входить в систему и предоставлять больше информации, чем просто код устройства, но это лучше защитит ИТ-среду от такого типа фишинговых атак.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Howard Solomon