Microsoft предупреждает: фишеры используют особенность протокола OAuth для перенаправления жертв на вредоносное ПО через ссылки, выглядящие как легитимные запросы от Microsoft Entra ID и Google Workspace. Эксперты советуют проверять контекст, а не только URL. — csoonline.com
Компания Microsoft предупредила, что фишеры используют встроенное поведение протокола аутентификации OAuth для перенаправления жертв на вредоносное ПО с помощью ссылок, указывающих на легитимные домены поставщиков удостоверений, такие как Microsoft Entra ID и Google Workspace. Ссылки выглядят безопасными, но в конечном итоге ведут туда, куда не следует.
«OAuth включает в себя легитимную функцию, которая позволяет поставщикам удостоверений перенаправлять пользователей на определенную целевую страницу при определенных условиях, как правило, в сценариях ошибок или других заданных потоках», — написала команда Microsoft Defender Security Research в сообщении в блоге. «Злоумышленники могут злоупотреблять этой нативной функциональностью, создавая URL-адреса с популярными поставщиками удостоверений, такими как Entra ID или Google Workspace, используя манипулируемые параметры или связанные вредоносные приложения для перенаправления пользователей на целевые страницы, контролируемые злоумышленниками».
Компания сообщила, что заблокировала несколько вредоносных OAuth-приложений, связанных с этой активностью, но предупредила, что сопутствующие кампании продолжаются и требуют постоянного мониторинга.
Как работает атака
Атака начинается с фишингового электронного письма, где наблюдаемые приманки имитируют запросы на электронную подпись, сообщения от отдела кадров, приглашения на собрания в Microsoft Teams и уведомления о сбросе пароля. Вредоносные ссылки встроены либо в тело письма, либо внутри вложения в формате PDF, как указали исследователи Microsoft в сообщении блога.
Ссылка указывает на реальную конечную точку авторизации OAuth, но построена с намеренно некорректными параметрами. Злоумышленники используют значение «prompt=none», запрашивая бесшумную аутентификацию без экрана входа, и сочетают его с недопустимым значением области действия (scope). Эта комбинация призвана вызвать сбой. Когда это происходит, поставщик удостоверений перенаправляет браузер пользователя на URI, зарегистрированный злоумышленником.
«Хотя такое поведение соответствует стандартам, противники могут злоупотреблять им для перенаправления пользователей через доверенные конечные точки авторизации на контролируемые злоумышленниками пункты назначения», — написали исследователи в сообщении блога.
Эта техника представляет собой структурный сдвиг в подходе злоумышленников к идентификации, отметил главный аналитик Greyhound Research Санчит Вир Гогиа. «Первый шаг реален. Браузер ведет себя корректно. Поставщик удостоверений ведет себя корректно. Сигнал доверия подлинный», — сказал он. «Это смещает фишинг от обмана на уровне бренда к манипуляции на уровне рабочего процесса».
В одной из кампаний, подробно описанных Microsoft в блоге, перенаправление доставляло на устройство жертвы ZIP-архив, содержащий вредоносный файл ярлыка. Открытие файла запускало скрипт PowerShell, который выполнял команды разведки и в конечном итоге подключался к серверу, контролируемому злоумышленником. Microsoft описала последующую активность как соответствующую поведению перед атакой программ-вымогателей.
Другие кампании, описанные в блоге, перенаправляли жертв на фреймворки типа «злоумышленник посередине» (adversary-in-the-middle), такие как EvilProxy, для сбора учетных данных и сессионных файлов cookie.
Контекст, а не URL, — новый тревожный сигнал
Сакши Гровер, старший менеджер по исследованиям в IDC Asia/Pacific, заявила, что давний совет наводить курсор на ссылку и проверять ее домен был создан для эпохи доменов-имитаторов и больше не актуален в средах, где потоки аутентификации регулярно проходят через доверенных поставщиков удостоверений.
«Организации должны сместить акцент в информационных сообщениях с «проверьте ссылку» на «проверьте контекст»», — сказала она. «Сотрудников следует обучать задаваться вопросом, был ли запрос на аутентификацию ожидаемым, соответствует ли он текущей бизнес-активности и запрашивает ли приложение разумные разрешения».
Гогиа считает, что предприятиям необходимо пойти дальше и полностью изменить базовое поведение. «Никогда не инициируйте процессы аутентификации по незапрошенным входящим ссылкам», — сказал он. «Аутентификация должна начинаться с контролируемых отправных точек, а не с триггеров по электронной почте». Он добавил, что сообщение о неожиданных путях входа должно быть максимально простым, а скорость сообщения важнее уверенности в личном суждении.
Пробел в управлении, который эксплуатируют злоумышленники
Оба аналитика указали на управление приложениями OAuth как на более глубокий структурный пробел, который эксплуатирует эта кампания.
Гровер из IDC отметила, что зрелость управления остается неравномерной в разных предприятиях. «Широкие настройки согласия по умолчанию и ограниченный мониторинг URI перенаправления остаются обычным явлением, особенно в средах, где внедрение облачных технологий и SaaS опережает средства контроля управления идентификацией», — сказала она.
Масштаб проблемы легко недооценить, по словам Гогиа из Greyhound Research. «Каждая интеграция SaaS, рабочий процесс автоматизации и инструмент совместной работы могут потребовать регистрации приложения. Со временем арендаторы накапливают сотни или тысячи зарегистрированных приложений. URI перенаправления настраиваются во время установки и редко пересматриваются», — сказал он. «Телеметрия существует. Интерпретации нет».
Microsoft заявила в сообщении блога, что организациям следует ограничить согласие пользователей на сторонние OAuth-приложения, регулярно проводить аудит разрешений приложений и удалять неиспользуемые или избыточно привилегированные приложения. В сообщении также были опубликованы 16 идентификаторов клиентов, связанных с вредоносными приложениями злоумышленников, и список начальных URL-адресов перенаправления в качестве индикаторов компрометации. Для клиентов Microsoft Defender XDR включены KQL-запросы для поиска, чтобы помочь выявить связанную активность по сигналам электронной почты, идентификации и конечных точек.
Техника останется эффективной до тех пор, пока предприятия не устранят эти пробелы, предупредил Гогиа. «Она не требует взлома шифрования», — сказал он. «Она требует эксплуатации административного попустительства».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Gyana Swain