Microsoft: Хакери злоупотребуваат OAuth error flow механизми за ширење малициозен софтвер

Хакери го злоупотребуваат легитимниот OAuth механизам за пренасочување (redirection) со цел да ги заобиколат заштитите од фишинг во е-пошта и веб-прелистувачи, пренасочувајќи ги корисниците кон злонамерни страници.

Нападите се насочени кон владини и јавни институции, користејќи фишинг линкови што ги наведуваат корисниците да се автентицираат во злонамерна апликација, велат истражувачите од Microsoft Defender.

Напаѓачите испраќаат пораки со:

• барања за електронски потпис,
• известувања поврзани со социјално осигурување,
• покани за состаноци,
• ресетирање на лозинки,
• или разни финансиски и политички теми

Овие пораки содржат OAuth redirect URL-адреси. Понекогаш URL-адресите се вградени во PDF документи за да се избегне детекција од безбедносните системи.

Присилни ризични пренасочувања

OAuth апликациите се регистрираат кај провајдер за идентитет, како што е Microsoft Entra ID, и го користат протоколот OAuth 2.0 за да добијат делегиран или апликациски пристап до кориснички податоци и ресурси.

Во кампањите што ги забележал Microsoft, напаѓачите креираат злонамерни OAuth апликации во tenant што е под нивна контрола и ги конфигурираат со redirect URI што води кон нивната инфраструктура.

Истражувачите велат дека иако URL-адресите за Entra ID изгледаат како легитимни барања за авторизација, endpoint-от се повикува со параметри за тивка (silent) автентикација — без интерактивно најавување — и со невалиден scope што предизвикува грешки при автентикација. Ова го принудува провајдерот за идентитет да ги пренасочи корисниците кон redirect URI-то конфигурирано од напаѓачот.

Во некои случаи, жртвите се пренасочуваат кон фишинг страници управувани од attacker-in-the-middle рамки како EvilProxy, кои можат да пресретнат валидни сесиски колачиња (session cookies) и да ги заобиколат заштитите со повеќефакторска автентикација (MFA).

Microsoft утврдил дека параметарот „state“ бил злоупотребен за автоматско пополнување на е-поштата на жртвата во полето за најава на фишинг страницата, со што се зголемува чувството на легитимност кај корисникот.

Во други случаи, жртвите се пренасочуваат кон „/download“ патека што автоматски презема ZIP-датотека која содржи злонамерни shortcut (.LNK) фајлови и алатки за HTML smuggling.

Отворањето на .LNK фајлот активира PowerShell, кој извршува извидување (reconnaissance) на компромитираниот уред и ги извлекува компонентите потребни за следната фаза – DLL side-loading.

Злонамерна DLL-датотека (crashhandler.dll) го дешифрира и го вчитува финалниот payload (crashlog.dat) директно во меморија, додека легитимен извршен фајл (stream_monitor.exe) стартува лажна (decoy) содржина за да го одвлече вниманието на жртвата.

Microsoft препорачува организациите да ги заострат дозволите за OAuth апликациите, да применуваат силни заштити на идентитетот и политики за Conditional Access, како и да користат вкрстена (cross-domain) детекција преку е-пошта, идентитет и endpoint уреди.

Компанијата нагласува дека забележаните напади се закани базирани на идентитет, кои злоупотребуваат предвидено однесување во OAuth рамката — односно механизам што функционира според стандардот за управување со грешки при авторизација преку пренасочувања (redirects).

Истражувачите предупредуваат дека заканувачките актери сега намерно предизвикуваат OAuth грешки преку невалидни параметри, како што се „scope“ или „prompt=none“, за да предизвикаат тивки (silent) пренасочувања по грешка како дел од реални напади.

Извори:

• Bleeping Computer – Microsoft: Hackers abuse OAuth error flows to spread malware Bleeping Computer