Зловмисники зловживають слабкими методами автентифікації організацій, щоб створити та використовувати OAuth додатки, часто з метою отримання фінансової вигоди, у серії атак, які включають різні вектори, включаючи криптомайнінг, фішинг і розпилення паролів.

OAuth — це відкритий стандарт автентифікації, який все частіше застосовується для кросплатформного доступу; користувачі впізнавали б його під час входу на веб-сайт із запитом натиснути посилання, щоб увійти за допомогою іншого облікового запису соціальної мережі, наприклад «Увійти за допомогою Facebook» або «Увійти за допомогою Google». OAuth дозволяє програмам отримувати доступ до даних і ресурсів інших онлайн-служб і сайтів на основі дозволів, установлених користувачем, і це механізм, відповідальний за передачу автентифікації між сайтами.

Microsoft Threat Intelligence виявила серію атак, які компрометують облікові записи користувачів для служб Microsoft, щоб створювати, змінювати та надавати високі привілеї додаткам OAuth таким чином, щоб вони могли використовувати додатки як «інструмент автоматизації» для зловмисної діяльності, показали дослідники. в блог опубліковано цього тижня. За їх словами, зловмисники також використовують стандарт автентифікації OAuth, щоб підтримувати доступ до програм, навіть якщо вони втрачають доступ до спочатку зламаного облікового запису.

«Зловмисники зловживали програмами OAuth з високими правами доступу для розгортання віртуальних машин (ВМ) для майнінгу криптовалют, встановлення стійкості після компрометації бізнес-електронної пошти (BEC) і запуску спаму, використовуючи ресурси цільової організації та доменне ім’я», — йдеться в повідомленні. пост.

Дослідники описують кілька атак, які зловживали OAuth новими способами. У більшості випадків у зламаному обліковому записі не було ввімкнено багатофакторну автентифікацію (MFA), що робило його легкою мішенню для зловмисників, які використовували тактику, як підкидання облікових даних, фішинг і фішинг зворотного проксі-сервера, щоб отримати доступ до облікового запису зі зловмисною метою.

Використання та зловживання OAuth

Дослідники Microsoft Threat Intelligence спостерігали три конкретні типи атак — криптомайнінг, компрометація бізнес-електронної пошти (BEC)/фішинг і розпилення пароля/розсилання спаму — які зловживали OAuth для здійснення зловмисної діяльності різними способами.

В одному векторі, використаному загрозою, яку Microsoft відстежує як Storm-1283, зловмисники використовували скомпрометований обліковий запис користувача Azure для створення програми OAuth і розгортання віртуальних машин (ВМ) для криптомайнінгу. Цільові організації зазнали комісії за обчислення в розмірі від 10,000 1.5 до XNUMX мільйонів доларів США від зловмисної діяльності, під час якої зловмисники поверталися до облікового запису, щоб розгорнути більше віртуальних машин для криптомайнінгу після налаштування початкової атаки.

Зловмисники також скомпрометували облікові записи користувачів, щоб створити додатки OAuth для атак BEC і фішингу. Дослідники спостерігали, як зловмисник зламав облікові записи користувачів і створював додатки OAuth для підтримки стійкості та запуску фішингової активності електронної пошти.

У цьому векторі зловмисник використовував фішинговий набір противника посередині (AitM), щоб надіслати значну кількість електронних листів із різними темами та URL-адресами, щоб націлити облікові записи користувачів у кількох організаціях зі шкідливою URL-адресою, яка веде до проксі-сервера. сприяння справжньому процесу автентифікації. Якщо користувач наживеться та ввійде в систему, зловмисник вкраде маркер із файлу cookie сеансу користувача та використає його для повторного відтворення файлу cookie сеансу.

У деяких випадках актор також шукав вкладення електронної пошти у веб-програмі Microsoft Outlook за певними ключовими словами, такими як «оплата». та «рахунок-фактура» щоб провести розвідку для майбутньої діяльності BEC, сказали дослідники.

В інших випадках замість розвідки BEC зловмисник створював мультитенантні програми OAuth після відтворення викрадених файлів cookie сеансу, використовуючи програми для підтримки постійності, додавання нових облікових даних, а потім доступу до ресурсу Microsoft Graph API для читання електронних листів або надсилання фішингових електронних листів. .

Під час третьої унікальної атаки загроза, яку Microsoft відстежує як Storm-1286, здійснювала широкомасштабну розсилку спаму через атаки з використанням паролів для скомпрометованих облікових записів користувачів. За даними Microsoft Threat Intelligence, зловмисники скомпрометували облікові записи користувачів, щоб створити від однієї до трьох нових програм OAuth у цільовій організації за допомогою Azure PowerShell або клієнта на основі Swagger Codegen, надаючи згоду програмам, які дозволяли контролювати поштову скриньку облікового запису. Звідти зловмисник надсилав тисячі електронних листів на день, використовуючи скомпрометований обліковий запис користувача та домен організації.

МЗС та інші пом'якшувальні заходи

OAuth, який використовується з 2007 року, становить ризик для організацій з різних причин, і зловмисники можуть ним зловживати кількома способами. Дослідники безпеки мають знайшли недоліки у своїй реалізації, які викрили платформу ключових онлайн-сервісів, як-от Booking.com та інші Атакувати. Водночас інші використовували створені ними шкідливі програми OAuth скомпрометувати сервери Microsoft Exchange.

За словами Microsoft, ключовим кроком для організацій, щоб зменшити площу атаки, коли використовується OAuth, є захист їх інфраструктури ідентифікації. Один із простих способів зробити це — застосувати багатофакторну автентифікацію (MFA), оскільки її використання «значно зменшить» компрометацію облікового запису під час нещодавно спостережених атак, кажуть дослідники.

Один із кроків, який організації можуть зробити, щоб посилити автентифікацію та зменшити ймовірність успіху атак на основі OAuth, – увімкнути політики умов доступу (CA), які оцінюють і застосовують правила щоразу, коли користувач намагається ввійти в обліковий запис. Інший — увімкнення параметрів безпеки за замовчуванням у розгорнутих програмах Microsoft, таких як Azure Active Directory.

Відповідно до публікації, перевірка додатків і наданих дозволів у всій організації, щоб «переконатись, що програми отримують лише доступ до необхідних даних і дотримуються принципів найменших привілеїв», також можна використовувати для захисту від атак OAuth.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/cloud-security/attackers-target-microsoft-accounts-weaponize-oauth-apps