Atakujący wykorzystują normalne przekierowania błędów OAuth, aby przekierować użytkowników z legalnego adresu URL logowania Microsoft lub Google na strony phishingowe lub zawierające złośliwe oprogramowanie, bez konieczności pomyślnego zakończenia logowania lub kradzieży tokenów z samego przepływu OAuth.
To wymaga nieco dokładniejszego wyjaśnienia.
OAuth (Open Authorization) to otwarty standard protokołu delegowanego autoryzacji. Pozwala użytkownikom na udzielanie stronom internetowym lub aplikacjom dostępu do swoich danych w innych serwisach (np. Google lub Facebook) bez konieczności udostępniania hasła.
Przekierowanie OAuth to proces, w którym serwer autoryzacyjny po uwierzytelnieniu użytkownika wysyła przeglądarkę użytkownika z powrotem do aplikacji (klienta) wraz z kodem autoryzacyjnym lub tokenem.
Badacze odkryli, że phisherzy wykorzystują ciche przepływy uwierzytelniania OAuth i celowo nieprawidłowe zakresy, aby przekierować ofiary do infrastruktury kontrolowanej przez atakujących bez kradzieży tokenów.
Jak więc wygląda ten atak z perspektywy ofiary?
Z perspektywy użytkownika łańcuch ataków wygląda mniej więcej tak:
Otrzymujesz wiadomość e-mail zawierającą wiarygodną zachętę biznesową. Na przykład otrzymujesz wiadomość e-mail dotyczącą rutynowej, ale pilnej sprawy: udostępnienia lub przeglądu dokumentów, powiadomienia dotyczącego ubezpieczenia społecznego lub finansów, raportu kadrowego lub pracowniczego, zaproszenia Teams lub resetowania hasła.
Treść wiadomości e-mail zawiera link, np. „Wyświetl dokument” lub „Przejrzyj raport”, lub załącznik PDF zawierający link.
Link
Klikasz link po sprawdzeniu, że wygląda on jak normalny login Microsoft lub Google. Widoczny adres URL (ten, który widzisz po najechaniu kursorem) wygląda przekonująco, zaczyna się od zaufanej domeny, takiej jak https://login.microsoftonline.com/ lub https://accounts.google.com/.
Nie ma żadnych oczywistych oznak, że parametry (prompt=none, nieparzysty lub pusty zakres, zakodowany stan) są nieprawidłowe.
Ciche OAuth
Sfałszowany adres URL próbuje przeprowadzić cichą autoryzację OAuth (prompt=none) i wykorzystuje parametry, które z pewnością zakończą się niepowodzeniem (na przykład nieprawidłowy lub brakujący zakres).
Dostawca tożsamości ocenia sesję i dostęp warunkowy, stwierdza, że żądanie nie może zostać wykonane w sposób cichy, i zwraca błąd OAuth, taki jak interaction_required, access_denied lub consent_required.
Przekierowanie
Zgodnie z projektem serwer OAuth przekierowuje następnie przeglądarkę, wraz z parametrami błędu i stanem, do zarejestrowanego adresu URI przekierowania aplikacji, którym w tych przypadkach jest domena atakującego.
Dla użytkownika jest to tylko krótki błysk adresu URL Microsoft lub Google, po którym pojawia się kolejna strona. Jest mało prawdopodobne, aby ktokolwiek zauważył błędy w ciągu zapytania.
Strona docelowa
Osoba atakowana zostaje przekierowana na stronę, która wygląda jak legalna strona logowania lub strona biznesowa. Może to być klon strony zaufanej marki.
W tym momencie możliwe są dwa scenariusze złośliwego działania:
Wariant phishingu / ataku typu „atacker in the middle” (AitM)
Zwykła strona logowania lub monit weryfikacyjny, czasami z kodami CAPTCHA lub reklamami pełnoekranowymi, aby wyglądać na bardziej wiarygodną i ominąć niektóre kontrole.
Adres e-mail może być już wypełniony, ponieważ atakujący przekazali go poprzez parametr stanu.
Gdy użytkownik wprowadza dane uwierzytelniające i uwierzytelnianie wieloskładnikowe (MFA), zestaw narzędzi typu „atakujący w środku” przechwytuje je, w tym pliki cookie sesji, przekazując je dalej, aby doświadczenie wydawało się legalne.
Wariant dostarczania złośliwego oprogramowania
Natychmiast (lub po wyświetleniu krótkiej strony pośredniej) przeglądarka przechodzi do ścieżki pobierania i automatycznie pobiera plik.
Kontekst strony pasuje do treści przynęty („Pobierz bezpieczny dokument”, „Materiały ze spotkania” itp.), co sprawia, że otwarcie pliku wydaje się rozsądnym rozwiązaniem.
Osoba atakowana może zauważyć otwarcie pliku lub spowolnienie działania systemu, ale poza tym atak jest praktycznie niewidoczny.
Potencjalny wpływ
Poprzez zebranie danych uwierzytelniających lub zainstalowanie backdoora, atakujący zyskuje dostęp do systemu. Stamtąd może wykonywać czynności przy użyciu klawiatury, poruszać się po systemie, kraść dane lub zainstalować oprogramowanie ransomware, w zależności od swoich celów.
Zebrane dane uwierzytelniające i tokeny mogą być wykorzystane do uzyskania dostępu do poczty elektronicznej, aplikacji w chmurze lub innych zasobów bez konieczności przechowywania złośliwego oprogramowania na urządzeniu.
Jak zachować bezpieczeństwo
Ponieważ osoba atakująca nie potrzebuje Twojego tokena z tego przepływu (tylko przekierowanie do własnej infrastruktury), samo żądanie OAuth może wyglądać mniej podejrzanie. Zachowaj czujność i postępuj zgodnie z naszymi wskazówkami:
- Jeśli polegasz na najeżdżaniu kursorem na linki, zachowaj szczególną ostrożność, gdy widzisz bardzo długie adresy URL zawierające oauth2, authorize i dużo zakodowanego tekstu, zwłaszcza jeśli pochodzą one spoza Twojej organizacji.
- Nawet jeśli początek adresu URL wygląda na wiarygodny, przed kliknięciem linku należy zweryfikować go u zaufanego nadawcy.
- Jeśli otrzymasz pilną wiadomość e-mail, która wymaga natychmiastowego zalogowania się w nieznanym serwisie lub rozpoczyna nieoczekiwane pobieranie plików, należy założyć, że jest to złośliwa wiadomość, dopóki nie zostanie udowodnione, że jest inaczej.
- Jeśli zostaniesz przekierowany do nieznanej strony, zatrzymaj się i zamknij kartę.
- Bądź bardzo ostrożny w przypadku plików, które pobierają się natychmiast po kliknięciu linku w wiadomości e-mail, zwłaszcza od
/download/ścieżki. - Jeśli strona internetowa wymaga „uruchomienia” lub „włączenia” czegoś w celu wyświetlenia bezpiecznego dokumentu, zamknij ją i sprawdź, na jakiej stronie się znajdujesz. Może to być próba oszustwa.
- Aktualizuj system operacyjny, przeglądarkę i ulubione narzędzia zabezpieczające. Mogą one automatycznie blokować wiele znanych zestawów phishingowych i pobieranie złośliwego oprogramowania.
Porada dla profesjonalistów: skorzystaj z Malwarebytes Guard, aby sprawdzić, czy otrzymana wiadomość e-mail jest oszustwem.
Nie tylko informujemy o oszustwach - pomagamy je wykrywać
Ryzyko związane z cyberbezpieczeństwem nie powinno nigdy wykraczać poza nagłówki gazet. Jeśli coś wydaje Ci się podejrzane, sprawdź, czy nie jest to oszustwo, korzystając z Malwarebytes Guard. Prześlij zrzut ekranu, wklej podejrzaną treść lub udostępnij link, tekst lub numer telefonu, a my powiemy Ci, czy jest to oszustwo, czy legalna strona. Funkcja dostępna w ramach Malwarebytes Premium dla wszystkich urządzeń oraz w Malwarebytes na iOS Android.
