Ερευνητές ασφαλείας ανακάλυψαν ένα σύνολο άγνωστων μεθόδων για την πραγματοποίηση επιθέσεων ανακατεύθυνσης URL κατά αδύναμων υλοποιήσεων OAuth 2.0.
Δείτε επίσης: Phishing επιθέσεις στοχεύουν Πανεπιστήμια των ΗΠΑ
Αυτές οι επιθέσεις μπορούν να οδηγήσουν στην παράκαμψη των μέτρων ανίχνευσης ηλεκτρονικού ψαρέματος και ασφάλειας ηλεκτρονικού ταχυδρομείου και ταυτόχρονα δίνουν στις διευθύνσεις URL phishing μια ψευδή αίσθηση νομιμότητας στα θύματα.
Οι σχετικές καμπάνιες εντοπίστηκαν από την Proofpoint και στοχεύουν το Outlook Web Access, το PayPal, το Microsoft 365 και το Google Workspace.
Πώς λειτουργεί η επίθεση;
Το OAuth 2.0 είναι ένα ευρέως διαδεδομένο πρωτόκολλο εξουσιοδότησης που επιτρέπει σε μια εφαρμογή ιστού ή desktop πρόσβαση σε πόρους που ελέγχονται από τον τελικό χρήστη, όπως το email, τις επαφές, τις πληροφορίες προφίλ ή τους λογαριασμούς κοινωνικής δικτύωσης.
Αυτή η δυνατότητα ελέγχου ταυτότητας βασίζεται στο ότι ο χρήστης εκχωρεί πρόσβαση σε μια συγκεκριμένη εφαρμογή, η οποία δημιουργεί ένα διακριτικό πρόσβασης που μπορούν να χρησιμοποιήσουν άλλοι ιστότοποι για πρόσβαση στους πόρους ενός χρήστη.
Δείτε ακόμα: Phishing καμπάνια χρησιμοποιεί ψεύτικες ειδοποιήσεις Office 365 για να κλέψει credentials
Κατά την ανάπτυξη εφαρμογών OAuth, οι προγραμματιστές έχουν την ελευθερία να επιλέγουν μεταξύ των διαφόρων διαθέσιμων τύπων ροής, ανάλογα με τις ανάγκες τους.
Αυτές οι ροές απαιτούν από τους προγραμματιστές εφαρμογών να ορίσουν συγκεκριμένες παραμέτρους, όπως ένα μοναδικό αναγνωριστικό πελάτη και ένα URL ανακατεύθυνσης ανοίγει μετά από επιτυχή έλεγχο ταυτότητας.
Ωστόσο, η Proofpoint ανακάλυψε ότι οι εισβολείς μπορούσαν να τροποποιήσουν ορισμένες από τις παραμέτρους στις έγκυρες ροές εξουσιοδότησης, ενεργοποιώντας μια ανακατεύθυνση του θύματος σε έναν ιστότοπο που παρέχεται από τον εισβολέα ή τη διεύθυνση URL σε μια καταχωρημένη κακόβουλη εφαρμογή OAuth.
Αφού το θύμα κάνει κλικ σε μια διεύθυνση URL που φαινομενικά ανήκει στη Microsoft, το θύμα εσφαλμένα υποθέτει ότι η διεύθυνση URL είναι νόμιμη, παρόλο που ανακατευθύνεται σε μια κακόβουλη τοποθεσία.
«Οι επιθέσεις χρησιμοποιούν δεκάδες διαφορετικές εφαρμογές τρίτων του Microsoft 365 με κακόβουλες διευθύνσεις URL ανακατεύθυνσης που έχουν καθοριστεί για αυτές», εξηγεί η αναφορά της Proofpoint.
Δείτε επίσης: Ransomware hacker συνελήφθη για επιθέσεις στον τομέα της υγείας
Η Proofpoint εξηγεί ότι η ενεργοποίηση της ανακατεύθυνσης ακόμη και πριν από τον έλεγχο ταυτότητας είναι επίσης δυνατή, ανάλογα με τη ροή OAuth που επιλέχθηκε, όπως συμβαίνει με το Azure Portal.
Χρησιμοποιώντας διευθύνσεις URL OAuth που έχουν τροποποιηθεί για να δημιουργούν σφάλματα στη ροή ελέγχου ταυτότητας, οι καμπάνιες ηλεκτρονικού ψαρέματος μπορούν να παρουσιάζουν νόμιμες διευθύνσεις URL που τελικά ανακατευθύνονται σε σελίδες προορισμού που προσπαθούν να υποκλέψουν διαπιστευτήρια σύνδεσης.
