Επίθεση consent-phishing πέρασε τους ελέγχους ‘Verified Publisher’ της Microsoft

Παρά τους αυστηρούς ελέγχους ασφαλείας “Verified Publisher” της Microsoft, μια επίθεση Consent-Phishing κατάφερε να τους περάσει.

Η Microsoft ανακοίνωσε ότι έλαβε μέτρα για την απενεργοποίηση των ψεύτικων λογαριασμών Microsoft Partner Network (MPN) που χρησιμοποιήθηκαν για τη δημιουργία κακόβουλων εφαρμογών OAuth ως μέρος μιας εκστρατείας phishing που έχει σχεδιαστεί για να παραβιάσει τα περιβάλλοντα cloud των οργανισμών και να κλέψει email.

“Οι εφαρμογές που δημιουργήθηκαν από αυτούς τους δόλιους φορείς χρησιμοποιήθηκαν στη συνέχεια σε μια εκστρατεία consent-phishing, η οποία εξαπάτησε τους χρήστες να παραχωρήσουν άδειες στις δόλιες εφαρμογές”, είπε η Microsoft. “Αυτή η καμπάνια phishing στόχευε ένα υποσύνολο πελατών που βασίζονται κυρίως στο Ηνωμένο Βασίλειο και την Ιρλανδία.”

Δείτε επίσης: Το νέο Sh1mmer ChromeBook exploit καταργεί την εγγραφή διαχειριζόμενων συσκευών

Η Microsoft έχει προειδοποιήσει ότι δόλιοι λογαριασμοί Microsoft Partner Network (MPN) χρησιμοποιήθηκαν σε μια καμπάνια phishing που παρουσίαζε ψεύτικες εφαρμογές που εξαπατούσαν τα θύματα να τους παραχωρήσουν δικαιώματα πρόσβασης στους λογαριασμούς email τους.

Για να συγκαλύψουν τις κακόβουλες δραστηριότητές τους, οι επιτιθέμενοι δημιούργησαν δόλιους λογαριασμούς MPN και δημοσίευσαν παραποιημένες εφαρμογές που έμοιαζαν πολύ με τις νόμιμες, όπως οι “Single Sign On (SSO)” και “Meeting”, με τα αναγνωρίσιμα εικονίδια και τις διευθύνσεις URL της Zoom. Αυτό ανακαλύφθηκε από την εταιρεία ασφαλείας Proofpoint, η οποία ήταν σε θέση να αποκαλύψει αυτές τις λεπτές διαφορές μεταξύ των πλαστών εφαρμογών από τις πραγματικές.

Δείτε επίσης: Prilex PoS malware: Μπορεί να εμποδίσει ανέπαφες συναλλαγές

Για να ξεκινήσουν την κακόβουλη εκστρατεία τους, οι επιτιθέμενοι μεταμφιέστηκαν ως αξιόπιστοι οργανισμοί για να ενταχθούν στο Microsoft Cloud Partner Program ή MCCP (παλαιότερα γνωστό ως Microsoft Partner Network ή MPN). Στη συνέχεια, χρησιμοποίησαν αυτούς τους λογαριασμούς για να προσθέσουν έναν επαληθευμένο εκδότη στις εγγραφές εφαρμογών OAuth που είχαν κατασκευαστεί στο Azure Active Directory (AD).

Η Microsoft έχει θεωρήσει αυτή την επίθεση ως “consent phishing”, καθώς οι επιτιθέμενοι χρησιμοποιούν δόλιες εφαρμογές και αιτήματα συγκατάθεσης OAuth με βάση το Azure AD για να εξαπατήσουν τα θύματα ώστε να παραχωρήσουν δικαιώματα, όπως ανάγνωση μηνυμάτων ηλεκτρονικού ταχυδρομείου, πρόσβαση σε επαφές κ.λπ., για διάστημα έως και ενός έτους. Επιπλέον, με το verified publisher status που επιτυγχάνεται με την επαλήθευσή τους από τη Microsoft, το όνομα του εκδότη λαμβάνει ένα μπλε σήμα “επαληθευμένο” που χρησιμεύει ως ένδειξη αξιοπιστίας.

Σε μια ανάρτηση στο blog της, η Microsoft δήλωσε ότι οι προσπάθειες phishing απευθύνονταν σε αρκετούς πελάτες που βρίσκονται στο Ηνωμένο Βασίλειο και την Ιρλανδία. Εκτός από την απενεργοποίηση αυτών των κακόβουλων εφαρμογών, έχουν επίσης δώσει ειδοποίηση σε όλους τους πελάτες που επηρεάζονται.

Η Microsoft έχει δει τα περιστατικά consent phishing να αυξάνονται σταθερά τα τελευταία χρόνια, όπου η τεχνική έχει χρησιμοποιηθεί για τη στόχευση πελατών του Office 365. Μόλις παραχωρηθούν από ένα θύμα, τα OAuth permission tokens είναι χρήσιμα επειδή ο εισβολέας δεν απαιτεί τον κωδικό πρόσβασης του λογαριασμού του στόχου, αλλά εξακολουθεί να έχει πρόσβαση σε εμπιστευτικά δεδομένα. Η Microsoft ενημέρωσε πρόσφατα το έγγραφό της σχετικά με το στυλ της επίθεσης.

Δείτε επίσης: Pig butchering scams: Ψεύτικα crypto apps σε App Store και Google Play

Στις 6 Δεκεμβρίου, η Proofpoint εντόπισε τις κακόβουλες εξωτερικές εφαρμογές OAuth και ειδοποίησε τη Microsoft στις 20 Δεκεμβρίου. Αυτή η δραστηριότητα phishing τερματίστηκε στις 27 Δεκεμβρίου. Η Microsoft ενημερώθηκε για αυτή την εκστρατεία consent-phishing την 15η ημέρα του ίδιου μήνα.

Η Proofpoint υπογραμμίζει ότι το consent phishing για εξουσιοδοτημένα δικαιώματα OAuth αποτελεί μια ισχυρή απειλή, παρέχοντας στις κακόβουλες εφαρμογές τη δυνατότητα να ενεργούν σαν να ήταν οι ίδιες ο χρήστης. Αυτό περιλαμβάνει την πρόσβαση σε mailbox resources, ημερολόγια και προσκλήσεις συναντήσεων που συνδέονται με παραβιασμένους λογαριασμούς.

Η Microsoft επισήμανε ότι ο πρωταρχικός σκοπός αυτής της εκστρατείας είναι η απόσπαση του ηλεκτρονικού ταχυδρομείου ενός οργανισμού-στόχου.

Μετά από πλήρη έρευνα, η Microsoft κατέληξε στο συμπέρασμα ότι κακόβουλοι φορείς κατάφεραν να διαρρεύσουν τα email των χρηστών που είχαν χορηγήσει εξουσιοδότηση σε εφαρμογές OAuth τρίτων. Τα άτομα που υπέστησαν αυτή την παραβίαση έχουν ειδοποιηθεί αναλόγως και είναι ενήμερα για την κατάσταση.

Λοιπόν, πώς οι απειλητικοί παράγοντες ξεπέρασαν τους ελέγχους της Microsoft για MPN/MCPP; Σύμφωνα με το Proofpoint, οι χάκερ εμφάνιζαν ένα όνομα στις δόλιες εφαρμογές τους που έμοιαζε με το όνομα ενός υπάρχοντος νόμιμου εκδότη. Εν τω μεταξύ, απέκρυψαν το πραγματικό όνομα “επαληθευμένου εκδότη”, το οποίο ήταν διαφορετικό από το εμφανιζόμενο όνομα. Η Proofpoint σημειώνει ότι, σε δύο περιπτώσεις, οι χάκερ έλαβαν επαλήθευση μόλις μία ημέρα αφότου δημιούργησαν την κακόβουλη εφαρμογή.

Μόλις ο εισβολέας λάβει ένα επαληθευμένο αναγνωριστικό εκδότη, πρόσθεσε και συνδέσμους σε κάθε εφαρμογή στους “Όρους Παροχής Υπηρεσιών” και στη “Δήλωση Πολιτικής” του ιστότοπου του οργανισμού που πλαστοπροσωπήθηκε. Στο παρελθόν, οι καμπάνιες consent-phishing είχαν παραβιάσει υπάρχοντες εκδότες επαληθευμένους με MPN για κατάχρηση του OAuth. Η νέα μέθοδος ενισχύει την αξιοπιστία των κακόβουλων εφαρμογών OAuth.

Η Microsoft έχει λάβει βασικά μέτρα για την ενίσχυση της διαδικασίας ελέγχου MCPP και τη μείωση κάθε πιθανής δόλιας συμπεριφοράς στο μέλλον. Έχουν τεθεί σε εφαρμογή πολυάριθμες πρόσθετες προφυλάξεις ασφαλείας για να εξασφαλιστεί η μέγιστη δυνατή ασφάλεια όλων των εμπλεκόμενων χρηστών.

Πηγή πληροφοριών: zdnet.com