Заплахите злоупотребяват със слабите практики за удостоверяване на организациите, за да създават и използват приложения на OAuth, често с цел финансова изгода, в поредица от атаки, които включват различни вектори, включително криптоманипулиране, фишинг и разпръскване на пароли.

OAuth е отворен стандарт за удостоверяване, който все повече се възприема за междуплатформен достъп; потребителите биха го разпознали в действие, когато влизат в уебсайт с подкана да кликнат върху връзка за влизане с друг акаунт в социална медия, като например „Влезте с Facebook“ или „Влезте с Google“. OAuth дава възможност на приложенията да получават достъп до данни и ресурси на други онлайн услуги и сайтове въз основа на разрешения, зададени от потребителя, и е механизмът, отговорен за предаването на удостоверенията между сайтовете.

Microsoft Threat Intelligence е наблюдавала поредица от атаки, които компрометират потребителски акаунти за услуги на Microsoft, за да създават, променят и предоставят високи привилегии на OAuth приложения по начин, който им позволява да използват приложенията като „инструмент за автоматизация“ за злонамерени дейности, разкриха изследователите в публикация в блога, публикувана тази седмица. Нападателите използват също така стандарта за удостоверяване OAuth, за да поддържат достъп до приложенията, дори ако загубят достъп до първоначално компрометирания акаунт, казват те.

„Хакерите злоупотребили с приложенията OAuth с разрешения за високи привилегии, за да разгърнат виртуални машини (VM) за добив на криптовалута, да установят устойчивост след компрометиране на бизнес електронна поща (BEC) и да започнат спам дейност, използвайки ресурсите и името на домейна на целевата организация“, се казва в публикацията.

Изследователите описват няколко атаки, които злоупотребяват с OAuth по нови начини. В повечето случаи компрометираният акаунт не е имал активирана многофакторна автентикация (MFA), което го е направило лесна мишена за нападателите, които са използвали тактики като credential stuffing, фишинг и reverse proxy phishing, за да получат достъп до акаунта за злонамерени цели.

Използване и злоупотреба с OAuth

Изследователите от Microsoft Threat Intelligence са наблюдавали три конкретни типа атаки – криптоманипулиране, компрометиране на бизнес електронна поща (BEC)/фишинг и разпръскване на пароли/спаминг – които са злоупотребявали с OAuth за извършване на злонамерена дейност по различни начини.

В един от векторите, използван от заплаха, която Microsoft проследява като Storm-1283, нападателите използват компрометиран потребителски акаунт в Azure, за да създадат приложение OAuth и да разгърнат виртуални машини (VM) за криптомайнинг. Целевите организации са понесли изчислителни такси в размер от 10 000 до 1,5 млн. долара от злонамерената дейност, при която нападателите са се върнали към акаунта, за да разгърнат още виртуални машини за криптоминиране след създаването на първоначалната атака.

Нападателите също така компрометираха потребителски акаунти, за да създадат OAuth приложения за BEC и фишинг атаки, като изследователите са наблюдавали как  заплахата компрометира потребителски акаунти и създава OAuth приложения, за да поддържа устойчивост и да стартира имейл фишинг дейност.

При този вектор нападателят е използвал комплект за фишинг „противник по средата“ (adversary-in-the-middle – AitM), за да изпрати значителен брой имейли с различни теми и URL адреси, насочени към потребителски акаунти в множество организации, със злонамерен URL адрес, който води до прокси сървър, улесняващ истинския процес на удостоверяване. Ако потребителят се хване на въдицата и влезе в системата,  заплахата открадва токена от „бисквитката“ на сесията на потребителя и по-късно го използва, за да извърши дейност по преиграване на „бисквитката“ на сесията.

В някои случаи заплашващият също така е търсил прикачени файлове към имейли в Outlook Web Application на Microsoft за конкретни ключови думи като „плащане“ и „фактура“, за да извърши разузнаване за бъдеща дейност по BEC, казват изследователите.

В други случаи вместо разузнаване на BEC заплахата е създавала многофункционални OAuth приложения след възпроизвеждането на откраднатите сесийни бисквитки, като е използвала приложенията за поддържане на устойчивост, добавяне на нови пълномощия и след това за достъп до ресурса Microsoft Graph API за четене на имейли или изпращане на фишинг имейли.

При третата уникална атака  заплахата, която Microsoft проследява като Storm-1286, извършва широкомащабна дейност за разпращане на спам чрез атаки за разпръскване на пароли към компрометирани потребителски акаунти. Атакуващите лица са компрометирали потребителски акаунти, за да създадат от едно до три нови OAuth приложения в целевата организация, като са използвали Azure PowerShell или клиент, базиран на Swagger Codegen, предоставяйки съгласие на приложенията, което е позволило контрол върху пощенската кутия на акаунта, според Microsoft Threat Intelligence. Оттам нататък нападателят е изпращал хиляди имейли на ден, като е използвал компрометирания потребителски акаунт и домейна на организацията.

MFA и други смекчаващи мерки

OAuth, който се използва от 2007 г., представлява риск за организациите по различни причини и има редица начини, по които нападателите могат да злоупотребят с него. Изследователи в областта на сигурността са открили недостатъци в прилагането му, които са изложили на атака ключови платформи за онлайн услуги като Booking.com и други. Междувременно други са използвали зловредни приложения на OAuth, създадени от тях, за да компрометират сървъри на Microsoft Exchange.

Според Microsoft ключова стъпка за организациите за намаляване на повърхността на атаките при използване на OAuth е преди всичко осигуряването на тяхната инфраструктура за идентификация. Един от лесните начини да се направи това е да се използва многофакторно удостоверяване (MFA), тъй като използването му би „драстично намалило“ компрометирането на акаунти при наскоро наблюдаваните атаки, казват изследователите.

Една от стъпките, които организациите могат да предприемат, за да засилят удостоверяването и да намалят шанса за успех на атаките, базирани на OAuth, включва активирането на политики за условен достъп (CA), които оценяват и налагат правила всеки път, когато потребителят се опитва да влезе в даден акаунт. Друга възможност е включването на настройки по подразбиране за сигурност във внедрените приложения на Microsoft, като например Azure Active Directory.

Одитирането на приложенията и одобрените разрешения в организацията, за да се „гарантира, че приложенията имат достъп само до необходимите данни и се придържат към принципите на най-малките привилегии“, също може да се използва за защита срещу атаки с OAuth, според публикацията.