Хакери използват OAuth приложения за постоянен достъп до акаунти

Picture of Здравко Боджов
Здравко Боджов
Уязвимости
22 октомври 2025

Хакери експлоатират уязвимост в OAuth механизма, за да запазят достъп до компрометирани акаунти, дори след прилагане на смяна на пароли и мултифакторна автентикация (MFA). Те постигат това чрез създаване на вътрешни злонамерени уеб приложения и издаване на OAuth токени, които осигуряват постоянен достъп.

Според доклад на Proofpoint, реални кибератаки показват, че нападателите могат да продължат да използват компрометираните акаунти чрез OAuth токени, независимо от опитите на потребителя да промени паролата или да активира MFA. Тези токени действат като ключ за достъп до електронна поща, файлове и други ресурси.

Механизъм на атака

В един от случаите, нападателят е поел контрол над акаунт след фишинг атака. Въпреки че жертвата е сменила паролата след четири дни, нападателят е запазил достъп чрез създадено вътрешно приложение („test“) с разрешения Mail.Read и offline_access. Това е позволило достъп до пощата на жертвата без значение от смяната на паролата.

Вътрешните приложения (second-party apps) се считат за високо доверени, тъй като произхождат от собствената директория на организацията. Това ги прави трудни за откриване и те могат да заобиколят много стандартни мерки за сигурност, включително мониторинг на приложения на трети страни.

Потенциални засегнати ресурси

При успешна експлоатация нападателят може да получи достъп до:

  • SharePoint документи и съдържание за сътрудничество

  • Файлове в OneDrive

  • Съобщения и канали в Microsoft Teams

  • Календарна информация

  • Контакти на организацията

  • Други ресурси на Microsoft 365

Мерки за защита

Proofpoint подчертава, че незабавното отзоваване на всички клиентски секрети и премахването на регистрираните приложения е критично за спиране на достъпа. Конкретните стъпки включват:

  1. Незабавно анулиране на всички client secrets.

  2. Премахване на всички съществуващи сертификати.

  3. Изтриване на цялата регистрация на приложението и отзоваване на всички предишни разрешения.

  4. Премахване на всички свързани service principals.

Тези действия прекратяват възможността на злонамереното приложение да издава нови токени и да поддържа достъп до ресурсите на организацията.

#MFA, # Microsoft 365, # OAuth, # киберсигурност, # постоянен достъп
e-security.bg

Подобни

Три критични уязвимости в runc застрашават изолацията на контейнери
11.11.2025
Stop - Ransomware - neon colors1
Критична уязвимост в Monsta FTP
11.11.2025
cybersecurity1
Уязвимости в Claude позволяват на злонамерени сайтове да стартират малуер
7.11.2025
claude anthropic
Проблем с актуализация на Windows може да задейства BitLocker Recovery режим
6.11.2025
windows-6281710_1280
CVE-2025-9491 в Windows се ползва за атаки срещу дипломати
4.11.2025
Windows-10
Критична уязвимост в Chromium браузърите
31.10.2025
browser-773215_1280

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Kак да разпознаем и реагираме на фишинг имейл
9.10.2025
phishing-6573326_1280
Опасен фишинг под прикритието на Ямболския окръжен съд
5.11.2025
phishing
Кибер въоръжаване и ИИ: Новите предизвикателства на бойното поле
4.10.2025
military-8431995_1280

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.