Легитимен механизъм се превръща в инструмент за атаки срещу държавни институции

Изследователи от Microsoft Defender разкриват нова вълна от атаки, при които заплахите използват напълно легитимния механизъм за OAuth пренасочване, за да заобиколят защитите срещу фишинг в имейл системи и браузъри.

Кампанията е насочена основно към държавни и публични организации. Жертвите получават имейли, съдържащи OAuth redirect URL адреси, маскирани като:

• искания за електронен подпис

• известия от социални институции

• покани за срещи

• съобщения за нулиране на парола

• финансови или политически теми

В някои случаи връзките са вградени в PDF файлове с цел избягване на автоматично откриване.

Как работи злоупотребата с OAuth

OAuth приложенията се регистрират към доставчик на идентичност, например Microsoft Entra ID, и използват протокола OAuth 2.0 за получаване на делегиран или приложен достъп до потребителски данни.

При наблюдаваните атаки нападателите:

1. Създават злонамерено OAuth приложение в собствен tenant.

2. Конфигурират redirect URI, сочещ към тяхна инфраструктура.

3. Изпращат връзки, които изглеждат като легитимни заявки за оторизация към Entra ID.

В действителност заявката съдържа параметри за тиха автентикация (без интерактивен вход) и невалиден scope, което умишлено предизвиква грешка при удостоверяване.

Според спецификацията на OAuth, при грешка доставчикът на идентичност автоматично пренасочва към предварително зададения redirect URI. Именно това поведение се експлоатира от атакуващите.

От фишинг до пълна компрометация

В част от случаите жертвите биват пренасочени към фишинг страници, изградени чрез attacker-in-the-middle рамки като EvilProxy.

Тези инструменти могат да прихващат валидни сесийни „cookies“ и да заобикалят многофакторна автентикация (MFA).

Допълнително е установено, че параметърът “state” се използва за автоматично попълване на имейл адреса на жертвата във фалшивата форма за вход, което повишава усещането за легитимност.

Алтернативен сценарий – доставка на зловреден код

В други кампании пренасочването води към „/download“ път, който автоматично изтегля ZIP архив със:

• зловредни .LNK файлове

• HTML smuggling инструменти

При отваряне на LNK файла се стартира PowerShell, който:

• извършва разузнаване на системата

• подготвя компоненти за DLL side-loading

Зловредната библиотека crashhandler.dll дешифрира и зарежда крайния полезен товар (crashlog.dat) директно в паметта.

Междувременно легитимен изпълним файл stream_monitor.exe зарежда примамка, за да отклони вниманието на жертвата.

Защо този тип атака е труден за засичане

Microsoft подчертава, че наблюдаваните кампании не експлоатират уязвимост в OAuth, а злоупотребяват с предвидено в стандарта поведение при грешки.

Заплахите използват параметри като:

• невалиден scope

• prompt=none

за да предизвикат контролирана грешка и да активират автоматично пренасочване.

Тъй като връзките към Entra ID изглеждат легитимни, традиционните филтри за фишинг трудно ги блокират.

Препоръки за защита

Microsoft препоръчва на организациите да:

• ограничат разрешенията за OAuth приложения

• прилагат стриктни Conditional Access политики

• засилят защитата на идентичностите

• внедрят cross-domain детекция между имейл, идентичност и крайни устройства

Този тип атаки демонстрират еволюция към identity-based заплахи, при които нападателите не разчитат на класически експлойти, а на логиката на протоколите и доверието в легитимни услуги.

Злоупотребата с OAuth пренасочвания показва, че дори стандартизирани и широко използвани механизми могат да бъдат превърнати в средство за компрометиране на организации, ако не са придружени от строги политики за достъп и наблюдение.