Компания по кибербезопасности Volexity выяснила, что злоумышленники используют законные рабочие процессы аутентификации OAuth 2.0 для захвата учётных записей Microsoft 365 сотрудников организаций.
Они выдают себя за должностных лиц и связывается с пользователями через платформы обмена сообщениями WhatsApp и Signal. Цель состоит в том, чтобы убедить потенциальных жертв предоставить коды авторизации Microsoft, которые дают доступ к учётным записям, либо же уговорить их перейти по вредоносным ссылкам, которые собирают логины и одноразовые коды доступа.
Сначала пользователям предлагают принять участие в видеоконференции. После установления канала связи злоумышленник отправляет фишинговый URL OAuth под предлогом того, что он необходим для присоединения к видеозвонку. Также он может поделиться инструкциями по присоединению к встрече в виде PDF-файла вместе с вредоносным URL, созданным для входа пользователя в приложения Microsoft и сторонних поставщиков, которые используют рабочие процессы Microsoft 365 OAuth.
После аутентификации цель «перенаправляется на версию Visual Studio Code для браузера, размещённую на insiders.vscode.dev». Целевая страница может получать параметры входа из Microsoft 365, включая OAuth.
Используя социальную инженерию, злоумышленник пытается обманом заставить жертву отправить код под предлогом того, что он необходим для присоединения к собранию. Однако строка представляет собой код авторизации, действительный в течение 60 дней, который можно использовать для получения токена доступа ко «всем ресурсам, обычно доступным пользователю».
«Следует отметить, что этот код также появился как часть URI в адресной строке. Код Visual Studio, по-видимому, был настроен для упрощения извлечения и распространения этого кода», — отметили в Volexity.
Исследователи упростили поток атаки, полагаясь на приложение Visual Studio Code.
Ранее хакеры использовали украденный код авторизации OAuth для регистрации нового устройства в идентификаторе Microsoft Entra ID жертвы (ранее Azure Active Directory). После регистрации устройства им нужно было убедить цель одобрить запрос на двухфакторную аутентификацию (2FA), чтобы получить доступ к электронной почте жертвы. Чтобы добиться этого, злоумышленник использовал социальную инженерию, заявив, что код 2FA необходим для «получения доступа к экземпляру SharePoint, связанному с конференцией».
Для защиты от таких атак Volexity рекомендует настроить оповещения о входах с использованием Visual Studio Code client_id, заблокировать доступ к «insiders.vscode.dev» и «vscode-redirect.azurewebsites.net». Исследователи также рекомендуют настроить политики условного доступа, чтобы ограничить его только одобренными устройствами.
Зимой сообщалось, что уязвимость функции Google OAuth «Войти через Google» может позволить злоумышленникам при регистрации доменов несуществующих стартапов получить доступ к конфиденциальным данным бывших учётных записей сотрудников, связанных с различными платформами программного обеспечения как услуги (SaaS).
Источник новости: habr.com
