Yeni ve son derece zor bir kimlik avı kampanyası, kullanıcıları meşrudan yönlendirmek için Microsoft’un kendi Active Directory Federasyon Hizmetleri’ni (ADFS) kullanarak Microsoft 365 kimlik bilgilerini aktif olarak çalıyor. office.com Kötü amaçlı oturum açma sayfalarına bağlantılar.
Siber güvenlik firmasındaki araştırmacılar tarafından tanımlanan teknik, PUSH Security, kimlik avı saldırılarında önemli bir evrimi işaret eder ve hem kullanıcı uyanıklığı hem de geleneksel güvenlik filtrelerini etkili bir şekilde atlar.
Saldırı, kötü niyetli bir kombinasyondan ve Microsoft’un altyapısının akıllıca kötüye kullanılması. Şüpheli e -postalara güvenmek yerine, saldırganlar arama motorlarına kötü niyetli reklamlar yerleştirir.
“Office 365” arayan bir kullanıcı, onları gerçek bir şekilde yönlendiren meşru bir reklamı tıklayabilir. outlook.office.com URL. Ancak, bu URL bir istismar tetiklemek için özel olarak hazırlanmıştır.
Programın merkezinde, bir kuruluşun yerel dizini bulut hizmetlerine bağlayarak tek bir oturum açma (SSO) (SSO) kolaylaştıran bir Microsoft özelliği olan ADFS’nin kötüye kullanılması bulunmaktadır.
Tehdit oyuncusu kendi Microsoft kiracılarını kurdu ve ADFS ayarlarını, kimlik doğrulama isteklerini kontrol ettikleri bir kimlik avı alanına yönlendirmek için yapılandırdı.
Bu manipülasyon, Microsoft’un kendi sunucularını şüphesiz kurbanı güvenilirden göndermeye zorlar office.com Push Security, Microsoft Oturum Açma sayfasının mükemmel, piksel için mükemmel bir kopyasına etki alanı.
“Bu temelde eşdeğerdir Outlook.com açık bir yönlendirme güvenlik açığı var ”dedi.
.webp)
Bu “ADFSJacking” olarak adlandırıldığı gibi, ilk yönlendirme güvenilir bir Microsoft kaynağından kaynaklandığı için URL tabanlı güvenlik araçlarından kaynaklandığı ve kullanıcıların tehdidi algılamasını neredeyse imkansız hale getirdiği için güçlüdür.
.webp)
Soruşturmada, kaçırma için tasarlanmış çok aşamalı bir yönlendirme zinciri ortaya çıktı. Kötü amaçlı reklamı tıkladıktan sonra, kullanıcının tarayıcısı, son kimlik avı sitesine inmeden önce bir durumda sahte bir seyahat blogundan bir aracı alan adından görünmez bir şekilde geçirilir.
Bu aracı adım, bağlantıyı zararsız olarak sınıflandırabilen ve web filtrelerinden geçmesine izin verebilecek otomatik etki alanı kategorizasyon araçlarını kandırmak için tasarlanmıştır.
Bir kez, ortada bir saldırgan (AITM) proxy olarak işlev gören sahte giriş sayfasında, girilen kimlik bilgileri hemen yakalanır. Bu yöntem aynı zamanda saldırganların oturum çerezlerini çalmasına izin vererek çok faktörlü kimlik doğrulama (MFA) korumalarını atlamalarını ve kurbanın hesabına tam erişim kazanmalarını sağlar.
Bu kampanya, saldırganların teslimat yöntemlerini e -postadan kötü niyetli, sosyal medya ve anlık mesajlaşma gibi kanallara kaydırdıkları ve böylece sağlam e -posta güvenlik ağ geçitlerini ortadan kaldırdıkları rahatsız edici bir eğilimi vurgulamaktadır.
Bu tehdidi azaltmak için güvenlik uzmanları, kuruluşların olağandışı ADFS yönlendirmeleri, özellikle de tanıdık olmayan alanlara yol açanlar için ağ günlüklerini izlemelerini önermektedir.
Trafikte Google reklam parametreleri için filtreleme office.com Bu özel kötüverizasyon tekniğinin tanımlanmasına da yardımcı olabilir. Son kullanıcılar için, tüm web tarayıcılarına saygın bir reklam engelleyici dağıtmak, ilk cazibeye karşı kritik bir savunma olmaya devam etmektedir.
Safely detonate suspicious files to uncover threats, enrich your investigations, and cut incident response time. Start with an ANYRUN sandbox trial →