Marka takviyesi teknikleri ile birlikte OAuth yeniden yönlendirme güvenlik açıklarından yararlanarak Microsoft 365 kullanıcılarını hedefleyen iki sofistike kimlik avı kampanyası gözlendi.
Tehdit araştırmacıları, geleneksel güvenlik kontrollerini atlamak ve hesap devralma (ATO) elde etmek için tasarlanmış bu yüksek hedefli saldırılar hakkında kuruluşları uyarıyorlar.
Kötü niyetli kampanyalar, kullanıcıları hileli OAuth uygulamalarına izin vermek için kandırmak için Adobe ve Docusign gibi tanıdık markalardan yararlanır.
Proofpoint’in tehdit içgörü ekibi, kurbanları kimlik bilgisi hasat ve kötü amaçlı yazılım dağıtım sayfalarına yönlendiren “Adobe Drive”, “Adobe Acrobat” ve “Docusign” olarak gizlenmiş daha önce açıklanmayan üç kötü amaçlı OAuth uygulamasını tanımladı.
“Bu sofistike saldırganlar Microsoft 365 kiracı ayarlarını değiştirdi ve kiracı mimarilerini kimlik avı içeriğini doğrudan kurumsal ortamlara gömmek için kullandı” dedi.
“Genellikle benzer alanlara veya e -posta sahtekarlığına dayanan geleneksel kimlik avının aksine, bu teknik tamamen Microsoft ekosisteminde işlev görüyor.”
Saldırı, OAuth 2.0 yetkisinin akışlarının nasıl çalıştığını kullanıyor. Kullanıcılar meşru bir Microsoft URL gibi görünen şeyi tıkladığında, OAuth uygulama güvenlik açığı bunları saldırgan kontrollü sitelere yönlendirir.
Bu yeniden yönlendirme, geçerli yetkilendirme akışlarında ‘Respons_type’ veya ‘Scope’ gibi parametrelerin değiştirilmesi ile tetiklenebilir.
Bu saldırılar özellikle tehlikelidir, çünkü etki alanı itibar değerlendirmeleri, DMARC uygulama ve kepçeleme karşıtı stratejiler gibi standart e-posta güvenlik protokollerini atlayabilirler.
Kimlik avı mesajları Microsoft’un meşru sunucularından geçtiğinden, güvenlik uyarılarını tetikleme olasılıkları daha düşüktür.
Tespitten kaçınmak için, kötü amaçlı uygulamalar “Profil”, “E -posta” ve “OpenID” gibi sınırlı kapsamlarla minimum izinler ister.
Bununla birlikte, Proofpoint’in tehdit algılama motoru hala kötü niyetli olarak sınıflandırdı ve müşterileri hesap devralma koruma hizmetini kullanarak korudu.
Tavsiye
Microsoft 365 ortamlarına sahip kuruluşlar, FIDO2 güvenlik anahtarları gibi kimlik avına dayanıklı kimlik doğrulama yöntemlerini uygulamalı ve katı koşullu erişim politikaları oluşturmalıdır.
Güvenlik uzmanları, saldırganların MFA’yı atlamasını önlemek için eski kimlik doğrulama protokollerinin devre dışı bırakılmasını ve çok faktörlü kimlik doğrulama için sayı eşleşmesini uygulamanızı önerir.
Bu saldırılar öncelikle, genellikle hassas verilere erişimi olan yöneticiler, hesap yöneticileri ve finans personeli de dahil olmak üzere yüksek değerli çalışanları hedeflemektedir.
Başarılı olursa, saldırganlar e -postalara, dosyalara, kişilere ve Microsoft Teams sohbetlerine kalıcı ve bağımsız erişim elde eder. Güvenlik araştırmacıları, “Bu, saldırganların bulut hizmetleri içindeki yerleşik güven mekanizmalarından yararlandığı büyüyen bir trendin bir parçası” dedi.
“Microsoft’un meşru e -posta sisteminden yararlanarak, bu kimlik avı mesajları alıcılara tamamen gerçek görünürken güvenlik kontrollerini atlayabilir.”
Kuruluşlar Azure Reklam Oturum Açma Günlüklerini gözden geçirmeli, riskli oturum açma uyarıları uygulamalı ve şüpheli OAuth başvuru onayı isteklerini izlemelidir.
Buna ek olarak, güvenlik ekipleri kimliğe dirençli MFA’yı uygulamalı ve özellikle OAuth onayı kimlik avı taktiklerine odaklanan düzenli güvenlik farkındalığı eğitimi almalıdır.
Uzlaşma göstergeleri
Araştırmacılar, aşağıdakileri içeren birkaç uzlaşma göstergesi (IOCS) yayınladılar:
Uygulama Kimlikleri:
14b2864e-3cff-4d33-b5cd-7f14ca272ea4 ('Adobe Drive')
85da47ec-2977-40ab-af03-f3d45aaab169 ('Adobe Drive X')
355d1228-1537-4e90-80a6-dae111bb4d70 ('Adobe Acrobat')
6628b5b8-55af-42b4-9797-5cd5c148313c ('DocuSign')Yanıt ve Yeniden Yönlendirme URL’leri, çalışan.dev, tigris.dev ve sayfalarda barındırılan alan adlarını içerir.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.