Microsoft, açık bir “Yayıncı kimliği doğrulandı” rozetine sahip kötü amaçlı üçüncü taraf OAuth uygulamalarının, bilinmeyen saldırganlar tarafından Birleşik Krallık ve İrlanda’daki kuruluşları hedef almak için kullanıldığını paylaştı.
Saldırılar ilk olarak Proofpoint araştırmacıları tarafından Aralık 2022’nin başlarında tespit edildi ve SSO ve çevrimiçi toplantı uygulamalarının kimliğine bürünen üç sahte uygulamayı içeriyordu. Bu hileye kanan bu kuruluşlardaki hedefler, bu hileli uygulamaların O365 e-posta hesaplarına erişmesine ve kuruluşların bulut ortamlarına sızmasına etkili bir şekilde izin verdi.
Proofpoint araştırmacıları, “Kuruluşlar üzerindeki potansiyel etki, güvenliği ihlal edilmiş kullanıcı hesapları, veri hırsızlığı, kimliğine bürünmüş kuruluşların marka kötüye kullanımı, iş e-postası gizliliği (BEC) dolandırıcılığı ve posta kutusunun kötüye kullanılmasıdır” diye açıkladı.
MFA’yı atlamak için OAuth uygulamalarını kullanma
Çok faktörlü kimlik doğrulamanın (MFA) giderek daha fazla benimsenmesi, kimlik avı, parola kaba zorlama veya tahmin etme gibi geleneksel hesap ele geçirme tekniklerini daha az etkili hale getirdi; bu nedenle bazı saldırganlar, hedeflerin hesaplarına uzun süreli erişim elde etmek için izinli kimlik avı kampanyalarına başvuruyor. Hileli üçüncü taraf OAuth uygulamaları aracılığıyla, hedeflerin posta kutusu, takvimi, toplantı bilgileri vb.
Bu saldırı tekniği yeni değildir, ancak saldırganların “sahneyi hazırlamak” için ciddi çaba sarf etmesini gerektirdiğinden kesinlikle yaygın olarak kullanılmamaktadır.
Bu özel durumda, Microsoft’u “Tek Oturum Açma (SSO)” ve “Toplantı” adlı üç hileli uygulamaya ve eski bir Yakınlaştırma simgesine sahip olan “Yayıncı kimliği doğrulandı” mavi rozetini sağlaması için kandırmak zorunda kaldılar. hedefler onlara güvenir ve hesaplarına erişmelerine izin verir.
Şirkete göre, saldırganlar Microsoft Bulut İş Ortağı Programına kaydolurken meşru şirketlerin kimliğine büründü ve “Azure AD’de oluşturdukları OAuth uygulama kayıtlarına doğrulanmış bir yayımcı eklemek için sahte iş ortağı hesapları kullandı.”
Hedeflenen kullanıcılar, “yayıncı tarafından doğrulandı” rozeti, yayıncı adı (mevcut meşru bir yayıncının adına çok benziyordu) ve her uygulamanın izin formunda kimliğine bürünülmüş kuruluşun web sitesine işaret eden bağlantılar tarafından kandırıldı.
Proofpoint araştırmacıları, “Uygulama yetkilendirme talebi, uygulama izin ekranına bağlanan kişiselleştirilmiş ‘.html’ ve ‘.htm’ dosyaları aracılığıyla çoğaltılır” dedi. (Bu dosyaların nasıl teslim edildiğini söylemediler, ancak kimlik avı e-postaları en olası mekanizmadır.)
Kötü amaçlı OAuth uygulamalarının tehdidini azaltma – “doğrulanmış” veya değil
Bu özel kampanya 27 Aralık 2022’ye kadar sürdü ve Microsoft o zamandan beri kötü amaçlı uygulamaları devre dışı bıraktı ve etkilenen müşterileri bilgilendirdi.
“Analizimize göre, bu kampanyanın ağırlıklı olarak Birleşik Krallık merkezli kuruluşları ve kullanıcıları hedeflediği görüldü. Proofpoint araştırmacıları, etkilenen kullanıcılar arasında finans ve pazarlama personelinin yanı sıra yöneticiler ve yöneticiler gibi yüksek profilli kullanıcılar olduğunu belirtti.
Microsoft, “Etkilenen müşterileri, ek düzeltme gerekip gerekmediğini araştırmaya ve doğrulamaya teşvik ediyoruz ve tüm müşteriler, izin kimlik avına karşı korunmak için adımlar atıyor” dedi ve “MCPP inceleme sürecini iyileştirmek ve azaltmak için birkaç ek güvenlik önlemi uyguladıklarını ekledi. Gelecekte benzer hileli davranışlarla karşılaşma riski.”
Şirketlerin bu saldırıları fark etmeleri için çalışanlarını mutlaka eğitmesi gerekirken, saldırganların kullandığı toplum mühendisliği hilelerinin bazılarını yine de kandırması mümkündür.
“Kuruluşlar, üçüncü taraf uygulamalara erişim izni vermenin risklerini ve faydalarını dikkatli bir şekilde değerlendirmelidir. Ayrıca, kuruluşlar, kullanıcı onayını doğrulanmış yayıncılara ve düşük riskli yetki verilmiş izinlere sahip uygulamalarla sınırlandırmalıdır” diye tavsiyede bulundu araştırmacılar. Ayrıca, kötü amaçlı üçüncü taraf OAuth uygulamalarını algılayabilen ve bunu yaptıklarında şirketin güvenlik ekibine haber verebilen güvenlik çözümleri dağıtmalıdırlar.
“Kötü amaçlı OAuth uygulamalarını bulut ortamınızdan iptal etmek gibi otomatik iyileştirme eylemleri, tehdit aktörlerinin bekleme süresini büyük ölçüde azaltabilir ve erişim sonrası risklerin çoğunu önleyebilir” dediler.