Les chercheurs en sécurité de Microsoft mènent reported des campagnes de phishing qui abusent des mécanismes de redirection OAuth pour diffuser des malwares et rediriger les victimes vers des infrastructures contrôlées par les attaquants. Cette activité démontre comment les acteurs malveillants peuvent exploiter des processus d’authentification légitimes pour contourner les protections courantes de sécurité des emails et des navigateurs.
OAuth est une norme d’autorisation ouverte largement utilisée par les services en ligne pour permettre aux utilisateurs de se connecter et d’accorder aux applications l’accès à leur compte sans partager de mots de passe. Le protocole permet aux fournisseurs d’identité d’émettre des jetons permettant à des services tiers d’accéder à des ressources spécifiques au nom de l’utilisateur. Parce que le processus repose sur des flux d’authentification de confiance et une redirection entre services, il est fréquemment utilisé dans les environnements d’entreprise et cloud.
Selon l’analyse de Microsoft, les attaquants exploitent le comportement de gestion des erreurs dans les flux d’autorisation OAuth. En abusant de ces mécanismes de redirection légitimes, les applications malveillantes peuvent rediriger les utilisateurs des fournisseurs d’identité de confiance vers des sites contrôlés par les attaquants. Cette technique permet aux pages de phishing ou à l’infrastructure d’hébergement de malwares d’apparaître dans un processus normal de connexion ou d’authentification.
Les chercheurs ont indiqué que les campagnes commencent généralement par des emails de phishing qui encouragent les destinataires à cliquer sur des liens liés à l’activité au travail. Parmi ces appâts, on trouve des invitations à consulter des documents, des enregistrements de réunions, des demandes de signature électronique ou des messages qui semblent provenir de plateformes de collaboration. Lorsque les victimes cliquent sur le lien, elles sont acheminées via des points d’authentification légitimes avant d’être redirigées vers des destinations malveillantes.
Dans certains cas, la chaîne de redirection conduit finalement à la livraison de malwares. Microsoft a observé des attaques distribuant des archives ZIP contenant des raccourcis Windows qui exécutent des commandes PowerShell lors de l’ouverture. Les commandes effectuent une reconnaissance du système infecté, collectent des informations sur l’environnement, puis déploient des composants malveillants supplémentaires. Les charges utiles peuvent inclure des installateurs qui déposent des documents leurres pour masquer l’attaque tandis que des fichiers malveillants sont chargés via des techniques de chargement latéral DLL.
D’autres campagnes utilisent la même technique de redirection des abus pour orienter les victimes vers un adversaire au milieu de cadres de phishing. Ces systèmes interceptent les identifiants et les cookies d’authentification, permettant aux attaquants d’accéder aux comptes en ligne même lorsque l’authentification à plusieurs facteurs est utilisée.
Microsoft a noté que les attaquants manipulent également les paramètres utilisés dans les demandes d’authentification OAuth. Dans certains cas, les acteurs malveillants codent l’adresse e-mail de la cible dans un paramètre de requête conçu pour corréler les réponses d’authentification. Lorsque les victimes sont redirigées vers la page de phishing, l’adresse e-mail est automatiquement publiée, ce qui peut augmenter la crédibilité de la demande de connexion.
L’entreprise a indiqué que ces campagnes illustrent comment les attaquants changent de tactique, les organisations renforçant leurs défenses contre le vol d’identifiants et le contournement de l’authentification multifacteur. Au lieu de voler directement les mots de passe, les adversaires ciblent de plus en plus les relations de confiance et les comportements protocolaires au sein des systèmes d’identité largement utilisés.
Microsoft recommande aux organisations de surveiller l’activité des applications OAuth, de revoir les configurations de redirection et de restreindre les applications à risque ou inconnues. Les équipes de sécurité sont également conseillées de surveiller les flux d’authentification inhabituels et d’informer les utilisateurs sur les liens suspects pouvant sembler provenir de services légitimes.
Les résultats mettent en lumière les défis liés à la défense contre des attaques qui reposent sur une infrastructure de confiance et un comportement conforme aux normes. Parce que l’activité malveillante se produit dans des flux d’authentification légitimes, elle peut se fondre dans le trafic normal de l’entreprise et contourner les outils traditionnels de détection du phishing.