Microsoft’taki güvenlik araştırmacıları, reported OAuth yönlendirme mekanizmalarını kötüye kullanarak zararlı yazılım gönderiyor ve kurbanları saldırgan kontrolündeki altyapıya yönlendiriyor. Bu etkinlik, tehdit aktörlerinin yaygın e-posta ve tarayıcı güvenlik korumalarını aşmak için meşru kimlik doğrulama süreçlerini nasıl sömürebileceğini gösteriyor.
OAuth, çevrimiçi hizmetler tarafından yaygın olarak kullanılan ve kullanıcıların şifre paylaşmadan hesaplarına giriş yapıp başvurularına erişim izni vermesini sağlayan açık yetkilendirme standartıdır. Protokol, kimlik sağlayıcılarının, üçüncü taraf hizmetlerin bir kullanıcı adına belirli kaynaklara erişmesini sağlayan tokenlar çıkarmasını sağlar. Süreç, güvenilir kimlik doğrulama akışlarına ve hizmetler arasında yönlendirmeye dayandığı için, kurumsal ve bulut ortamlarında sıkça kullanılır.
Microsoft’un analizine göre, saldırganlar OAuth yetkilendirme akışlarındaki hata işleme davranışını sömürüyor. Bu meşru yönlendirme mekanizmalarını kötüye kullanarak, kötü amaçlı uygulamalar kullanıcıları güvenilir kimlik sağlayıcılarından saldırgan kontrolündeki sitelere yönlendirebilir. Bu teknik, oltalama sayfalarının veya kötü amaçlı yazılım barındırma altyapısının normal bir giriş veya kimlik doğrulama sürecinin parçası olarak görünmesini sağlar.
Araştırmacılar, kampanyaların genellikle alıcıları iş yerindeki aktivitelerle ilgili bağlantılara tıklamaya teşvik eden oltalama e-postalarıyla başladığını belirtti. Bu yemlere örnek olarak belgeleri görüntüleme davetleri, toplantı kayıtları, elektronik imza talepleri veya iş birliği platformlarından gelen gibi görünen mesajlar yer alır. Mağdurlar bağlantıya tıkladığında, yasal kimlik doğrulama uç noktalarından yönlendirilirler ve ardından kötü amaçlı hedeflere yönlendirilirler.
Bazı durumlarda, yönlendirme zinciri nihayetinde kötü amaçlı yazılım teslimatına yol açar. Microsoft, açıldığında PowerShell komutlarını çalıştıran Windows kısayol dosyalarını içeren ZIP arşivlerinin dağıtıldığını gözlemledi. Komutlar, enfekte sistemde keşif yapar, çevre hakkında bilgi toplar ve ardından ek kötü niyetli bileşenler dağıtır. Yükler, saldırıyı gizlemek için sahte belgeler bırakan kurulumcular içerebilirken, zararlı dosyalar DLL yan yükleme teknikleriyle yüklenir.
Diğer kampanyalar da kurbanları oltalama çerçevelerinin ortasında bir düşmana yönlendirmek için aynı yönlendirme yöntemini kullanır. Bu sistemler, kimlik bilgilerini ve kimlik doğrulama çerezlerini ele geçirerek, çok faktörlü kimlik doğrulama kullanılsa bile saldırganların çevrimiçi hesaplara erişmesini sağlar.
Microsoft, saldırganların OAuth kimlik doğrulama taleplerinde kullanılan parametreleri de manipüle ettiğini belirtti. Bazı durumlarda, tehdit aktörleri hedefin e-posta adresini kimlik doğrulama yanıtlarını ilişkilendirmek için tasarlanmış bir istek parametresiyle kodlar. Mağdurlar oltalama sayfasına yönlendirildiğinde, e-posta adresi otomatik olarak doldurulur ve bu da giriş isteğinin güvenilirliğini artırabilir.
Şirket, kampanyaların, kurumların kimlik hırsızlığına ve çok faktörlü kimlik doğrulama atlamaya karşı savunmalarını güçlendirdikçe saldırganların taktiklerini nasıl değiştirdiğini gösterdiğini söyledi. Şifreleri doğrudan çalmak yerine, düşmanlar giderek yaygın kullanılan kimlik sistemlerinde güven ilişkilerini ve protokol davranışlarını hedef alıyor.
Microsoft, kuruluşların OAuth uygulama faaliyetlerini izlemesini, yönlendirme yapılandırmalarını incelemesini ve riskli veya bilinmeyen uygulamaları sınırlamasını önerir. Güvenlik ekiplerine ayrıca alışılmadık kimlik doğrulama akışlarını izlemeleri ve kullanıcıları, yasal hizmetlerden kaynaklanan şüpheli bağlantılar hakkında bilgilendirmeleri tavsiye edilir.
Bulgular, güvenilir altyapıya ve standartlara uygun davranışa dayanan saldırılara karşı savunmanın zorluklarını ortaya koyuyor. Kötü niyetli faaliyet meşru kimlik doğrulama akışları içinde gerçekleştiği için, normal kurumsal trafiğe karışabilir ve geleneksel oltalama tespit araçlarından kaçınabilir.