Microsoft a identifié une campagne de phishing utilisant des liens mal formés vers des services OAuth légitimes pour rediriger vers des téléchargements de logiciels malveillants.
Microsoft a averti que les phishers exploitaient un comportement intégré du protocole d’authentification OAuth pour rediriger les victimes vers des logiciels malveillants, en utilisant des liens pointant vers des domaines de fournisseurs d’identité légitimes tels que Microsoft Entra ID et Google Workspace. Les liens semblent sûrs mais mènent finalement à un endroit qui ne l’est pas.
« OAuth inclut une fonctionnalité légitime qui permet aux fournisseurs d’identité de rediriger les utilisateurs vers une page de destination spécifique dans certaines conditions, généralement dans des scénarios d’erreur ou d’autres flux définis », a écrit l’équipe de recherche sur la sécurité Defender de Microsoft dans un article de blog. « Les attaquants peuvent abuser de cette fonctionnalité native en créant des URL avec des fournisseurs d’identité populaires, tels que Entra ID ou Google Workspace, qui utilisent des paramètres manipulés ou des applications malveillantes associées pour rediriger les utilisateurs vers des pages de destination contrôlées par les attaquants. »
La société a déclaré avoir désactivé plusieurs applications OAuth malveillantes liées à cette activité, mais a averti que les campagnes associées se poursuivent et nécessitent une surveillance continue.
Comment fonctionne l’attaque
L’attaque commence par un e-mail de phishing, avec des leurres observés usurpant l’identité des demandes de signature électronique, des communications RH, des invitations à des réunions Microsoft Teams et des alertes de réinitialisation de mot de passe, les liens malveillants intégrés soit dans le corps de l’e-mail, soit dans une pièce jointe PDF, ont écrit les chercheurs de Microsoft dans le billet de blog.
Le lien pointe vers un véritable point de terminaison d’autorisation OAuth mais est construit avec des paramètres délibérément brisés. Les attaquants utilisent une valeur « prompt=none », demandant une authentification silencieuse sans écran de connexion, et l’associent à une valeur de portée non valide. La combinaison est conçue pour échouer. Lorsque c’est le cas, le fournisseur d’identité redirige le navigateur de l’utilisateur vers un URI enregistré par l’attaquant.
« Bien que ce comportement soit conforme aux normes, les adversaires peuvent en abuser pour rediriger les utilisateurs via des points de terminaison d’autorisation fiables vers des destinations contrôlées par les attaquants », ont écrit les chercheurs dans le blog.
Cette technique représente un changement structurel dans la façon dont les attaquants abordent l’identité, a déclaré Sanchit Vir Gogia, analyste en chef de Greyhound Research. « Le premier saut est réel. Le navigateur se comporte correctement. Le fournisseur d’identité se comporte correctement. Le signal de confiance est authentique », a-t-il déclaré. « Cela fait passer le phishing de la tromperie au niveau de la marque à la manipulation au niveau du flux de travail. »
Dans une campagne détaillée par Microsoft dans le billet de blog, la redirection a livré une archive ZIP contenant un fichier de raccourci malveillant sur l’appareil de la victime. L’ouverture du fichier a déclenché un script PowerShell qui a exécuté des commandes de reconnaissance et s’est finalement connecté à un serveur contrôlé par un attaquant, indique le message. Microsoft a décrit l’activité ultérieure comme étant cohérente avec un comportement pré-ransomware.
Le blog détaille d’autres campagnes qui redirigent les victimes vers des frameworks d’adversaires du milieu tels que EvilProxy pour récolter des informations d’identification et des cookies de session.
Le contexte, et non l’URL, est le nouveau signal d’alarme
Sakshi Grover, responsable de recherche senior chez IDC Asie/Pacifique, a déclaré que le conseil de longue date consistant à survoler un lien et à vérifier son domaine a été conçu pour une ère de domaines similaires et qu’il n’est plus valable dans les environnements où les flux d’authentification passent régulièrement par des fournisseurs d’identité de confiance.
« Les organisations devraient modifier leurs messages de sensibilisation plutôt que de « vérifier le lien » plutôt que de « valider le contexte » », a-t-elle déclaré. « Les employés doivent être formés pour se demander si une demande d’authentification était attendue, si elle correspond à une activité commerciale en cours et si l’application demande des autorisations logiques. »
Gogia a déclaré que les entreprises doivent aller plus loin et changer complètement leur comportement sous-jacent. « Ne lancez jamais de parcours d’authentification à partir de liens entrants non sollicités », a-t-il déclaré. « L’authentification doit commencer à partir de points de départ contrôlés, et non à partir de déclencheurs par courrier électronique. » Il a ajouté que le signalement des connexions inattendues doit être fluide et que la rapidité du reporting est plus précieuse que la confiance dans son jugement personnel.
Le déficit de gouvernance exploité par les attaquants
Les deux analystes ont souligné la gouvernance des applications OAuth comme étant le fossé structurel plus profond exploité par cette campagne.
Grover d’IDC a déclaré que la maturité de la gouvernance reste inégale entre les entreprises. « Les paramètres de consentement par défaut étendus et la surveillance limitée des URI de redirection restent courants, en particulier dans les environnements où l’adoption du cloud et du SaaS a dépassé les contrôles de gouvernance des identités », a-t-elle déclaré.
L’ampleur du problème est facile à sous-estimer, selon Gogia de Greyhound Research. « Chaque outil d’intégration SaaS, de flux de travail d’automatisation et de collaboration peut nécessiter un enregistrement d’application. Au fil du temps, les locataires accumulent des centaines, voire des milliers d’applications enregistrées. Les URI de redirection sont configurés lors de l’installation et rarement revisités », a-t-il déclaré. « La télémétrie existe. L’interprétation non. »
Microsoft a déclaré dans le billet de blog que les organisations devraient restreindre le consentement des utilisateurs aux applications OAuth tierces, auditer régulièrement les autorisations des applications et supprimer les applications inutilisées ou trop privilégiées. Le message a également publié 16 identifiants de clients liés aux applications malveillantes des auteurs de la menace et une liste d’URL de redirection initiales comme indicateurs de compromission. Les requêtes de recherche KQL pour les clients Microsoft Defender XDR sont incluses dans la publication pour aider à identifier les activités associées sur les signaux de courrier électronique, d’identité et de point de terminaison.
Cette technique restera efficace aussi longtemps que les entreprises ne combleront pas ces lacunes, a prévenu Gogia. « Cela ne nécessite pas de briser le cryptage », a-t-il déclaré. « Cela nécessite d’exploiter la complaisance administrative. »
