Des employés involontaires enregistrent l’appareil d’un pirate informatique sur leur compte ; l’escroc utilise ensuite les jetons OAuth résultants pour maintenir un accès persistant.
Une autre campagne de phishing par code d’appareil qui abuse de l’enregistrement des appareils OAuth pour contourner les protections de connexion par authentification multifacteur a été découverte.
Les chercheurs de KnowBe4 affirment que la campagne cible largement les entreprises et les professionnels nord-américains en incitant les employés, à leur insu, à cliquer sur un lien contenu dans un e-mail provenant d’un acteur menaçant.
Le message prétend concerner un paiement électronique de fonds d’entreprise, un document concernant des primes salariales, un message vocal ou contient un autre leurre. Il comprend également un code « Autorisation sécurisée » que l’utilisateur est invité à saisir lorsqu’il clique sur le lien, ce qui l’amène à une véritable page de connexion Microsoft Office 365.
Les victimes pensent que le message est légitime, car la page de connexion est légitime, alors entrez le code. Mais à l’insu de la victime, il s’agit en réalité du code d’un appareil contrôlé par l’acteur menaçant. La victime a émis un jeton OAuth permettant à l’appareil du pirate informatique d’accéder à son compte Microsoft. À partir de là, le pirate informatique a accès à tout ce que le compte permet à l’employé d’utiliser.
Notez qu’il ne s’agit pas ici de vol d’identifiants, bien que si l’attaquant souhaite obtenir des identifiants, ils peuvent être volés. Il s’agit de voler les jetons d’accès OAuth et d’actualisation de la victime pour un accès persistant à son compte Microsoft, y compris à des applications telles qu’Outlook, Teams et OneDrive.
Cela fonctionne car certains sites, y compris Microsoft 365, utilisent le processus d’octroi d’autorisation de périphérique OAuth 2.0 pour permettre l’ajout de périphériques à un compte. C’est similaire à la façon dont un propriétaire ajoute une télévision intelligente à Netflix.
KnowBe4 la qualifie de nouvelle attaque, même si Johannes Ullrich, doyen de la recherche à l’Institut SANS, la qualifie de « vieille nouvelle ».
Selon Trend Micro, un acteur malveillant surnommé Pawn Storm utilise OAuth dans ses campagnes de phishing depuis 2015. Et en 2020, Microsoft a averti les utilisateurs de ce qu’il a appelé le « phishing par consentement », dans lequel les acteurs malveillants demandent l’autorisation à une application contrôlée par un attaquant d’accéder aux données en installant un fournisseur OAuth 2.0. Ullrich a admis qu’un employé de SANS était tombé dans l’un de ces e-mails de phishing.
La principale défense contre la dernière version de cette attaque consiste à restreindre les applications que les utilisateurs sont autorisés à connecter à leur compte, a-t-il déclaré. Microsoft offre aux administrateurs d’entreprise la possibilité d’autoriser des applications spécifiques que l’utilisateur peut autoriser via OAuth.
Roger Grimes, conseiller RSSI chez KnowBe4, a écrit sur le phishing par code d’appareil en 2020. Dans une interview jeudi, il a déclaré que la particularité de la dernière tactique est que la victime se connecte à un domaine valide et que l’objectif est d’obtenir le jeton de l’appareil de l’utilisateur.
« L’utilisateur ne fait rien de mal », dans le sens où il se connecte à un portail légitime, a-t-il déclaré. « S’ils regardent l’URL à laquelle ils se connectent, c’est… Mais l’attaquant a pré-enregistré son appareil pour obtenir le code que (la victime) pourra vérifier. »
David Shipley, responsable du fournisseur canadien de formation en sensibilisation à la sécurité Beauceron Security, a déclaré que les attaques par code d’appareil OAuth prennent de l’ampleur depuis 2024. « C’est la réponse évolutive naturelle aux améliorations de la sécurité des comptes, en particulier MFA », a-t-il déclaré.
La défense la plus simple consiste à désactiver la possibilité d’ajouter des périphériques de connexion supplémentaires à Office 365, sauf si cela est nécessaire, a-t-il déclaré.
En outre, les employés doivent également être continuellement informés des risques liés aux demandes de connexion inhabituelles, même si elles proviennent d’un système familier.
« L’intérêt d’enseigner aux gens les nouvelles techniques d’ingénierie sociale comme celle-ci et de faire des simulations de phishing basées sur ce type d’attaques est que cela permet aux gens de s’habituer à les signaler, ce qui sera utile lorsque de véritables attaques se produisent », a-t-il ajouté.
« Les jetons OAuth fonctionnent souvent comme des informations d’identification du porteur », a-t-il noté. « Si un attaquant les obtient, ils peuvent être utilisés comme méthode d’accès à facteur unique pour agir en tant qu’intégration sans déclencher une connexion interactive ou un défi MFA, et l’activité peut se fondre dans les modèles normaux d’API/d’intégration. En d’autres termes, une application stricte de l’AMF peut coexister avec une exposition persistante si les identités non humaines et l’hygiène des jetons OAuth ne sont pas régies et surveillées avec la même rigueur. »
Il a déclaré que les responsables informatiques doivent aller au-delà des examens classiques des fournisseurs tiers et inventorier et auditer les intégrations exécutées dans leurs environnements SaaS, en déterminant quelles applications sont connectées, de quelles portées/autorisations OAuth elles disposent et si elles sont toujours nécessaires.
« La plupart des équipes ont bien plus d’intégrations qu’elles ne le pensent, et nombre d’entre elles conservent de larges privilèges longtemps après la réponse aux besoins commerciaux initiaux », a-t-il souligné.
« En parallèle, nous devrions relever la barre de sécurité pour tout fournisseur SaaS sur lequel nous comptons, (avec) des exigences claires en matière de sécurité des jetons, de journalisation, de réponse aux incidents et de modèles d’intégration sécurisés, et nous assurer que nos propres configurations et surveillances de locataires sont renforcées afin que l’activité d’intégration soit de moindre privilège, observable et rapidement maîtrisable lorsque quelque chose en amont est compromis », a ajouté Michal.
Grimes a déclaré que les utilisateurs peuvent être informés pour vérifier combien d’appareils sont autorisés à accéder à leurs comptes de connexion Microsoft, Google et autres. Ils doivent également être continuellement avertis de se méfier des liens de courrier électronique menant à une page de connexion.
Dans un blog sur le phishing par code d’appareil, il a noté que les administrateurs de Microsoft Entra peuvent désactiver le « flux de code d’appareil » dans leurs politiques d’accès conditionnel. Cela désactive tous les utilisateurs de codes d’appareil pour Entra, pas seulement les utilisateurs malveillants. Cela signifie que les utilisateurs devront se connecter et fournir plus d’informations qu’un simple code d’appareil, mais cela protégera mieux un environnement informatique contre ce type d’attaque de phishing.
