Новый фишинговый вектор: злоупотребление OAuth в Entra ID для обхода защит

Специалисты Microsoft Defender выявили новую активную фишинговую кампанию, которая использует особенности протокола OAuth для обхода традиционных средств защиты электронной почты и браузеров. В отличие от классических атак, злоумышленники не похищают токены доступа, а применяют механизм легитимного перенаправления, что затрудняет обнаружение вредоносной активности.

Атака преимущественно направлена на государственные и публичные организации, где злоумышленники используют доверенные домены провайдеров идентификации для маскировки вредоносных перенаправлений. Такой подход позволяет злоумышленникам создавать видимость легитимности и снижает вероятность блокировки на уровне почтовых фильтров и браузерных защит.

Механизм атаки и особенности эксплуатации OAuth

OAuth — широко используемый протокол авторизации, который позволяет пользователям предоставлять доступ к своим данным сторонним приложениям без передачи паролей. В описанной атаке злоумышленники эксплуатируют механизм перенаправления OAuth, который по умолчанию считается безопасным и используется для передачи пользователей между сервисами.

Вредоносная кампания использует доверенные домены провайдеров идентификации, что позволяет обойти фильтры, ориентированные на блокировку подозрительных URL и доменов. Вместо прямого кражи учетных данных или токенов, злоумышленники направляют жертву на фишинговые страницы, замаскированные под легитимные сервисы, что повышает вероятность успешного обмана.

Почему это важно для организаций, управляющих внешней атакующей поверхностью

Для организаций, особенно в государственном и публичном секторах, подобные атаки представляют серьезную угрозу, поскольку:

• Использование доверенных доменов усложняет обнаружение и блокировку вредоносных ссылок.
• Традиционные системы защиты, ориентированные на выявление подозрительных URL и попыток кражи токенов, могут не сработать.
• Фишинговые атаки, основанные на OAuth, могут привести к компрометации учетных записей и дальнейшему распространению угроз внутри инфраструктуры.

Управление внешней атакующей поверхностью требует учета новых методов обхода защит, особенно тех, которые используют легитимные механизмы протоколов авторизации.

Практические рекомендации для команд безопасности

Для повышения устойчивости к подобным фишинговым атакам рекомендуется:

• Усилить мониторинг и анализ поведения OAuth-токенов и процессов авторизации, обращая внимание на необычные перенаправления.
• Внедрить многофакторную аутентификацию (MFA) для всех пользователей, чтобы снизить риск компрометации при фишинговых попытках.
• Обучать сотрудников распознавать фишинговые письма, особенно те, что содержат ссылки на OAuth-процессы, и проверять URL перед вводом учетных данных.
• Использовать решения для защиты электронной почты и веб-трафика, способные анализировать контекст и поведение ссылок, а не только их домены.
• Регулярно проводить аудит и обновление политик безопасности, учитывая новые методы атак и особенности используемых протоколов авторизации.

Осведомленность о подобных методах атак и своевременное внедрение комплексных мер защиты помогут организациям эффективно управлять своей внешней атакующей поверхностью и снижать риски успешных фишинговых кампаний.