Microsoft, saldırganların, kripto para birimi madenciliği için sanal makineleri (VM’ler) dağıtmak ve kimlik avı saldırıları başlatmak için OAuth uygulamalarını bir otomasyon aracı olarak kullandığı konusunda uyardı.
Microsoft Tehdit İstihbaratı ekibi, “Tehdit aktörleri, kötü amaçlı etkinlikleri gizlemek için kötüye kullanabilecekleri OAuth uygulamalarını oluşturmak, değiştirmek ve bu uygulamalara yüksek ayrıcalıklar vermek için kullanıcı hesaplarını tehlikeye atıyor” dedi. söz konusu bir analizde.
“OAuth’un kötüye kullanılması, tehdit aktörlerinin, başlangıçta güvenliği ihlal edilen hesaba erişimlerini kaybetseler bile uygulamalara erişimi sürdürmelerine de olanak tanıyor.”
Yapay Zeka Destekli Tehditleri Sıfır Güvenle Yenmek – Güvenlik Profesyonelleri için Web Semineri
Günümüz dünyasında geleneksel güvenlik önlemleri bunu kesmeyecektir. Şimdi Sıfır Güven Güvenliği zamanı. Verilerinizi daha önce hiç olmadığı gibi koruyun.
Açık Yetkilendirme’nin kısaltması olan OAuth, uygulamalara şifreleri vermeden diğer web sitelerindeki bilgilere güvenli bir şekilde erişme olanağı sağlayan (kimlik doğrulamanın aksine) bir yetkilendirme ve yetkilendirme çerçevesidir.
Microsoft tarafından ayrıntılı olarak açıklanan saldırılarda, tehdit aktörlerinin, OAuth uygulamaları oluşturma veya değiştirme izinlerine sahip, güvenliği zayıf hesaplara yönelik kimlik avı veya parola püskürtme saldırıları başlattığı gözlemlendi.
Bu tür rakiplerden biri, bir OAuth uygulaması oluşturmak ve kripto madenciliği için VM’leri dağıtmak amacıyla güvenliği ihlal edilmiş bir kullanıcı hesabından yararlanan Storm-1283’tür. Ayrıca saldırganlar, aynı hedefleri gerçekleştirmek için fazladan bir kimlik bilgisi kümesi ekleyerek hesaba erişilebilen mevcut OAuth uygulamalarını değiştirdi.
Başka bir örnekte, kimliği belirsiz bir aktör, kalıcılığı korumak ve oturum çerezlerini hedeflerinden yağmalamak ve kimlik doğrulama önlemlerini atlamak için ortadaki düşman (AiTM) kimlik avı kitini kullanan e-posta kimlik avı saldırıları başlatmak için kullanıcı hesaplarının güvenliğini ihlal etti ve OAuth uygulamaları oluşturdu.
“Bazı durumlarda, çalınan oturum çerezi yeniden oynatma faaliyetinin ardından aktör, Microsoft Outlook Web Uygulaması’nda (OWA) ‘ödeme’ ve ‘fatura gibi belirli anahtar kelimeleri içeren e-posta eklerini açarak BEC mali dolandırıcılık keşfi gerçekleştirmek için ele geçirilen kullanıcı hesabından yararlandı. ” dedi Microsoft.
Oturum çerezlerinin çalınmasının ardından teknoloji devi tarafından tespit edilen diğer senaryolar arasında, kimlik avı e-postalarını dağıtmak ve büyük ölçekli spam etkinlikleri gerçekleştirmek için OAuth uygulamalarının oluşturulması yer alıyor. Microsoft, ikincisini Storm-1286 olarak izliyor.
Bu tür saldırılarla ilişkili riskleri azaltmak için kuruluşların çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılması, koşullu erişim politikalarını etkinleştirmesi ve uygulamaları ve izin verilen izinleri rutin olarak denetlemesi önerilir.