Microsoft a averti que les adversaires utilisent les applications OAuth comme outil d’automatisation pour déployer des machines virtuelles (VM) pour l’extraction de crypto-monnaie et lancer des attaques de phishing.
« Les acteurs malveillants compromettent les comptes d’utilisateurs pour créer, modifier et accorder des privilèges élevés aux applications OAuth qu’ils peuvent utiliser à mauvais escient pour cacher des activités malveillantes », a déclaré l’équipe Microsoft Threat Intelligence. dit dans une analyse.
« L’utilisation abusive d’OAuth permet également aux auteurs de menaces de conserver l’accès aux applications même s’ils perdent l’accès au compte initialement compromis. »
Battez les menaces basées sur l’IA avec Zero Trust – Webinaire pour les professionnels de la sécurité
Les mesures de sécurité traditionnelles ne suffiront pas dans le monde d’aujourd’hui. L’heure est à la sécurité Zero Trust. Sécurisez vos données comme jamais auparavant.
OAuth, abréviation de Open Authorization, est un cadre d’autorisation et de délégation (par opposition à l’authentification) qui offre aux applications la possibilité d’accéder en toute sécurité aux informations d’autres sites Web sans transmettre de mots de passe.
Dans les attaques détaillées par Microsoft, des acteurs malveillants ont été observés lançant des attaques de phishing ou de pulvérisation de mots de passe contre des comptes mal sécurisés disposant des autorisations nécessaires pour créer ou modifier des applications OAuth.
L’un de ces adversaires est Storm-1283, qui a exploité un compte utilisateur compromis pour créer une application OAuth et déployer des machines virtuelles pour le cryptomining. De plus, les attaquants ont modifié les applications OAuth existantes auxquelles le compte avait accès en ajoutant un ensemble supplémentaire d’informations d’identification pour atteindre les mêmes objectifs.
Dans un autre cas, un acteur non identifié a compromis les comptes d’utilisateurs et créé des applications OAuth pour maintenir la persistance et lancer des attaques de phishing par courrier électronique utilisant un kit de phishing de type adversaire au milieu (AiTM) pour piller les cookies de session de leurs cibles et contourner les mesures d’authentification.
« Dans certains cas, suite à l’activité de relecture des cookies de session volés, l’acteur a exploité le compte utilisateur compromis pour effectuer une reconnaissance de fraude financière BEC en ouvrant des pièces jointes dans l’application Web Microsoft Outlook (OWA) contenant des mots clés spécifiques tels que « paiement » et « facture ». « , a déclaré Microsoft.
D’autres scénarios détectés par le géant de la technologie suite au vol de cookies de session impliquent la création d’applications OAuth pour distribuer des e-mails de phishing et mener des activités de spam à grande échelle. Microsoft suit ce dernier sous le nom de Storm-1286.
Pour atténuer les risques associés à de telles attaques, il est recommandé aux organisations d’appliquer l’authentification multifacteur (MFA), d’activer des politiques d’accès conditionnel et d’auditer régulièrement les applications et les autorisations accordées.