Tehdit aktörleri, kuruluşların zayıf kimlik doğrulama uygulamalarını kötüye kullanarak OAuth’tan yararlanın Kripto para madenciliği, kimlik avı ve şifre püskürtme gibi çeşitli vektörleri içeren bir dizi saldırı yoluyla, genellikle finansal kazanç elde etmek amacıyla yapılan uygulamalar.
OAuth, platformlar arası erişim için giderek daha fazla benimsenen açık bir kimlik doğrulama standardıdır; kullanıcılar, “Facebook ile giriş yap” veya “Google ile giriş yap” gibi başka bir sosyal medya hesabıyla giriş yapmak için bir bağlantıya tıklamaları istendiğinde bir web sitesine giriş yaptıklarında bunu fark edeceklerdir. OAuth, uygulamaların bir kullanıcı tarafından belirlenen izinlere dayalı olarak diğer çevrimiçi hizmetlere ve sitelere ait verilere ve kaynaklara erişmesine olanak tanır ve siteler arasındaki kimlik doğrulama aktarımından sorumlu mekanizmadır.
Araştırmacılar, Microsoft Tehdit İstihbaratının, OAuth uygulamaları oluşturması, değiştirmesi ve yüksek ayrıcalıklar vermesi için Microsoft hizmetlerine yönelik kullanıcı hesaplarını tehlikeye atan bir dizi saldırı gözlemlediğini ve bu uygulamaların kötü amaçlı faaliyetler için “bir otomasyon aracı” olarak kullanılmasına olanak sağladığını ortaya çıkardı. içinde bir blog yazısı bu hafta yayınlandı. Saldırganların ayrıca, başlangıçta güvenliği ihlal edilen hesaba erişimlerini kaybetseler bile uygulamalara erişimi sürdürmek için OAuth kimlik doğrulama standardından yararlandıkları belirtildi.
“Tehdit aktörleri, kripto para madenciliği için sanal makineler (VM’ler) dağıtmak, iş e-postası ihlalinin (BEC) ardından kalıcılık sağlamak ve hedeflenen kuruluşun kaynaklarını ve alan adını kullanarak spam gönderme faaliyeti başlatmak için yüksek ayrıcalık izinlerine sahip OAuth uygulamalarını kötüye kullandı.” postalamak.
Araştırmacılar, OAuth’u yeni yollarla kötüye kullanan çeşitli saldırıları tanımlıyor. Çoğu durumda, güvenliği ihlal edilmiş bir hesapta çok faktörlü kimlik doğrulama (MFA) etkin değildi; bu da, kötü amaçlarla bir hesaba erişim sağlamak amacıyla kimlik bilgileri doldurma, kimlik avı ve ters proxy kimlik avı gibi taktikleri kullanan saldırganlar için onu kolay bir hedef haline getiriyordu.
OAuth’u Kullanma ve Kötüye Kullanma
Microsoft Tehdit İstihbaratı araştırmacıları, OAuth’u çeşitli şekillerde kötü amaçlı faaliyetler yürütmek için kötüye kullanan üç spesifik saldırı türünü (kripto madenciliği, iş e-postası güvenliği (BEC)/kimlik avı ve parola püskürtme/spam gönderme) gözlemledi.
Microsoft’un Storm-1283 olarak takip ettiği tehdit aktörü tarafından kullanılan bir vektörde, saldırganlar, bir OAuth uygulaması oluşturmak ve kripto madenciliği için sanal makineler (VM’ler) dağıtmak amacıyla güvenliği ihlal edilmiş bir Azure kullanıcı hesabını kullandı. Hedeflenen kuruluşlar, saldırganların ilk saldırıyı kurduktan sonra daha fazla kripto madenciliği VM’si dağıtmak için hesaba geri döndüğü kötü amaçlı etkinlik nedeniyle 10.000 ila 1,5 milyon dolar arasında değişen bilgi işlem ücretlerine maruz kaldı.
Saldırganlar ayrıca BEC ve kimlik avı saldırıları için OAuth uygulamaları oluşturmak amacıyla kullanıcı hesaplarının güvenliğini ihlal etti; araştırmacılar, bir tehdit aktörünün kullanıcı hesaplarını tehlikeye attığını ve kalıcılığı korumak ve e-posta kimlik avı faaliyeti başlatmak için OAuth uygulamaları oluşturduğunu gözlemledi.
Bu vektörde saldırgan, birden fazla kuruluştaki kullanıcı hesaplarını proxy sunucusuna yönlendiren kötü amaçlı bir URL ile hedeflemek için farklı konu satırlarına ve URL’lere sahip önemli sayıda e-posta göndermek için ortadaki rakip (AitM) kimlik avı kitini kullandı. Gerçek bir kimlik doğrulama sürecini kolaylaştırmak. Bir kullanıcı yemi yutar ve oturum açarsa, tehdit aktörü kullanıcının oturum çerezinden belirteci çaldı ve daha sonra bunu oturum çerezi yeniden oynatma etkinliği gerçekleştirmek için kullandı.
Bazı durumlarda aktör, Microsoft’un Outlook Web Uygulamasındaki e-posta eklerinde “ödeme” gibi belirli anahtar sözcükleri de arayabilir. Ve “fatura” Araştırmacılar, gelecekteki BEC faaliyetleri için keşif yapmak gerektiğini söyledi.
Diğer durumlarda, tehdit aktörü, BEC keşfi yerine, çalınan oturum çerezlerinin tekrar oynatılmasının ardından çok kiracılı OAuth uygulamaları oluşturdu; bu uygulamaları kalıcılığı korumak, yeni kimlik bilgileri eklemek ve ardından e-postaları okumak veya kimlik avı e-postaları göndermek için Microsoft Graph API kaynağına erişmek için kullandı. .
Üçüncü benzersiz saldırıda, Microsoft’un Storm-1286 olarak takip ettiği bir tehdit aktörü, ele geçirilen kullanıcı hesaplarına parola püskürtme saldırıları yoluyla büyük ölçekli spam gönderme etkinliği gerçekleştirdi. Microsoft Tehdit İstihbaratına göre saldırganlar, Azure PowerShell veya Swagger Codegen tabanlı bir istemci kullanarak hedeflenen kuruluşta herhangi bir yerde bir ila üç yeni OAuth uygulaması oluşturmak için kullanıcı hesaplarının güvenliğini ihlal etti ve hesap posta kutusu üzerinde kontrole izin veren uygulamalara izin verdi. Saldırgan, ele geçirilen kullanıcı hesabını ve kuruluş etki alanını kullanarak günde binlerce e-posta gönderecektir.
MFA ve Diğer Azaltımlar
2007’den bu yana kullanılan OAuth, çeşitli nedenlerle kuruluşlara risk teşkil ediyor ve saldırganların bunu kötüye kullanabileceği çeşitli yollar var. Güvenlik araştırmacıları bulunan kusurlar gibi önemli çevrimiçi hizmet platformlarını açığa çıkaran uygulamasında Booking.com Ve diğerleri saldırmak. Bu arada başkaları da kendi oluşturdukları kötü amaçlı OAuth uygulamalarını kullandı Microsoft Exchange sunucularını tehlikeye atmak.
Microsoft’a göre, kuruluşların OAuth kullanıldığında saldırı yüzeyini azaltmasının önemli bir adımı öncelikle kimlik altyapılarının güvenliğini sağlamaktır. Araştırmacılar, bunu yapmanın kolay bir yolunun, çok faktörlü kimlik doğrulamayı (MFA) kullanmak olduğunu, bunun kullanımının yakın zamanda gözlemlenen saldırılarda hesap güvenliğini “önemli ölçüde azaltacağını” söyledi.
Kuruluşların kimlik doğrulamayı güçlendirmek ve OAuth tabanlı saldırıların başarılı olma şansını azaltmak için atabileceği adımlardan biri, bir kullanıcı bir hesapta her oturum açma girişiminde bulunduğunda kuralları değerlendiren ve uygulayan koşul erişimi (CA) politikalarının etkinleştirilmesini içerir. Bir diğeri ise Azure Active Directory gibi dağıtılan Microsoft uygulamalarında güvenlik varsayılanlarını etkinleştirmektir.
Gönderiye göre, “uygulamaların yalnızca gerekli verilere eriştiğinden ve en az ayrıcalık ilkelerine bağlı kaldığından emin olmak” için kuruluş genelinde uygulamaları ve izin verilen izinleri denetlemek, OAuth saldırılarına karşı savunma yapmak için de kullanılabilir.
